Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe (https://www.trojaner-board.de/76366-reg-system-ini-userinit-c-winxp-system32-userinit-exe-c-winxp-s-ystem32-twext-exe.html)

oOTopsyOo 13.08.2009 12:43
REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
 
Hallo zusammen,

Habe meinen PC Scannen lassen, und frage mich nun ob die Datein UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\twext.exe Viren oder trojaner sind ??

Die Datei habe ich nicht gefunden nur eine twext.dll

Desweiteren habe ich im Task Mangaer 7* svchost.exe drin stehn, eine davon ist 31,456K groß ist das normal ??

und mit dem eintrag.:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe :confused:
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe :confused:

kann ich nichts anfangen.

Hier der log.:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:01:48 PM, on 8/13/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Mixer.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\PSIService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\-( Tools )-\virus\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\twext.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINXP\system32\GameMon.des.exe (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINXP\system32\PSIService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file
Danke für eure Hilfe

Mfg

kira 13.08.2009 13:48
Hallo und Herzlich Willkommen! :)

Zitat:
Zitat von oOTopsyOo (Beitrag 456077)

Habe meinen PC Scannen lassen, und frage mich nun ob die Datein UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\twext.exe Viren oder trojaner sind ??
Ja, ist ein Wurm, der mit Backdoor Eigenschaften und Rootkit-Techniken ausgestattet ist
- wie hast Du sie beseitigt? Norton? oder...

Zitat:
Zitat von oOTopsyOo (Beitrag 456077)
Desweiteren habe ich im Task Mangaer 7* svchost.exe drin stehn, eine davon ist 31,456K groß ist das normal ??
ja...
Code:
Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
Sicherheits-Bewertung:

"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.
Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm!
Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden
Zitat:
Zitat von oOTopsyOo (Beitrag 456077)
und mit dem eintrag.:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe :confused:
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
ist in Ordnung:-> http://support.microsoft.com/kb/914440/de

oOTopsyOo 13.08.2009 14:23
Danke für die schnelle Antwort

Zitat:
Ja, ist ein Wurm, der mit Backdoor Eigenschaften und Rootkit-Techniken ausgestattet ist
- wie hast Du sie beseitigt? Norton? oder...
Noch gar nicht, wie gesagt die exe Datei (also twext.exe ) findet sich nirgens, nur eine twext.dll Datei im System32 Ordner habe ich gefunden..
Die Datei Userinit.exe ist allerdings vorhanden..

SDFix habe ich auch laufen lassen nach Anleitung, dieser hat mir dann noch 2 dateien entfernt..

Hier der log von SDFix.:

Code:
SDFix: Version 1.240
Run by Administrator on 13.08.2009 at 14:32

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINXP\system32\twain_32\local.ds  - Deleted
C:\WINXP\system32\twain_32\user.ds  - Deleted



Folder C:\WINXP\system32\twain_32 - Removed


Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 14:45:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:51,c2,10,32,1d,9d,bd,46,8c,f6,05,0b,2d,c3,28,1a,23,cb,26,b5,0a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:51,c2,10,32,1d,9d,bd,46,8c,f6,05,0b,2d,c3,28,1a,23,cb,26,b5,0a,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000169

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Program Files\\Sony\\EverQuest II (DE)\\EQ2VoiceService.exe"="E:\\Program Files\\Sony\\EverQuest II (DE)\\EQ2VoiceService.exe:*:Enabled:EQ2VoiceService"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat  4 Apr 2009          207 ...H. --- "C:\Boot.BAK"
Fri  1 May 2009        8,192 A.SHR --- "C:\BOOTSECT.BAK"
Thu 13 Aug 2009          848 A.SH. --- "C:\WINXP\system32\KGyGaAvL.sys"

Finished!

Die KGyGaAvL.sys Datei habe ich auch gekillt nachdem ich im Netz gelesen habe das sie schädlich ist.

Aber fehlt halt noch der schlimme Backdoor kandidat twext.exe

Mfg

kira 13.08.2009 14:56
Zitat:
Zitat von oOTopsyOo (Beitrag 456104)
Die KGyGaAvL.sys Datei habe ich auch gekillt nachdem ich im Netz gelesen habe das sie schädlich ist.
KGyGaAvL.sys
warum hast Du sie gelöscht?
** Vorsicht!:
- wenn man nie genau weiß, welche Auswirkungen eine unüberlegte Löschaktion hat?
- Dateien, Programme usw, die Dir komisch vorkommen immer zuerst unter Eigenschaften nach Herkunft schauen, dann bei virustotal prüfen lassen um eine zweite Meinung einzuholen
- danach bei Fachleuten erfragen!
- Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedautet nicht, dass sie so harmlos sind, wie (oft) dargestellt wird

Zitat:
Zitat von oOTopsyOo (Beitrag 456104)

Die Datei Userinit.exe ist allerdings vorhanden..
REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe:
die Eintrag userinit.exe ist Ok, voraussetzung befindet sich im System32 Ordner. "C:\Windows\userinit.exe" wäre ein Problem...
C:\WINDOWS\system32\twext.exe" ist ein Trojaner wie ich oben beschrieben habe. "UserInit..." das heißt, die Datei wird bei jeder Anmeldung sofort geladen!

Zitat:
Zitat von oOTopsyOo (Beitrag 456104)
Noch gar nicht, wie gesagt die exe Datei (also twext.exe ) findet sich nirgens, nur eine twext.dll Datei im System32 Ordner habe ich gefunden..
Aber fehlt halt noch der schlimme Backdoor kandidat twext.exe
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
twext.dll
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):
sollte die Datei in ordnung sein:)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft!
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

oOTopsyOo 13.08.2009 17:02
So..

Log von der Datei Userinit.exe (Da die Datei mit in der Zeile stand habe ich sie direkt mitgescannt) wurde als win32.Banker erkannt.

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.24        2009.08.13        -
AhnLab-V3        5.0.0.2        2009.08.13        -
AntiVir        7.9.1.1        2009.08.13        -
Antiy-AVL        2.0.3.7        2009.08.13        -
Authentium        5.1.2.4        2009.08.13        -
Avast        4.8.1335.0        2009.08.12        -
AVG        8.5.0.406        2009.08.13        -
BitDefender        7.2        2009.08.13        -
CAT-QuickHeal        10.00        2009.08.13        -
ClamAV        0.94.1        2009.08.13        -
Comodo        1965        2009.08.13        -
DrWeb        5.0.0.12182        2009.08.13        -
eSafe        7.0.17.0        2009.08.11        Win32.Banker
eTrust-Vet        31.6.6675        2009.08.13        -
F-Prot        4.4.4.56        2009.08.13        -
F-Secure        8.0.14470.0        2009.08.13        -
Fortinet        3.120.0.0        2009.08.13        -
GData        19        2009.08.13        -
Ikarus        T3.1.1.64.0        2009.08.13        -
Jiangmin        11.0.800        2009.08.13        -
K7AntiVirus        7.10.817        2009.08.12        -
Kaspersky        7.0.0.125        2009.08.13        -
McAfee        5707        2009.08.12        -
McAfee+Artemis        5707        2009.08.12        -
McAfee-GW-Edition        6.8.5        2009.08.13        -
Microsoft        1.4903        2009.08.13        -
NOD32        4332        2009.08.13        -
Norman        6.01.09        2009.08.13        -
nProtect        2009.1.8.0        2009.08.13        -
Panda        10.0.0.14        2009.08.12        -
PCTools        4.4.2.0        2009.08.12        -
Prevx        3.0        2009.08.13        -
Rising        21.42.34.00        2009.08.13        -
Sophos        4.44.0        2009.08.13        -
Sunbelt        3.2.1858.2        2009.08.13        -
Symantec        1.4.4.12        2009.08.13        -
TheHacker        6.3.4.3.383        2009.08.13        -
TrendMicro        8.950.0.1094        2009.08.13        -
VBA32        3.12.10.9        2009.08.13        -
ViRobot        2009.8.13.1883        2009.08.13        -
VirusBuster        4.6.5.0        2009.08.13        -
weitere Informationen
File size: 26624 bytes
MD5...: 788f95312e26389d596c0fa55834e106
SHA1..: 82189a1477487e7f679c4fa5cb19b1b74d9b73ac
SHA256: f7090c739cfc4aa6280bfedc1551118f05a098b0ad71bb9541e21e6fdfed3040
ssdeep: 768:riBJi8jDLIDSAaQFxfftjaLacmkLGKO4Ru8Zk:rmJbDMDSA7FxffJaLaSLG7
408Zk
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x54ad
timedatestamp.....: 0x480251a8 (Sun Apr 13 18:32:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x520e 0x5400 5.95 289d6a5513176f26e7a7128ce7de1dc1
.data 0x7000 0x14c 0x200 1.86 0bb948f267e82975313a03d8c0e8a1cf
.rsrc 0x8000 0xcd0 0xe00 3.78 ca6ef217502d20513696667bd5be08c3

( 9 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, RtlConvertSidToUnicodeString, NtQueryInformationToken
> NETAPI32.dll: DsGetDcNameW, NetApiBufferFree
> WLDAP32.dll: -, -, -, -, -, -
> msvcrt.dll: __setusermatherr, _initterm, __getmainargs, _acmdln, _adjust_fdiv, _XcptFilter, _exit, _c_exit, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _cexit, exit
> KERNEL32.dll: CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, CreateProcessW, lstrlenW, GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, ExpandEnvironmentStringsW, SearchPathW, GetLastError, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, SetEvent, OpenEventW, Sleep, SetEnvironmentVariableW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-


