Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows XP reagiert nach Neustart nicht auf Anklicken von Programmen (https://www.trojaner-board.de/53152-windows-xp-reagiert-neustart-anklicken-programmen.html)

Lost Soul 28.05.2008 17:54
Windows XP reagiert nach Neustart nicht auf Anklicken von Programmen
 
Hallo!

Ich hab ein Problem, und zwar reagierte mein Windows XP nach einem Neustart plötzlich nicht mehr auf das Anklicken von den meisten Programmen.
Ich habe erfolglos versucht, Outlook Express und Internet Explorer vom Desktop aus zu öffnen, Startmenü kann ich anklicken, aber daraus wird auch nichts mehr geöffnet (Arbeitsplatz, Systemsteuerung, Eigene Dateien). Ich habe den PC einige Male neu gestartet in der Hoffnung, dass es wieder geht, es veränderte sich aber nichts. Das einzige, was ich öffnen kann ist Antivir aus der Startleiste. Das scannt auch grad, hat aber bis jetzt nichts gefunden und ist nach 1 Stunde gerade mal bei 18%, es dauert also noch ewig. Durch Zufall hab ich Firefox in der Schnellstartleiste angeklickt und es öffnete sich ein Fenster, also versuche ich jetzt, etwas rauszufinden. In den Wondwos Explorer komm ich auch nicht rein.

Ich habe einen Hijackthis Scan durchgeführt und poste den Log dann am Ende von meinem Post.

Was vielleicht noch wichtig ist, ich hatte in den letzten Tagen 2-3 Virusmeldungen von Antivir, habe aber immer "Zugriff verweigern" angeklickt. Außerdem hab ich seit Montag ein neues Tastatur-Maus-Set (beides USB, von Trust). Da kam am Montag eine Errormeldung mit blauem Bildschirm. Ich hab die Errormeldung dann über Google gefunden und da hieß es, man soll einen neuen Treiber für die Tastatur und Maus von der Herstellerseite runterladen, was ich auch gemacht hab.

Hier ist also mein Hijackthis Log, bin für jede Hilfe dankbar.


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:38, on 28.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Trust\Trust R-series Mouse And Keyboard\MouseDrv.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\hpcmpmgrFix.exe
C:\Programme\Overland\Wrapper.exe
C:\Programme\Overland\setup.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Mozilla Firefox\hpcmpmgrFix.exe
C:\Programme\Overland\Wrapper.exe
C:\Programme\Overland\setup.exe
C:\Programme\Mozilla Firefox\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.*****.de:80;http=proxy.*****.de:80;https=proxy.****.de:80;socks=proxy.****.de:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.17.32.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://w*w.msn.de/
O16 - DPF: CabBuilder - h**p://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/23ea10ffae3267990f05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095860348328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {66D845A0-C3BB-45AD-807C-9BFEAF20EF2C} (InPEditor Class) - h**p://ocs.imi.uni-erlangen.de/content/static/ecm/activex/Enable_Edit_In_Place.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F371830C-EEAF-445B-BB5E-69A6D9C06F37}: NameServer = 131.188.3.72,131.188.3.73
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) -  - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9307 bytes

cosinus 28.05.2008 22:02
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Sry aber was verlangst Du auch von diesem ungepatchten Windows? WinXP SP1 wird schon seit fast zwei Jahren nicht mehr von MS supported...:kloppen: Dementsprechend bleiben Bugs und sicherheitskritische Fehler eben auf der Strecke. Dennoch sieht man keine üblem Einträge im hijackthis logfile, das muß aber noch lange nichts heißen.

- Poste das AntiVir Log
- Laß das System mit Blacklight und silentrunners scannen und poste die Logs

Links in meiner Sig.

Lost Soul 28.05.2008 23:20
Danke für die Antwort ;)

Bisher lief auch alles gut, also sah ich keine Notwendigkeit, Windows upzudaten :heilig:

Ich hab mit der Anleitung aus diesem Forum eScan laufen lassen und es hat 3 Dateien gefunden, die infiziert sind. Wobei ich bei den letzten 2 nicht sicher bin, ob das stimmt (mIRC).

Jedenfalls, genau nachdem ich eScan runtergeladen habe und in den sicheren Modus wechseln wollte, sprang mir auf einmal das Systemsteuerungsfenster entgegen und seitdem lässt sich auch alles wieder öffnen. Ich hab aber eScan trotzdem laufen lassen.

Antivir findet in den vom eScan gemeldeten Dateien übrigens nichts :dummguck:

Hier ist das eScan-Ergebnis (mit find.bat ausgewertet):

Code:
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal
 
eScan Version: 9.8.8
Sprache: German
C:\DOKUME~1\***~1\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\****\Eigene Dateien\imagetopdf.exe//file05 infiziert durch den Virus "Backdoor.Win32.MSNMaker.bx"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\*****\Eigene Dateien\mirc621.exe//stream//data0008 markiert als "not-a-virus:Client-IRC.Win32.mIRC.621". Keine Maßnahme ergriffen.
Datei C:\Programme\mIRC\mirc.exe markiert als "not-a-virus:Client-IRC.Win32.mIRC.621". Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k rpcss
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
explorer.exe - C:\WINDOWS\Explorer.EXE
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\****\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry {DCED20BE-3645-11D4-BC95-00C04F0E0588} = C:\Programme\CA\eTrust Antivirus\InoShell.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
ERROR!!! Invalid Entry msnappau = "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
ERROR!!! Invalid Entry Uniblue RegistryBooster 2 = C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.
ERROR!!! ScanFile fails for C:\DOKUME~1\***\Desktop\mwav.exe
ERROR!!! Invalid Entry System32\Drivers\iiusbisp.sys in SYSTEM\CurrentControlSet\Services\IIUSBISP...
Result: ERROR!!! File C:\DOKUME~1\***\LOKALE~1\Temp\dex_mp-23412-1.tmp is Not Scanned
Result: ERROR!!! File C:\DOKUME~1\***\LOKALE~1\Temp\dex_mp-23600-1.tmp is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\***\LOKALE~1\Temp\GMX\FIREFO~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\LOKALE~1\Temp\netfx1.cab
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\DRWATS~1\user.dmp
Result: ERROR!!! File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WK33L2EZ\iv_nt86[1].exe is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\***\Desktop\mwav.exe
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Eigene Dateien\aawsepersonal.exe: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\AAWSEP~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\ASHAMP~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\EIGENE~4\ede\EDE_AE~1.RAR
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\EIGENE~2\2003-1~1.RAR
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\EIGENE~2\NWGTEB~1\NWLIVE~1.RAR
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\EIGENE~2\NWGTEB~1\***~2.RAR
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\***\***LIMb_07[1].part1.rar: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\EIGENE~2\NWMONT~1\***~1.RAR
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\EIGENE~2\***~1.RAR
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\gimp2213.zip
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\IE7-WI~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\IE7Setup.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\INSTAL~4.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\INSTAL~2.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\Meine.zip
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\OOO_20~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\OPENOF~1.0IN\OPENOF~1.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\OPENOF~1.0IN\OPENOF~2.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\OPENOF~1.0IN\OPENOF~3.CAB
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\WINAMP~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\EIGENE~