Log von der Datei twext.dll

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.24        2009.08.13        -
AhnLab-V3        5.0.0.2        2009.08.13        -
AntiVir        7.9.1.1        2009.08.13        -
Antiy-AVL        2.0.3.7        2009.08.13        -
Authentium        5.1.2.4        2009.08.13        -
Avast        4.8.1335.0        2009.08.12        -
AVG        8.5.0.406        2009.08.13        -
BitDefender        7.2        2009.08.13        -
CAT-QuickHeal        10.00        2009.08.13        -
ClamAV        0.94.1        2009.08.13        -
Comodo        1965        2009.08.13        -
DrWeb        5.0.0.12182        2009.08.13        -
eSafe        7.0.17.0        2009.08.13        -
eTrust-Vet        31.6.6675        2009.08.13        -
F-Prot        4.4.4.56        2009.08.13        -
F-Secure        8.0.14470.0        2009.08.13        -
Fortinet        3.120.0.0        2009.08.13        -
GData        19        2009.08.13        -
Ikarus        T3.1.1.64.0        2009.08.13        -
Jiangmin        11.0.800        2009.08.13        -
K7AntiVirus        7.10.817        2009.08.12        -
Kaspersky        7.0.0.125        2009.08.13        -
McAfee        5707        2009.08.12        -
McAfee+Artemis        5707        2009.08.12        -
McAfee-GW-Edition        6.8.5        2009.08.13        -
Microsoft        1.4903        2009.08.13        -
NOD32        4332        2009.08.13        -
Norman        6.01.09        2009.08.13        -
nProtect        2009.1.8.0        2009.08.13        -
Panda        10.0.0.14        2009.08.12        -
PCTools        4.4.2.0        2009.08.12        -
Prevx        3.0        2009.08.13        -
Rising        21.42.34.00        2009.08.13        -
Sophos        4.44.0        2009.08.13        -
Sunbelt        3.2.1858.2        2009.08.13        -
Symantec        1.4.4.12        2009.08.13        -
TheHacker        6.3.4.3.383        2009.08.13        -
TrendMicro        8.950.0.1094        2009.08.13        -
VBA32        3.12.10.9        2009.08.13        -
ViRobot        2009.8.13.1883        2009.08.13        -
VirusBuster        4.6.5.0        2009.08.13        -
weitere Informationen
File size: 57856 bytes
MD5...: 632a666d9cdf23641c47c0c6f0f70978
SHA1..: 4140347af73808f6c9e91cdc6f3146743dc673a9
SHA256: 9f356dfc6ca75c546ef9642f6bd087fec988ee1e62ea853626eca2a63d5cdabe
ssdeep: 768:svfS3EsAa/Qc+Au6DL0zB7UkLTeCxD1LlVAg6T1o8AdwUREH2EYON:svgEmY
c75EXZ1LlWg6T8BWH2Eb
PEiD..: -
TrID..: File type identification
DirectShow filter (65.5%)
Win64 Executable Generic (27.8%)
Win32 Executable Generic (2.7%)
Win32 Dynamic Link Library (generic) (2.4%)
Generic Win/DOS Executable (0.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x46a4
timedatestamp.....: 0x4802bfd0 (Mon Apr 14 02:22:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb712 0xb800 6.52 25ee32f4e2c11874e535285b7173d34a
.data 0xd000 0x394 0x400 1.86 70ea386203e5fbf2865f14fdce9cb567
.rsrc 0xe000 0xfc0 0x1000 5.52 6d4ccb03572fdd6848bb0a71835e65c1
.reloc 0xf000 0x1086 0x1200 4.02 504c1239dcf48c5fee5f564ee362560d

( 6 imports )
> ntdll.dll: RtlUnwind, NtQueryVirtualMemory, wcsrchr, _wcsicmp, wcscmp, iswalpha, _wcsnicmp, wcschr, wcslen, memmove, wcsstr, RtlTimeFieldsToTime, RtlNtStatusToDosError, NtCreateEvent, NtFsControlFile, NtWaitForSingleObject, NtClose, _vsnwprintf
> KERNEL32.dll: GlobalLock, GlobalUnlock, LocalAlloc, LocalFree, GetLastError, CreateFileW, lstrlenW, GetVolumePathNameW, lstrcmpiW, GetFileAttributesExW, CompareFileTime, CloseHandle, InterlockedIncrement, InterlockedDecrement, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, lstrcpynW, LoadLibraryExA, InitializeCriticalSection, DeleteCriticalSection, CompareStringW, LeaveCriticalSection, GetTickCount, EnterCriticalSection, GetFileAttributesW, RemoveDirectoryW, WaitForSingleObject, CreateThread, LockResource, LoadResource, FindResourceW, FormatMessageW, GetComputerNameW, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleFileNameW, GetWindowsDirectoryW, GetModuleHandleW, DelayLoadFailureHook, GetCurrentProcessId
> USER32.dll: DeleteMenu, GetMenuItemCount, RegisterClipboardFormatW, SetMenuItemInfoW, GetMenuItemInfoW, MoveWindow, GetClientRect, GetWindowLongW, SetWindowLongW, WinHelpW, LoadIconW, SendDlgItemMessageW, LoadCursorW, SetCursor, GetFocus, SetFocus, EnableWindow, LoadStringW, SetWindowTextW, SendMessageW, GetDlgItem, GetWindowRect, MapWindowPoints
> SHELL32.dll: -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHFileOperationW, SHGetFolderLocation, SHGetSpecialFolderLocation, SHBindToParent, -, SHParseDisplayName, -, SHBrowseForFolderW, -, -, SHChangeNotify, -, -, SHGetDesktopFolder
> SHLWAPI.dll: -, -, StrCpyNW, StrChrW, -, -, -, StrRetToBufW, StrCmpIW, AssocCreate, PathAppendW, StrDupW, PathIsUNCServerW, PathIsNetworkPathW, PathRemoveBackslashW, PathIsRootW, PathFindFileNameW, -, PathIsUNCW, SHStrDupW, -, -, -, -, StrRetToStrW, -
> ACTIVEDS.dll: -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
-

oOTopsyOo 13.08.2009 17:06
Filelist:


Code:
----- Root -----------------------------
 Volume in Laufwerk G: hat keine Bezeichnung.
 Volumeseriennummer: 481A-9504

 Verzeichnis von G:\-( Tools )-\virus\filelist

11/08/2006  08:21 PM            2,270 filelist.bat
              1 Datei(en)          2,270 Bytes
              0 Verzeichnis(se), 126,196,334,592 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\WINXP

08/13/2009  02:51 PM        1,912,398 WindowsUpdate.log
08/13/2009  02:50 PM                0 0.log
08/13/2009  02:50 PM            2,048 bootstat.dat
08/13/2009  02:48 PM            32,412 SchedLgU.Txt
08/13/2009  02:31 PM          118,140 ntbtlog.txt
08/13/2009  02:25 PM                50 wiaservc.log
08/13/2009  02:25 PM              215 wiadebug.log
08/13/2009  11:52 AM          899,754 setupapi.log
08/13/2009  10:12 AM                0 vpc32.INI
08/13/2009  09:15 AM            14,851 spupdsvc.log
08/13/2009  08:35 AM          349,986 iis6.log
08/13/2009  08:35 AM          140,640 tsoc.log
08/13/2009  08:35 AM            64,756 ntdtcsetup.log
08/13/2009  08:35 AM            15,558 tabletoc.log
08/13/2009  08:35 AM            16,617 ocmsn.log
08/13/2009  08:35 AM            1,374 imsins.log
08/13/2009  08:35 AM          109,494 comsetup.log
08/13/2009  08:35 AM            15,671 KB960859.log
08/13/2009  08:35 AM            52,608 netfxocm.log
08/13/2009  08:35 AM            21,037 MedCtrOC.log
08/13/2009  08:35 AM          170,849 ocgen.log
08/13/2009  08:35 AM            14,947 msgsocm.log
08/13/2009  08:35 AM          295,784 FaxSetup.log
08/13/2009  08:35 AM            95,120 msmqinst.log
08/13/2009  08:35 AM            1,374 imsins.BAK
08/13/2009  08:35 AM            15,618 KB971657.log
08/13/2009  08:35 AM            15,127 KB971557.log
08/13/2009  08:35 AM            10,725 KB956744.log
08/13/2009  08:34 AM            10,343 KB973869.log
08/13/2009  08:34 AM            15,245 KB973507.log
08/13/2009  08:34 AM            68,559 updspapi.log
08/13/2009  08:34 AM            9,946 KB973354.log
08/13/2009  08:34 AM            9,728 KB973540.log
08/13/2009  08:34 AM            8,298 wmsetup.log
08/13/2009  08:32 AM            14,887 KB973815.log
08/13/2009  08:32 AM            18,611 KB968389.log
07/28/2009  09:19 PM            12,942 KB972260-IE8.log
07/28/2009  05:29 PM            17,047 KB971633.log
07/28/2009  05:29 PM            12,195 KB973346.log
07/28/2009  05:28 PM            17,815 KB961371.log
07/19/2009  09:05 PM              101 CMMIXER.INI
07/16/2009  12:26 AM            46,857 ie8_main.log
07/16/2009  12:26 AM            74,192 KB971930-IE8.log
07/16/2009  12:26 AM            88,624 KB969897-IE8.log
07/16/2009  12:26 AM            84,193 ie8.log
06/25/2009  10:20 AM              820 setupact.log
06/19/2009  03:00 AM          307,892 msxml4-KB954430-enu.LOG
06/17/2009  09:53 AM            18,333 atiogl.xml
06/12/2009  12:17 PM            3,800 Ascd_tmp.ini
06/11/2009  09:47 AM            19,245 KB961501.log
06/11/2009  09:47 AM            13,832 KB969898.log
06/11/2009  09:45 AM            19,058 KB970238.log
06/11/2009  09:45 AM            92,869 KB969897-IE7.log
06/11/2009  09:45 AM            14,904 KB968537.log
06/03/2009  03:00 AM            4,933 KB961118.log
05/31/2009  09:45 AM            2,850 regopt.log
05/20/2009  07:28 AM              592 chgkey.vbs
05/20/2009  06:47 AM          853,840 setuplog.txt
05/06/2009  02:03 PM              555 win.ini
05/02/2009  11:30 AM                25 mixerdef.ini
05/01/2009  07:04 PM              199 CMISETUP.INI
05/01/2009  07:04 PM                26 CMCDPLAY.INI
05/01/2009  01:12 PM            1,890 diagwrn.xml
05/01/2009  01:12 PM            1,890 diagerr.xml
05/01/2009  01:12 PM                0 setuperr.log
05/01/2009  12:59 PM              740 chipset.log
04/30/2009  05:17 PM              187 spupdsvc.log.1.log
04/30/2009  09:30 AM            14,370 WgaNotify.log
04/23/2009  10:54 AM              329 nsw.log
04/19/2009  02:44 PM          131,396 KB963027-IE7.log
04/19/2009  02:34 PM              788 KB963027.log
04/19/2009  02:33 PM            31,344 KB961373.log
04/19/2009  02:33 PM            19,653 KB923561.log
04/17/2009  03:05 AM            27,511 KB959426.log
04/17/2009  03:01 AM            15,585 KB956572.log
04/17/2009  03:01 AM            15,492 KB952004.log
04/17/2009  03:01 AM            13,146 KB960803.log
04/05/2009  12:33 AM            34,858 KB955839.log
04/05/2009  12:33 AM            19,487 KB960225.log
04/05/2009  12:33 AM            15,065 KB957097.log
04/05/2009  12:32 AM            14,358 KB960715.log
04/05/2009  12:32 AM            13,746 KB958687.log
04/05/2009  12:32 AM            19,211 KB967715.log
04/05/2009  12:32 AM            20,138 KB958690.log
04/05/2009  12:32 AM            11,624 KB959772.log
04/05/2009  12:31 AM            17,926 KB954459.log
04/05/2009  12:31 AM            18,136 KB952069.log
04/05/2009  12:31 AM            19,319 KB961260-IE7.log
04/05/2009  12:31 AM            8,164 KB954600.log
04/05/2009  12:30 AM            8,486 KB958644.log
04/05/2009  12:30 AM            7,981 KB955069.log
04/05/2009  12:30 AM            11,956 KB956802.log
04/04/2009  11:44 PM                0 nsreg.dat
04/04/2009  11:30 PM          151,526 DirectX.log
04/04/2009  11:25 PM            1,328 KB893803v2.log
04/04/2009  11:22 PM                0 ativpsrm.bin
04/04/2009  11:19 PM            12,468 ydi.log
04/04/2009  11:17 PM                0 Sti_Trace.log
04/04/2009  11:14 PM              231 system.ini
04/04/2009  10:31 PM              829 OEWABLog.txt
04/04/2009  10:30 PM            8,192 REGLOCS.OLD
04/04/2009  10:27 PM            8,315 KB956391.log
04/04/2009  10:27 PM            17,698 KB956390-IE7.log
04/04/2009  10:24 PM            5,853 KB954154.log
04/04/2009  10:24 PM            7,617 KB938127-v2-IE7.log
04/04/2009  10:24 PM            7,571 KB946648.log
04/04/2009  10:24 PM            16,959 KB953838-IE7.log
04/04/2009  10:24 PM            6,885 KB953839.log
04/04/2009  10:24 PM            16,288 KB950759-IE7.log
04/04/2009  10:24 PM            8,451 KB898461.log
04/04/2009  10:23 PM            7,402 KB941569.log
04/04/2009  10:23 PM              991 KB942763.log
04/04/2009  10:23 PM            6,829 KB950760.log
04/04/2009  10:23 PM            7,029 KB950762.log
04/04/2009  10:23 PM            7,531 KB951376-v2.log
04/04/2009  10:23 PM            7,141 KB951698.log
04/04/2009  10:23 PM            8,239 KB951748.log
04/04/2009  10:23 PM            9,152 KB951978.log
04/04/2009  10:23 PM                0 control.ini
04/04/2009  10:22 PM          316,640 WMSysPr9.prx
04/04/2009  10:22 PM            4,073 ODBCINST.INI
04/04/2009  10:20 PM              749 WindowsShell.Manifest
04/04/2009  10:19 PM            1,023 sessmgr.setup.log
04/04/2009  10:18 PM                36 vb.ini
04/04/2009  10:18 PM                37 vbaddin.ini
04/04/2009  10:18 PM              130 DtcInstall.log
04/04/2009  10:17 PM              200 cmsetacl.log

            172 Datei(en)    16,438,728 Bytes
              0 Verzeichnis(se), 36,447,506,432 Bytes frei
 
----- System  ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\WINXP\system


              47 Datei(en)      6,329,250 Bytes
              0 Verzeichnis(se), 36,447,506,432 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\WINXP\system32

08/13/2009  09:14 AM            2,300 wpa.dbl
08/08/2009  08:28 PM            3,745 jupdate-1.6.0_15-b03.log
08/08/2009  05:37 AM            18,349 CCCInstall_200908080537421250.log
08/05/2009  10:59 AM          206,336 mswebdvd.dll
07/30/2009  02:49 AM        24,281,536 MRT.exe
07/25/2009  05:23 AM          145,184 javaw.exe
07/25/2009  05:23 AM          149,280 javaws.exe
07/25/2009  05:23 AM          145,184 java.exe
07/25/2009  05:23 AM          411,368 deploytk.dll
07/25/2009  03:00 AM            73,728 javacpl.cpl
07/19/2009  06:48 PM        11,067,392 ieframe.dll
07/19/2009  03:18 PM        5,937,152 mshtml.dll
07/17/2009  09:01 PM            58,880 atl.dll
07/13/2009  11:43 PM        10,841,088 wmp.dll
07/13/2009  11:43 PM          286,208 wmpdxm.dll
07/03/2009  07:09 PM          915,456 wininet.dll
07/03/2009  07:09 PM        1,208,832 urlmon.dll
07/03/2009  07:09 PM          206,848 occache.dll
07/03/2009  07:09 PM            55,296 msfeedsbs.dll
07/03/2009  07:09 PM          594,432 msfeeds.dll
07/03/2009  07:09 PM        1,985,536 iertutil.dll
07/03/2009  07:09 PM            25,600 jsproxy.dll
07/03/2009  07:09 PM        1,469,440 inetcpl.cpl
07/03/2009  07:09 PM          184,320 iepeers.dll
07/03/2009  07:09 PM          386,048 iedkcs32.dll
07/03/2009  01:01 PM          173,056 ie4uinit.exe
07/02/2009  07:25 PM          442,368 ATIDEMGX.dll
07/02/2009  07:24 PM          335,872 ati2dvag.dll
07/02/2009  07:07 PM          311,296 atiiiexx.dll
07/02/2009  07:06 PM          204,800 atipdlxx.dll
07/02/2009  07:05 PM          155,648 Oemdspif.dll
07/02/2009  07:05 PM            26,112 Ati2mdxx.exe
07/02/2009  07:05 PM            43,520 ati2edxx.dll
07/02/2009  07:05 PM          155,648 ati2evxx.dll
07/02/2009  07:04 PM          602,112 ati2evxx.exe
07/02/2009  07:02 PM            53,248 ATIDDC.DLL
07/02/2009  06:56 PM        3,014,272 ati3duag.dll
07/02/2009  06:54 PM        11,698,176 atioglxx.dll
07/02/2009  06:44 PM        2,139,904 ativvaxx.dll
07/02/2009  06:44 PM          219,120 ativvaxx.cap
07/02/2009  06:44 PM          887,724 ativva6x.dat
07/02/2009  06:44 PM                3 ativva5x.dat
07/02/2009  06:31 PM            49,664 amdpcom32.dll
07/02/2009  06:31 PM            49,664 atimpc32.dll
07/02/2009  06:28 PM          487,424 atikvmag.dll
07/02/2009  06:27 PM            45,056 aticalrt.dll
07/02/2009  06:26 PM            45,056 aticalcl.dll
07/02/2009  06:26 PM          151,552 atiadlxx.dll
07/02/2009  06:26 PM            17,408 atitvo32.dll
07/02/2009  06:25 PM        3,248,128 aticaldd.dll
07/02/2009  06:24 PM          376,832 atiok3x2.dll
07/02/2009  06:20 PM          651,264 ati2cqag.dll
07/02/2009  12:12 PM          593,920 ati2sgag.exe
06/29/2009  10:40 AM            57,667 ieuinit.inf
06/26/2009  11:41 AM          737,792 lsasrv.dll
06/25/2009  10:41 AM          147,456 schannel.dll
06/25/2009  10:41 AM            56,832 secur32.dll
06/25/2009  10:41 AM          136,704 msv1_0.dll
06/25/2009  10:41 AM            54,272 wdigest.dll
06/25/2009  10:41 AM          301,568 kerberos.dll
06/18/2009  09:29 PM          197,654 atiicdxx.dat
06/16/2009  04:36 PM            81,920 fontsub.dll
06/16/2009  04:36 PM          119,808 t2embed.dll
06/15/2009  12:43 PM            78,848 telnet.exe
06/15/2009  12:43 PM            82,944 tlntsess.exe
06/11/2009  09:52 AM          161,936 FNTCACHE.DAT
06/11/2009  08:14 AM            3,953 jupdate-1.6.0_14-b08.log
06/10/2009  04:13 PM            85,504 avifil32.dll
06/10/2009  09:19 AM        2,066,432 mstscax.dll
06/10/2009  08:14 AM          132,096 wkssvc.dll
06/03/2009  09:09 PM        1,296,896 quartz.dll
06/02/2009  07:28 AM            68,332 perfc009.dat
06/02/2009  07:28 AM          435,416 perfh009.dat
06/02/2009  07:28 AM          448,470 perfh007.dat
06/02/2009  07:28 AM            79,910 perfc007.dat
06/02/2009  07:28 AM        1,046,422 PerfStringBackup.INI
06/01/2009  08:48 AM            15,688 lsdelete.exe
05/27/2009  09:33 PM            4,096 crash
05/24/2009  10:38 AM            81,984 bdod.bin
05/20/2009  06:49 AM            34,308 BASSMOD.dll
05/20/2009  06:43 AM            4,444 pid.PNF
05/19/2009  03:40 AM                96 HsInfo.dat
05/17/2009  04:17 AM            36,864 ctfmon.exe
05/14/2009  07:57 PM            18,620 CCCInstall_200905141957142656.log
05/11/2009  11:35 PM          118,784 atibtmon.exe
05/07/2009  05:32 PM          348,160 localspl.dll
05/06/2009  01:58 PM            36,864 DivXAF.ax
05/04/2009  01:55 PM            2,368 SVKP.sys
05/01/2009  11:02 PM          823,296 divx_xx07.dll
05/01/2009  11:02 PM          685,056 DivX.dll
05/01/2009  11:02 PM          823,296 divx_xx0c.dll
05/01/2009  11:02 PM          811,008 divx_xx16.dll
05/01/2009  11:02 PM          802,816 divx_xx11.dll
05/01/2009  11:02 PM          815,104 divx_xx0a.dll
04/29/2009  06:41 AM          133,120 extmgr.dll
04/29/2009  05:09 AM              562 BDUpdateV1.xml
04/19/2009  09:39 PM        1,847,936 win32k.sys
04/16/2009  09:16 AM              850 ProductTweaks.xml
04/16/2009  09:16 AM              385 user_gensett.xml
04/15/2009  04:51 PM          585,216 rpcrt4.dll
04/15/2009  01:15 AM        2,722,845 GameMon.des
04/06/2009  11:33 AM            18,325 CCCInstall_200904061403531406.log
04/05/2009  12:33 AM          211,910 TZLog.log
04/04/2009  11:50 PM            4,862 jupdate-1.6.0_13-b03.log
04/04/2009  11:17 PM                0 h323log.txt
04/04/2009  11:04 PM            34,064 lhacm.acm
04/04/2009  10:29 PM            1,130 $winnt$.inf
04/04/2009  10:23 PM            2,951 CONFIG.NT
04/04/2009  10:23 PM            16,832 amcompat.tlb
04/04/2009  10:23 PM            23,392 nscompat.tlb
04/04/2009  10:20 PM              488 logonui.exe.manifest
04/04/2009  10:20 PM              488 WindowsLogon.manifest
04/04/2009  10:20 PM              749 sapi.cpl.manifest
04/04/2009  10:20 PM              749 nwc.cpl.manifest
04/04/2009  10:20 PM              749 wuaucpl.cpl.manifest
04/04/2009  10:20 PM              749 ncpa.cpl.manifest
04/04/2009  10:20 PM              749 cdplayer.exe.manifest
04/04/2009  10:19 PM            21,740 emptyregdb.dat
03/21/2009  04:06 PM        1,063,424 kernel32.dll
03/16/2009  11:48 AM          235,352 xactengine3_4.dll
03/16/2009  11:48 AM            69,448 XAPOFX1_3.dll
03/16/2009  11:48 AM            22,360 X3DAudio1_6.dll
03/16/2009  11:48 AM          517,448 XAudio2_4.dll
03/10/2009  10:18 PM        1,482,112 LegitCheckControl.dll
03/10/2009  10:18 PM          970,632 WgaTray.exe
03/10/2009  10:18 PM          265,096 WgaLogon.dll
03/09/2009  12:57 PM        1,846,632 D3DCompiler_41.dll
03/09/2009  12:57 PM          453,456 d3dx10_41.dll
03/09/2009  12:57 PM        4,178,264 D3DX9_41.dll
03/08/2009  02:29 PM        1,302,528 ieframe.dll.mui
03/08/2009  02:29 PM            57,344 msrating.dll.mui
03/08/2009  02:28 PM            2,560 mshta.exe.mui
03/08/2009  02:27 PM            4,096 ie4uinit.exe.mui
03/08/2009  02:27 PM            12,288 advpack.dll.mui
03/08/2009  02:27 PM            81,920 iedkcs32.dll.mui
03/08/2009  04:35 AM          385,024 html.iec
03/08/2009  04:34 AM          236,544 webcheck.dll
03/08/2009  04:34 AM          208,384 WinFXDocObj.exe
03/08/2009  04:34 AM            43,008 licmgr10.dll
03/08/2009  04:34 AM          105,984 url.dll
03/08/2009  04:34 AM          193,536 msrating.dll
03/08/2009  04:33 AM            18,944 corpol.dll
03/08/2009  04:33 AM          726,528 jscript.dll
03/08/2009  04:33 AM          229,376 ieaksie.dll
03/08/2009  04:33 AM          420,352 vbscript.dll
03/08/2009  04:33 AM          125,952 ieakeng.dll
03/08/2009  04:32 AM            72,704 admparse.dll
03/08/2009  04:32 AM            36,864 ieudinit.exe
03/08/2009  04:32 AM          163,840 ieakui.dll
03/08/2009  04:32 AM            55,808 iernonce.dll
03/08/2009  04:32 AM            71,680 iesetup.dll
03/08/2009  04:32 AM          128,512 advpack.dll
03/08/2009  04:32 AM            94,720 inseng.dll
03/08/2009  04:32 AM          611,840 mstime.dll
03/08/2009  04:31 AM            13,312 msfeedssync.exe
03/08/2009  04:31 AM            59,904 icardie.dll
03/08/2009  04:31 AM          348,160 dxtmsft.dll
03/08/2009  04:31 AM          216,064 dxtrans.dll
03/08/2009  04:31 AM            34,816 imgutil.dll
03/08/2009  04:31 AM            46,592 pngfilt.dll
03/08/2009  04:31 AM            66,560 mshtmled.dll
03/08/2009  04:31 AM            48,128 mshtmler.dll
03/08/2009  04:31 AM            45,568 mshta.exe
03/08/2009  04:31 AM        1,638,912 mshtml.tlb
03/08/2009  04:30 AM            66,560 tdc.ocx
03/08/2009  04:22 AM          164,352 ieui.dll
03/08/2009  04:22 AM          156,160 msls31.dll
03/08/2009  04:11 AM          445,952 ieapfltr.dll
03/06/2009  03:50 PM          286,720 pdh.dll
03/06/2009  11:24 AM          180,224 Ncs2Setp.dll
03/04/2009  01:12 PM          760,368 ncs2dmix.dll
03/04/2009  01:11 PM          530,992 accesor.dll
03/04/2009  12:56 PM          141,872 ncs2instutility.dll
03/04/2009  12:47 PM        1,522,224 ncscolib.dll
02/24/2009  09:34 PM            90,112 dpl100.dll
02/18/2009  07:55 PM          294,912 ATIODE.exe
02/13/2009  10:53 AM          256,640 Prounstl.exe
02/12/2009  10:20 PM            6,873 IE8Eula.rtf
02/10/2009  07:24 PM          678,400 advapi32.dll
02/09/2009  01:14 PM        2,026,496 ntkrnlpa.exe
02/09/2009  01:14 PM        2,147,840 ntoskrnl.exe
02/09/2009  01:14 PM          111,104 services.exe
02/09/2009  12:54 PM          401,408 rpcss.dll
02/09/2009  12:54 PM          740,864 ntdll.dll
02/06/2009  09:07 PM        3,698,584 ieapfltr.dat
02/06/2009  12:36 PM            35,328 sc.exe
02/03/2009  10:52 PM            45,056 ATIODCLI.exe
01/30/2009  03:56 PM          236,120 PRONtObj.dll
01/07/2009  06:21 PM          121,856 xmllite.dll
01/07/2009  06:20 PM            24,576 nlsdl.dll
01/07/2009  06:20 PM            60,294 normnfkd.nls
01/07/2009  06:20 PM            23,552 normaliz.dll
01/07/2009  06:20 PM            66,384 normnfkc.nls
01/07/2009  06:20 PM            39,284 normnfd.nls
01/07/2009  06:20 PM            45,794 normnfc.nls
01/07/2009  06:20 PM            26,112 idndl.dll
01/07/2009  06:20 PM            59,342 normidna.nls
01/07/2009  06:20 PM            26,144 spupdsvc.exe
01/07/2009  06:20 PM            18,464 spmsg.dll
01/07/2009  06:20 PM            8,798 icrav03.rat
01/07/2009  06:20 PM          265,720 msdbg2.dll

            2338 Datei(en)    618,699,574 Bytes
              0 Verzeichnis(se), 36,447,326,208 Bytes frei

oOTopsyOo 13.08.2009 17:08
Code:
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\WINXP\Prefetch

08/13/2009  04:11 PM            23,514 CMD.EXE-2AAB9DAB.pf
08/13/2009  04:11 PM          150,940 WINRAR.EXE-3588DFE8.pf
08/13/2009  04:10 PM            41,014 VERCLSID.EXE-1C385444.pf
08/13/2009  04:09 PM            60,262 NOTEPAD.EXE-0815DEA3.pf
08/13/2009  04:01 PM            8,234 JQSNOTIFY.EXE-1E60A522.pf
08/13/2009  03:22 PM            40,186 GOOGLEUPDATE.EXE-187AE91D.pf
08/13/2009  03:05 PM            17,800 DIVXVERSIONCHECKER.EXE-109B55D3.pf
08/13/2009  03:05 PM            71,400 DIVX PLAYER.EXE-0459E47A.pf
08/13/2009  02:53 PM            65,542 FIREFOX.EXE-1D57670A.pf
08/13/2009  02:51 PM            39,498 WUAUCLT.EXE-13B6AD34.pf
08/13/2009  02:51 PM            21,316 AAWTRAY.EXE-31E33C30.pf
08/13/2009  02:51 PM            37,052 WMIPRVSE.EXE-2F9046ED.pf
08/13/2009  02:51 PM            42,146 UNSECAPP.EXE-393743F4.pf
08/13/2009  02:51 PM            47,318 WSCNTFY.EXE-322C45BB.pf
08/13/2009  02:51 PM            25,496 WMIAPSRV.EXE-24BFB5E9.pf
08/13/2009  02:51 PM            60,820 RTVSCAN.EXE-17F12963.pf
08/13/2009  02:48 PM            38,646 REGEDIT.EXE-3B104B33.pf
08/13/2009  02:44 PM            74,312 JQS.EXE-352796B1.pf
08/13/2009  02:44 PM            57,280 SVCHOST.EXE-064839DA.pf
08/13/2009  02:44 PM            7,166 ATI2SGAG.EXE-32DD5947.pf
08/13/2009  02:44 PM          101,846 DEFWATCH.EXE-290789F9.pf
08/13/2009  02:44 PM            20,932 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
08/13/2009  02:44 PM            61,838 AAWSERVICE.EXE-1E1DE6D1.pf
08/13/2009  02:44 PM            34,326 XPIZE_LOGON.EXE-2D8910FB.pf
08/13/2009  01:37 PM            25,058 TASKMGR.EXE-2D2BCF51.pf
08/13/2009  11:56 AM            23,898 REGSVR32.EXE-2CB1139E.pf
08/13/2009  11:20 AM            35,114 MEDIACATALOGER.EXE-00EBBB54.pf
08/13/2009  11:20 AM            87,400 COREL PAINT SHOP PRO PHOTO.EX-298CA039.pf
08/13/2009  11:01 AM            45,466 EQ2VOICESERVICE.EXE-0D8A86B8.pf
08/13/2009  11:01 AM            23,960 RUNDLL32.EXE-225EA12B.pf
08/13/2009  10:58 AM            58,678 EVERQUEST2.EXE-025C0DD2.pf
08/13/2009  10:57 AM            70,128 STATIONLAUNCHER.EXE-0728D476.pf
08/13/2009  10:57 AM            49,922 LAUNCHPAD.EXE-1ECA5A46.pf
08/13/2009  10:42 AM            58,746 GAME.EXE-2C45A29F.pf
08/13/2009  10:35 AM          102,362 IEXPLORE.EXE-2CA9778D.pf
08/13/2009  10:34 AM            79,028 UPDATER.EXE-26C30AD4.pf
08/13/2009  10:20 AM            54,742 CCSETMGR.EXE-03117913.pf
08/13/2009  09:25 AM            31,586 LUALL.EXE-2BCC229F.pf
08/13/2009  09:25 AM            59,604 LUCOMS~1.EXE-02DB5950.pf
08/13/2009  09:25 AM            87,464 VPDN_LU.EXE-0FC10937.pf
08/13/2009  09:23 AM            34,046 VPTRAY.EXE-2D128BA2.pf
08/13/2009  09:23 AM            38,068 CCAPP.EXE-2EA3695D.pf
08/13/2009  09:22 AM            42,088 CCEVTMGR.EXE-27655961.pf
08/13/2009  09:22 AM            5,218 MSI55.TMP-29015823.pf
08/13/2009  09:22 AM            5,318 MSI4D.TMP-39B2709D.pf
08/13/2009  09:22 AM            20,624 SEVINST.EXE-02E7491A.pf
08/13/2009  09:22 AM            10,230 SYMANT~1.EXE-0325DF9A.pf
08/13/2009  09:22 AM            59,326 LSETUP.EXE-25206897.pf
08/13/2009  09:22 AM            58,554 LUSETUP.EXE-370D147C.pf
08/13/2009  09:20 AM          111,036 MSIEXEC.EXE-0BEEA39E.pf
08/13/2009  09:20 AM            21,698 SETUP.EXE-02ABB702.pf
08/13/2009  09:16 AM            29,060 REGISTRY CLEANER.EXE-1EAE6133.pf
08/13/2009  08:35 AM            79,784 UPDATE.EXE-1F36D2CE.pf
08/13/2009  08:35 AM            81,178 UPDATE.EXE-2BCADE43.pf
08/13/2009  08:35 AM            81,512 UPDATE.EXE-36D7130C.pf
08/13/2009  08:34 AM            73,374 UPDATE.EXE-370CEDB3.pf
08/13/2009  08:34 AM            81,096 UPDATE.EXE-2F624B71.pf
08/13/2009  08:34 AM            82,064 UPDATE.EXE-2ECF4232.pf
08/13/2009  08:34 AM            82,036 UPDATE.EXE-1007AFD9.pf
08/13/2009  08:34 AM            22,462 UNREGMP2.EXE-123DF8DE.pf
08/13/2009  08:34 AM            14,774 SPUPDSVC.EXE-1476F501.pf
08/13/2009  08:34 AM            59,098 UPDATE.EXE-33DDA91A.pf
08/13/2009  08:32 AM            30,754 WINDOWS-KB890830-V2.13-DELTA.-1639A052.pf
08/13/2009  08:32 AM            53,486 MRT.EXE-17DC5063.pf
08/13/2009  08:32 AM            51,376 MRTSTUB.EXE-2D0FDA0A.pf
08/13/2009  08:32 AM            82,340 UPDATE.EXE-1E381627.pf
08/13/2009  08:30 AM            82,458 UPDATE.EXE-18C15213.pf
08/13/2009  06:31 AM            75,150 UPDATE.EXE-01C57F43.pf
08/13/2009  06:31 AM            88,216 UPDATE.EXE-0F48E488.pf
08/13/2009  06:31 AM            74,146 UPDATE.EXE-12A98111.pf
08/13/2009  06:31 AM            74,838 UPDATE.EXE-0A1050E2.pf
08/13/2009  06:30 AM            74,388 UPDATE.EXE-23677EF4.pf
08/13/2009  06:30 AM            76,314 UPDATE.EXE-1EE81672.pf
08/13/2009  05:27 AM          160,440 ZPLAYER.EXE-05AC08A4.pf
08/13/2009  01:20 AM            55,456 EMCRYPT.EXE-1B6BA134.pf
08/13/2009  01:10 AM            23,300 RUNDLL32.EXE-41B97B03.pf
08/13/2009  12:22 AM            84,986 FIESTA.BIN-2C4378E2.pf
08/13/2009  12:22 AM            96,866 FIESTAONLINE.EXE-08A6F865.pf
08/12/2009  10:16 PM          110,336 HELPSVC.EXE-09BE1947.pf
08/12/2009  03:42 PM            73,348 DFRGNTFS.EXE-2C06A9EE.pf
08/12/2009  03:42 PM            41,274 DEFRAG.EXE-18BF5EA9.pf
08/12/2009  03:41 PM          344,680 Layout.ini
08/12/2009  09:04 AM            26,308 RUNDLL32.EXE-179426A1.pf
08/12/2009  07:57 AM            21,720 SNDVOL32.EXE-020A2692.pf
08/12/2009  07:07 AM            51,394 TEAMSPEAK.EXE-1C1FA5B1.pf
08/12/2009  07:03 AM            59,500 NOSTALEX.DAT-0B2EF7D6.pf
08/12/2009  07:03 AM            67,614 NOSTALE.EXE-035FF3BC.pf
08/12/2009  06:50 AM            22,406 TINTLPHR.EXE-2A277573.pf
08/11/2009  06:15 AM            28,416 JAVAWS.EXE-1714DD62.pf
08/11/2009  06:15 AM          123,550 JAVAW.EXE-0159D575.pf
08/11/2009  04:31 AM            58,886 SHAIYA_DE_FULLCLIENT_20090709-05B02DD0.pf
08/11/2009  03:07 AM            32,636 BTDNA.EXE-3722F78C.pf
08/11/2009  03:07 AM            28,146 BTDNA.EXE-0B2F3819.pf
08/11/2009  03:07 AM            52,976 SHAIYA_DE_FULLCLIENT_20090709-1A32BD01.pf
08/10/2009  02:31 PM            51,576 ADOBE_UPDATER.EXE-059F58EC.pf
08/10/2009  08:48 AM            74,244 AD-AWAREADMIN.EXE-1618EEEB.pf
08/08/2009  08:28 PM            34,360 WMIC.EXE-1F8E06AA.pf
08/08/2009  08:28 PM            44,724 PATCHJRE.EXE-32D75151.pf
08/08/2009  08:27 PM            8,344 MSI70.TMP-33214427.pf
08/08/2009  08:27 PM            19,494 MSI64.TMP-2DD5F6BA.pf
08/08/2009  08:27 PM            34,010 JRE-6U15-WINDOWS-I586-IFTW.EX-244D4B1F.pf
08/08/2009  08:27 PM            58,984 JAVA.EXE-2167859B.pf
08/08/2009  07:58 AM            37,308 JUCHECK.EXE-221FFD79.pf
08/08/2009  05:57 AM            21,676 HELPER.EXE-244ABC1F.pf
08/08/2009  05:56 AM            34,168 UPDATER.EXE-3725FEAE.pf
08/08/2009  05:56 AM            24,370 MMLOADDRV.EXE-077F5A63.pf
08/08/2009  05:56 AM            34,716 MMACEPREV.EXE-00399158.pf
08/08/2009  05:54 AM            55,464 CLI.EXE-07E3B6B7.pf
08/08/2009  05:38 AM            22,366 SETUP.EXE-1E216F9A.pf
08/08/2009  05:38 AM            5,686 ATISHLX.EXE-09868946.pf
08/08/2009  05:38 AM          119,756 CCCINSTALL.EXE-2CC8C343.pf
08/08/2009  05:38 AM            33,468 INSTALLSHELL.EXE-2774F2BE.pf
08/08/2009  05:38 AM            10,518 ATISHLX.EXE-0342A11B.pf
08/08/2009  05:38 AM            35,164 CCCINSTALL.EXE-00975E9D.pf
08/08/2009  05:37 AM            51,024 SETUP.EXE-3B5E59FB.pf
08/08/2009  05:37 AM            17,592 RUNONCE.EXE-254D490F.pf
08/08/2009  05:36 AM            28,630 SETUP.EXE-39C1815B.pf
08/08/2009  05:36 AM            9,882 ATICIM.BIN-115CB8DE.pf
08/08/2009  05:36 AM            63,458 IKERNEL.EXE-092EF074.pf
08/08/2009  05:35 AM            18,380 ISSETUP.EXE-20F50B6A.pf
08/08/2009  05:35 AM            21,480 SETUP.EXE-32F72D3D.pf
08/08/2009  05:35 AM            17,848 ATIRUNREGFIX.EXE-0EB13302.pf
08/08/2009  05:35 AM            6,612 REGPERMWRITER.EXE-282367BB.pf
08/08/2009  05:34 AM            52,754 9-7_XP32_DD_CCC_WDM_ENU.EXE-287A9C55.pf
07/31/2009  06:01 AM            63,630 GOOGLEEARTH.EXE-15D28C6D.pf
07/31/2009  05:55 AM            24,444 THREATWORK.EXE-2CC668FF.pf
07/31/2009  05:18 AM            55,144 AD-AWARE.EXE-2B8B58D1.pf
07/09/2009  11:17 PM            62,952 FIESTAONLINE.EXE-13A2947E.pf
07/09/2009  06:54 PM            62,532 FIESTA.BIN-021978C8.pf
04/04/2009  10:48 PM          320,152 NTOSBOOT-B00DFAAD.pf
            130 Datei(en)      7,099,298 Bytes
              0 Verzeichnis(se), 36,447,375,360 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\WINXP\tasks

08/13/2009  03:22 PM              874 GoogleUpdateTaskMachineUA.job
08/13/2009  02:50 PM              870 GoogleUpdateTaskMachineCore.job
08/13/2009  02:50 PM                6 SA.DAT
08/10/2009  08:48 AM              458 Ad-Aware Update (Weekly).job

              5 Datei(en)          2,273 Bytes
              0 Verzeichnis(se), 36,447,375,360 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\WINXP\Temp

08/13/2009  02:50 PM                0 Perflib_Perfdata_2c8.dat
              1 Datei(en)              0 Bytes
              0 Verzeichnis(se), 36,447,375,360 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4ED-2FD5

 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

08/13/2009  02:55 PM            90,073 jusched.log
08/13/2009  11:20 AM            1,492 PCULog1.txt
08/13/2009  11:20 AM                3 Twain001.Mtx
08/13/2009  09:24 AM        2,727,564 SAV_INST.LOG
08/11/2009  06:15 AM            11,982 java_install_reg.log
08/11/2009  03:07 AM              804 licensepage.ini
08/11/2009  03:07 AM              166 finishpage.ini
08/11/2009  02:59 AM            16,006 PCULog0.txt
08/09/2009  08:30 PM              116 689211B7.TMP
08/08/2009  08:27 PM            2,769 java_install_sp.log
08/08/2009  08:27 PM        1,780,224 321fdb2.mst
08/08/2009  08:27 PM              934 jinstall.cfg
08/08/2009  07:03 AM          416,560 ~AP49.tmp
08/08/2009  07:03 AM          416,560 ~AP48.tmp
08/08/2009  07:03 AM          416,560 ~AP47.tmp
08/08/2009  07:03 AM          416,560 ~AP46.tmp
08/08/2009  06:57 AM          416,560 ~AP45.tmp
08/08/2009  06:57 AM          416,560 ~AP44.tmp
08/08/2009  06:57 AM          416,560 ~AP43.tmp
08/08/2009  06:57 AM          416,560 ~AP42.tmp
08/08/2009  05:33 AM            7,953 PCULog3.txt
08/01/2009  07:29 PM          714,528 jre-6u15-windows-i586-iftw.exe
07/30/2009  07:07 PM            17,051 jar_cache6214672862250142647.tmp
07/28/2009  11:09 PM                0 cacC6.tmp
07/28/2009  11:08 PM                0 7f6B4.tmp
07/28/2009  02:01 AM                0 cfa18C.tmp
07/26/2009  10:40 PM                0 o0p89.tmp
07/23/2009  02:40 PM            32,768 ~DFAA49.tmp
07/23/2009  02:40 PM            19,261 modC.tmp
07/23/2009  02:40 PM              422 modB.tmp
07/23/2009  02:40 PM                34 modA.tmp
07/21/2009  08:42 PM            19,261 mod61.tmp
07/21/2009  08:42 PM              422 mod60.tmp
07/21/2009  08:42 PM                34 mod5F.tmp
07/21/2009  08:18 PM            19,261 mod5E.tmp
07/21/2009  08:18 PM                34 mod59.tmp
07/21/2009  08:18 PM              422 mod5A.tmp
07/21/2009  02:38 PM            81,920 ~DFDC65.tmp
07/20/2009  02:12 AM            22,432 mod79.tmp
07/20/2009  02:12 AM                34 mod77.tmp
07/20/2009  02:12 AM              439 mod78.tmp
07/20/2009  02:00 AM            22,432 mod5D.tmp
07/20/2009  02:00 AM                34 mod5B.tmp
07/20/2009  01:59 AM              437 mod5C.tmp
07/20/2009  01:58 AM            74,391 mod58.tmp
07/20/2009  01:58 AM                34 mod56.tmp
07/20/2009  01:58 AM              397 mod57.tmp
07/19/2009  11:20 PM            22,432 mod51.tmp
07/19/2009  11:20 PM              439 mod4D.tmp
07/19/2009  11:20 PM                34 mod4C.tmp
07/19/2009  09:00 PM            81,920 ~DF57F3.tmp
07/19/2009  07:43 PM            16,244 6c54_appcompat.txt
07/19/2009  07:14 PM            16,244 e4ba_appcompat.txt
07/17/2009  02:23 AM            19,261 modBE.tmp
07/17/2009  02:23 AM                34 modBC.tmp
07/17/2009  02:23 AM              420 modBD.tmp
07/17/2009  02:03 AM            22,432 mod9E.tmp
07/17/2009  02:03 AM                34 mod96.tmp
07/17/2009  02:03 AM              437 mod9D.tmp
07/17/2009  02:02 AM            22,432 mod95.tmp
07/17/2009  02:02 AM                34 mod93.tmp
07/17/2009  02:02 AM              437 mod94.tmp
07/17/2009  02:01 AM            74,391 mod8C.tmp
07/17/2009  02:01 AM                34 mod87.tmp
07/17/2009  02:01 AM              395 mod88.tmp
07/17/2009  02:00 AM            22,432 mod86.tmp
07/17/2009  02:00 AM                34 mod84.tmp
07/17/2009  02:00 AM              437 mod85.tmp
07/17/2009  02:00 AM            22,432 mod83.tmp
07/17/2009  02:00 AM                34 mod81.tmp
07/17/2009  02:00 AM              439 mod82.tmp
07/17/2009  01:55 AM            19,261 mod7F.tmp
07/17/2009  01:55 AM                34 mod7D.tmp
07/17/2009  01:55 AM              420 mod7E.tmp
07/17/2009  01:52 AM            81,920 ~DF5886.tmp
07/16/2009  06:40 PM            22,432 mod35.tmp
07/16/2009  06:40 PM                34 mod33.tmp
07/16/2009  06:40 PM              437 mod34.tmp
07/16/2009  02:02 PM            74,391 mod29.tmp
07/16/2009  02:02 PM                34 mod24.tmp
07/16/2009  02:02 PM              397 mod25.tmp
07/16/2009  02:01 PM            81,920 ~DF3F42.tmp
07/16/2009  02:01 PM            74,391 mod23.tmp
07/16/2009  02:01 PM                34 mod21.tmp
07/16/2009  02:01 PM              397 mod22.tmp
07/16/2009  02:01 PM            22,432 mod20.tmp
07/16/2009  02:01 PM                34 mod1E.tmp
07/16/2009  02:01 PM              435 mod1F.tmp
07/16/2009  01:59 PM            22,432 mod1D.tmp
07/16/2009  01:59 PM                34 mod1B.tmp
07/16/2009  01:59 PM              437 mod1C.tmp
07/08/2009  01:31 PM            19,261 modB2.tmp
07/08/2009  01:31 PM                34 modB0.tmp
07/08/2009  01:31 PM              422 modB1.tmp
07/08/2009  09:45 AM            32,768 ~DFA512.tmp
07/04/2009  12:56 PM            19,261 mod9C.tmp
07/04/2009  12:56 PM                34 mod9A.tmp
07/04/2009  12:56 PM              422 mod9B.tmp
07/04/2009  12:56 PM            19,261 mod99.tmp
07/04/2009  12:56 PM                34 mod97.tmp
07/04/2009  12:56 PM              422 mod98.tmp
07/04/2009  11:41 AM            1,598 9fb5_appcompat.txt
07/04/2009  10:35 AM            19,261 mod91.tmp
07/04/2009  10:35 AM                34 mod8F.tmp
07/04/2009  10:35 AM              422 mod90.tmp
07/04/2009  10:35 AM            32,768 ~DFC1A3.tmp
06/26/2009  03:15 AM            19,261 mod50.tmp
06/26/2009  03:15 AM                34 mod4E.tmp
06/26/2009  03:15 AM              420 mod4F.tmp
06/26/2009  03:09 AM            32,768 ~DF2986.tmp
06/17/2009  01:06 PM              783 DIMLog.txt
06/17/2009  01:04 PM        45,327,872 297269.msp
06/17/2009  01:01 PM                0 TWAIN.LOG
06/17/2009  01:01 PM            61,440 29726a.mst
06/12/2009  09:48 AM            19,261 mod76.tmp
06/12/2009  09:48 AM                34 mod74.tmp
06/12/2009  09:48 AM              422 mod75.tmp
06/12/2009  02:07 AM            32,768 ~DF48C3.tmp
06/11/2009  08:13 AM          537,600 722c9.mst
06/08/2009  02:46 AM            32,768 ~DFCE44.tmp
06/08/2009  02:46 AM            19,261 mod8.tmp
06/08/2009  02:46 AM                34 mod6.tmp
06/08/2009  02:46 AM              420 mod7.tmp
06/04/2009  11:52 AM            32,768 ~DF7A57.tmp
06/04/2009  11:52 AM            19,261 mod8B.tmp
06/04/2009  11:52 AM                34 mod89.tmp
06/04/2009  11:52 AM              422 mod8A.tmp
06/03/2009  04:30 AM        4,780,760 DWPUpgradeInstaller.exe
06/02/2009  07:30 AM              335 ah_setup.log
06/02/2009  07:30 AM          310,431 ah_install.log
06/02/2009  07:30 AM              182 ah_setupwatcher1.log
06/02/2009  07:30 AM          426,188 dd_dotnetfx35install.txt
06/02/2009  07:30 AM            83,016 uxeventlog.txt
06/02/2009  07:30 AM          237,070 dd_depcheck_NETFX_EXP_35.txt
06/02/2009  07:30 AM          176,698 dd_dotnetfx35install_lp.txt
06/02/2009  07:30 AM          724,202 dd_NET_Framework35_LangPack_MSI0D6A.txt
06/02/2009  07:30 AM        2,335,646 dd_NET_Framework_30LP_Agile_Setup0D32.txt
06/02/2009  07:29 AM        2,811,090 dd_NET_Framework_20LP_Agile_Setup0C6E.txt
06/02/2009  07:27 AM                2 dd_dotnetfx35error_lp.txt
06/02/2009  07:26 AM        3,358,552 dd_NET_Framework35_MSI09CD.txt
06/02/2009  07:25 AM        5,423,022 dd_NET_Framework30_Setup0927.txt
06/02/2009  07:24 AM            4,823 dd_wcf_retCA65A5.txt
06/02/2009  07:24 AM            22,052 dd_XPS.txt
06/02/2009  07:24 AM        13,198,742 dd_NET_Framework20_Setup7DCD.txt
06/02/2009  07:21 AM            5,156 ASPNETSetup_00000.log
06/02/2009  07:09 AM            24,783 dd_clwireg.txt
06/02/2009  07:09 AM                0 bch5B.tmp
06/02/2009  07:09 AM                0 bch58.tmp
06/02/2009  07:09 AM                0 bch55.tmp
06/02/2009  07:08 AM                0 bch52.tmp
06/02/2009  07:08 AM                0 bch4D.tmp
06/02/2009  07:08 AM                0 bch4A.tmp
06/02/2009  07:08 AM                0 bch47.tmp
06/02/2009  07:08 AM                0 bch44.tmp
06/02/2009  07:08 AM                0 bch41.tmp
06/02/2009  07:08 AM                0 bch3E.tmp
06/02/2009  07:08 AM                0 bch3B.tmp
06/02/2009  07:08 AM                0 bch38.tmp
06/02/2009  07:08 AM                0 bch35.tmp
06/02/2009  07:08 AM                0 bch32.tmp
06/02/2009  07:08 AM                0 bch2F.tmp
06/02/2009  07:08 AM                0 bch2C.tmp
06/02/2009  07:07 AM                0 bch29.tmp
06/02/2009  07:07 AM                0 bch26.tmp
06/02/2009  07:07 AM                0 bch23.tmp
06/02/2009  07:07 AM                0 bch20.tmp
06/02/2009  07:07 AM                0 bch1D.tmp
06/02/2009  07:07 AM                0 bch1A.tmp
06/02/2009  07:07 AM                0 bch17.tmp
06/02/2009  07:07 AM                0 bch14.tmp
06/02/2009  07:07 AM                0 bch11.tmp
06/02/2009  07:05 AM                2 dd_dotnetfx35error.txt
06/02/2009  07:04 AM              379 ah_download.log
06/02/2009  07:04 AM        2,959,376 dotnetfx35setup.exe
05/31/2009  02:00 PM          798,234 IMT4E.xml
05/31/2009  02:00 PM              426 IMT4D.xml
05/31/2009  02:00 PM            2,036 IMT4C.xml
05/31/2009  01:13 PM                0 ~42.tmp
05/31/2009  01:13 PM          291,960 ~42.mp3
05/31/2009  01:10 PM                0 ~41.tmp
05/31/2009  01:10 PM          291,960 ~41.mp3
05/29/2009  10:08 AM            16,230 c6f1_appcompat.txt
05/27/2009  06:30 PM            29,047 mod28.tmp
05/27/2009  06:30 PM                34 mod26.tmp
05/27/2009  06:30 PM              401 mod27.tmp
05/27/2009  05:36 PM            32,768 ~DF1F34.tmp
05/24/2009  10:18 AM                0 wla28.tmp
05/23/2009  05:37 AM            32,768 ~DF54A3.tmp
05/23/2009  05:37 AM            29,047 mod18.tmp
05/23/2009  05:37 AM                34 mod16.tmp
05/23/2009  05:37 AM              401 mod17.tmp
05/23/2009  05:33 AM          236,440 jre-6u14-windows-i586-iftw-rv.exe
03/21/2009  04:06 PM        1,063,424 np7.tmp
03/21/2009  04:06 PM        1,063,424 npB.tmp
03/21/2009  04:06 PM        1,063,424 np8.tmp
03/21/2009  04:06 PM        1,063,424 np3.tmp
02/10/2009  07:24 PM          678,400 npD.tmp
02/10/2009  07:24 PM          678,400 npA.tmp
02/10/2009  07:24 PM          678,400 np5.tmp
02/09/2009  12:54 PM          740,864 np6.tmp

            204 Datei(en)    103,479,612 Bytes
              0 Verzeichnis(se), 36,447,358,976 Bytes frei

oOTopsyOo 13.08.2009 17:09
CCleaner log

Code:
3ivx D4 4.5.1 (remove only)
AC3Filter (remove only)
Acrobat.com
Ad-Aware
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3
Adobe Shockwave Player 11
AngelPotion Video Codec V1
ASUS Probe V2.23.08
ATI - Software Uninstall Utility
ATI AVIVO Codecs
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
ATI Parental Control & Encoder
ATI Problem Report Wizard
CCleaner (remove only)
CD Audio Reader Filter (remove only)
Corel Paint Shop Pro Photo X2
DC-Bass Source 1.1.1
DirectVobSub (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Driver Detective
DScaler 5 Mpeg Decoders
ffdshow [rev 2527] [2008-12-19]
Fiesta Online(EU_German) 1.02.004
FlashFXP
FlashFXP v3
GIMP 2.6.6
Google Earth Plugin
Google Earth Pro
Haali Media Splitter
Indeo® Software
Install(GE)
Intel(R) Network Connections 14.0.40.0
Java(TM) 6 Update 15
LiveUpdate 2.6 (Symantec Corporation)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Report Viewer Redistributable 2005
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
MONOGRAM AMR Splitter/Decoder (remove only)
Mozilla Firefox (3.5.2)
Mpeg Layer3 Codec FHG-Radium v1.263
MSXML 4.0 SP2 (KB954430)
No23 Recorder
Nostale Online DE (Remove)
OpenSource Flash Video Splitter (remove only)
PCI Audio Driver
QuickTime Alternative 2.7.0
RealMedia (remove only)
Requiem
Serv-U 6.3
SHOUTcast Source (remove only)
Station Launcher
Symantec AntiVirus
TaskSwitchXP
TeamSpeak 2 RC2
Windows Internet Explorer 8
WinRAR archiver
XPize Darkside 2.1
Xvid 1.2.1 final uninstall
XVID Decoder (remove only)
XviD Media Codec 1.0.2
Zoom Player (remove only)
Aion


Gmer log

Code:
GMER 1.0.15.15020 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-13 17:35:01
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            887A31D0                                                                                                      ZwConnectPort
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                              ZwCreateKey [0xF764787E]
SSDT            sptd.sys                                                                                                      ZwEnumerateKey [0xF74F2FB2]
SSDT            sptd.sys                                                                                                      ZwEnumerateValueKey [0xF74F3340]
SSDT            sptd.sys                                                                                                      ZwOpenKey [0xF74ED0B0]
SSDT            sptd.sys                                                                                                      ZwQueryKey [0xF74F3418]
SSDT            sptd.sys                                                                                                      ZwQueryValueKey [0xF74F3298]
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                              ZwSetValueKey [0xF7647BFE]

---- Kernel code sections - GMER 1.0.15 ----

?              C:\WINXP\system32\drivers\sptd.sys                                                                            Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text          USBPORT.SYS!DllUnload                                                                                          BA20E8AC 5 Bytes  JMP 8A0411C8
?              System32\Drivers\axvhb4kl.SYS                                                                                  Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \WINXP\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt]                                          [F750406C] sptd.sys
IAT            pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                          [F7504018] sptd.sys
IAT            pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                              [F75269AE] sptd.sys
IAT            atapi.sys[ntoskrnl.exe!IoConnectInterrupt]                                                                    [F750406C] sptd.sys
IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                            [F74EDAD4] sptd.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                    [F74EDC1A] sptd.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                            [F74EDB9C] sptd.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                    [F74EE748] sptd.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                            [F74EE61E] sptd.sys
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                            [F750329A] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                              [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[336] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                        [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                        8A2001E8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device          \FileSystem\Fastfat \FatCdrom                                                                                  86ED41E8

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\usbuhci \Device\USBPDO-0                                                                              8A0401E8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                      8A18F1E8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                        8A18F1E8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                          8A18F1E8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                          8A18F1E8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                              8A0401E8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                              8A0401E8
Device          \Driver\usbuhci \Device\USBPDO-3                                                                              8A0401E8
Device          \Driver\usbehci \Device\USBPDO-4                                                                              8A0A55F0
Device          \Driver\PCI_NTPNP7154 \Device\00000048                                                                        sptd.sys
Device          \Driver\PCI_NTPNP7154 \Device\00000048                                                                        sptd.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                      Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                        8A2021E8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                        8A2021E8
Device          \Driver\Cdrom \Device\CdRom0                                                                                  8A069790
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                        8A2021E8
Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                        8A2021E8
Device          \Driver\Ftdisk \Device\HarddiskVolume5                                                                        8A2021E8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                        8869F1E8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                              8869F1E8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                      Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                              8A0401E8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                              8A0401E8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                              86F7D790
Device          \Driver\usbuhci \Device\USBFDO-2                                                                              8A0401E8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                    86F7D790
Device          \Driver\usbuhci \Device\USBFDO-3                                                                              8A0401E8
Device          \Driver\usbehci \Device\USBFDO-4                                                                              8A0A55F0
Device          \Driver\Ftdisk \Device\FtControl                                                                              8A2021E8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{84F0D201-8F72-4020-BBFB-005574A28541}                                      8869F1E8
Device          \Driver\axvhb4kl \Device\Scsi\axvhb4kl1                                                                        89FF81E8
Device          \FileSystem\Fastfat \Fat                                                                                      86ED41E8

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                        86EFA790

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                            771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                            285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                            1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                             
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                            C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                            0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                        0x51 0xC2 0x10 0x32 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                  0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)         
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                C:\Programme\Alcohol Soft\Alcohol 120\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                            0x51 0xC2 0x10 0x32 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                      0x20 0x01 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----


Fsbl log

Code:
08/13/09 17:36:47 [Info]: BlackLight Engine 2.2.1092 initialized
08/13/09 17:36:47 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/13/09 17:36:47 [Note]: 7019 4
08/13/09 17:36:47 [Note]: 7005 0
08/13/09 17:37:02 [Note]: 7006 0
08/13/09 17:37:02 [Note]: 7011 336
08/13/09 17:37:02 [Note]: 7035 0
08/13/09 17:37:02 [Note]: 7026 0
08/13/09 17:37:02 [Note]: 7026 0
08/13/09 17:37:04 [Note]: FSRAW library version 1.7.1024
08/13/09 17:44:19 [Note]: 7007 0

Alles der Reihe nach wie im Thread beschrieben.

kira 13.08.2009 19:44
hi

OK, sieht gut aus, aber lassen wir ein Zwischenbericht von Kaspersky auch erstellen:

1.
den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
das SDFix kannst entfernen
F-Secure und Gmer auch

2.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

oOTopsyOo 14.08.2009 08:27
Scan hat was länger gedauert da ich alles gescannt habe..

Code:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2          Das Objekt ist gesperrt          übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\cert8.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\cookies.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\key3.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\parent.lock        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\places.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\search.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\signons.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{C8B19396-887E-11DE-8393-0015F20DE3D9}.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{C8B19397-887E-11DE-8393-0015F20DE3D9}.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{D91DE4E0-8880-11DE-8393-0015F20DE3D9}.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1i0ltumn.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\etilqs_PjMrjixfRWwixh0bIMrJ        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_5b0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF616E.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6179.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF61D6.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF61E1.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6215.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6220.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFB7BB.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFF218.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFFAA4.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20090814-045140.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBConfig.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDebug.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBDetect.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBNotify.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBRefr.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetCfg.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetDev.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetLoc.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBSetUsr.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStHash.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBStMSI.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\BBValid.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPPolicy.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStart.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\LOGS\SPStop.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\RhinoSoft.com\Serv-U\ServUTray.exe        Infizierte Objekte: not-a-virus:Server-FTP.Win32.Serv-U.6200        übersprungen
C:\Programme\Symantec AntiVirus\SAVRT\0460NAV~.TMP        Das Objekt ist gesperrt        übersprungen
C:\Programme\Symantec AntiVirus\SAVRT\0638NAV~.TMP        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINXP\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINXP\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\drivers\sptd.sys        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINXP\Temp\Perflib_Perfdata_268.dat        Das Objekt ist gesperrt        übersprungen
C:\WINXP\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
E:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log        Das Objekt ist gesperrt        übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
F:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log        Das Objekt ist gesperrt        übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
G:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\A0028524.exe        RAR: infiziert - 3        übersprungen
G:\System Volume Information\_restore{E7651ECC-51B7-432F-B57B-49114B7B2FCA}\RP107\change.log        Das Objekt ist gesperrt        übersprungen
Die Untersuchung wurde abgeschlossen.

kira 14.08.2009 09:22
hi

Scanergebnis nicht vollständig reinkopiert, aber nicht Gravierendes dabei

1.
den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw

2.
Rechten Maustaste auf den "Arbeitsplatz"-->auf "Eigenschaften"-->Registerkarte "Systemwiederherstellung"--> "Systemwiederherstellung deaktivieren"-->auf "OK"-->alles schließen-->Rechner neu starten-->die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
  • Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

6.
- eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- nach jedem Scanvorgang starte dein system neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern
Damit sollte in Ordnung sein :)

oOTopsyOo 14.08.2009 11:30
Hallo bis auf die online scanns habe ich alles wie beschrieben gemacht.
Die online scanns poste ich dann wenn sie durch sind.

Log..
Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/14/2009 at 12:09 PM

Application Version : 4.27.1002

Core Rules Database Version : 4056
Trace Rules Database Version: 1996

Scan type      : Complete Scan
Total Scan Time : 00:35:30

Memory items scanned      : 651
Memory threats detected  : 0
Registry items scanned    : 4486
Registry threats detected : 0
File items scanned        : 28775
File threats detected    : 14

Adware.Tracking Cookie
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@adfarm1.adition[1].txt
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@microsoftgamestudio.112.2o7[1].txt
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@atdmt[1].txt
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@bs.serving-sys[2].txt
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@serving-sys[1].txt
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@microsoftwindows.112.2o7[1].txt
        D:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@msnportal.112.2o7[1].txt
        .doubleclick.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
        .fastclick.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
        .fastclick.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
        .apmebf.com [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
        .adbureau.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
        .cgm.adbureau.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]
        .sonyonlineentertainment.112.2o7.net [ E:\Program Files\Sony\EverQuest II (DE)\mozilla\cookies.txt ]

oOTopsyOo 14.08.2009 14:28
hmm nu bin ich etwas verwirrt, Das Prg Avenger habe ich von einem link aus diesem board Oo :confused:

hier das Logfile vom onlinescan a-squared

Zitat:
a-squared Web Malware Scanner v. 4.0

Scan settings:

Objects: Memory, Traces, Cookies, C:\, D:\, E:\, F:\, G:\
Scan archives: On
Heuristics: Off
ADS Scan: On

Scan start: 8/14/2009 2:47:30 PM

G:\-( Tools )-\virus\avenger.exe detected: Trojan.Win32.Agent.cbzc!A2

Scanned

Files: 138918
Traces: 409223
Cookies: 7
Processes: 34

Found

Files: 1
Traces: 0
Cookies: 0
Processes: 0

Scan end: 8/14/2009 3:23:33 PM
Scan time: 12:36:03 AM
Bitdefender will meinen PC nicht online scannen... macht nen abruch bei der Virendefinitions download.. und dann die Meldung PC kann nicht gescannt werden..

Log von Symantec folgt

Mfg

oOTopsyOo 14.08.2009 15:18
so hier der scan mit symantec..

Code:
Virenstatus: Sicher!
Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.
Virenstatus: Infiziert!
Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.
 Virenstatus:
 
 
 
  136901 Dateien geprüft 1 infizierte Datei(en) auf Ihren Laufwerken.

 
  Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.  Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein.  Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton 360™ durch.
 
Es wurden keine Viren im Arbeitsspeicher gefunden.

Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden.  Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein.  Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton 360™ durch.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 
Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.

Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.
 

Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 

Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Hinweis: Die Prüfung wurde abgebrochen, bevor sie abgeschlossen war. Es können sich weitere infizierte Dateien auf diesem Computer befinden.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.
 

Es wurde keine Prüfung durchgeführt. Um die Virenerkennung zu starten, klicken Sie hier.

G:\-( Tools )-\FlashFxpI\FFXP Kg.exe ist infiziert mit Suspicious.MH690

Naja hieraus werde ich nicht schlau, keine vernünftige log datei :schmoll::confused:

oOTopsyOo 14.08.2009 15:25
Habe die Datei FFXP Kg.exe nochmal mit VirusTotal gescannt...

hier der log

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.24        2009.08.14        Trojan-Dropper.Agent!IK
AhnLab-V3        5.0.0.2        2009.08.14        Win-Trojan/Xema.variant
AntiVir        7.9.1.1        2009.08.14        TR/Agent.529124
Antiy-AVL        2.0.3.7        2009.08.14        Trojan/Win32.Agent.gen
Authentium        5.1.2.4        2009.08.13        W32/Heuristic-210!Eldorado
Avast        4.8.1335.0        2009.08.14        -
AVG        8.5.0.406        2009.08.14        Suspicion: unknown virus
BitDefender        7.2        2009.08.14        Trojan.Generic.1726530
CAT-QuickHeal        10.00        2009.08.13        Trojan.Agent.ATV
ClamAV        0.94.1        2009.08.14        -
Comodo        1976        2009.08.14        UnclassifiedMalware
DrWeb        5.0.0.12182        2009.08.14        BackDoor.Bifrost.922
eSafe        7.0.17.0        2009.08.13        Win32.PackedUpack.A
eTrust-Vet        31.6.6677        2009.08.14        -
F-Prot        4.4.4.56        2009.08.13        W32/Heuristic-210!Eldorado
F-Secure        8.0.14470.0        2009.08.14        Suspicious:W32/Malware!Gemini
Fortinet        3.120.0.0        2009.08.14        PossibleThreat!021375
GData        19        2009.08.14        Trojan.Generic.1726530
Ikarus        T3.1.1.64.0        2009.08.14        Trojan-Dropper.Agent
Jiangmin        11.0.800        2009.08.14        -
K7AntiVirus        7.10.819        2009.08.14        Trojan.Win32.Small
Kaspersky        7.0.0.125        2009.08.14        -
McAfee        5708        2009.08.13        Generic.dx
McAfee+Artemis        5708        2009.08.13        Generic.dx
McAfee-GW-Edition        6.8.5        2009.08.14        Heuristic.LooksLike.Trojan.Dropper.J
Microsoft        1.4903        2009.08.14        -
NOD32        4335        2009.08.14        probably a variant of Win32/Spy.Agent
Norman        6.01.09        2009.08.14        W32/Packed_Upack.A
nProtect        2009.1.8.0        2009.08.14        Trojan/W32.Agent.529124
Panda        10.0.0.14        2009.08.14        Trj/Lineage.BZE
PCTools        4.4.2.0        2009.08.12        Packed/Upack
Prevx        3.0        2009.08.14        Medium Risk Malware
Rising        21.42.44.00        2009.08.14        -
Sophos        4.44.0        2009.08.14        Sus/ComPack-C
Sunbelt        3.2.1858.2        2009.08.13        Trojan.Win32.Packer.Upack0.3.9 (v)
Symantec        1.4.4.12        2009.08.14        Suspicious.MH690.A
TheHacker        6.3.4.3.383        2009.08.13        W32/Behav-Heuristic-060
TrendMicro        8.950.0.1094        2009.08.14        Cryp_Xed-12
VBA32        3.12.10.9        2009.08.13        -
ViRobot        2009.8.14.1885        2009.08.14        -
VirusBuster        4.6.5.0        2009.08.14        Packed/Upack
weitere Informationen
File size: 529124 bytes
MD5...: 850b0e1107f569a3ae01dc3b1e0aef93
SHA1..: fe06ce9e28d2e62e80cc5d10628073a679f957e7
SHA256: a7b67998fde97db72fabf600cf7b75c12429432681af1262b5024726ee5d3dff
ssdeep: 12288:1avUVMCzg3QBX+IBiruWJw5Zx4LOyufXTlzR4lM9PB:1avoUoB6JJw7yuX
gitB
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x14e000 0x1f0 5.38 432b863aeba232bf0c6532a8388f2159
@_ 0x14f000 0x89000 0x810e4 7.94 b2a57818895561a1517cb41c2b79035b
_T@ 0x1d8000 0x1000 0x1f0 5.38 432b863aeba232bf0c6532a8388f2159

( 0 imports )

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch, UPack
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=850b0e1107f569a3ae01dc3b1e0aef93' target='_blank'>http://www.threatexpert.com/report.aspx?md5=850b0e1107f569a3ae01dc3b1e0aef93</a>
packers (Authentium): UPack, UPack, UPack
packers (F-Prot): UPack
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2B4651CEE431A62512E908898CEC1100B0E0629A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2B4651CEE431A62512E908898CEC1100B0E0629A</a>
Auch seltsam das jedes Programm ein anderen Virus erkennt :confused:


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:45 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55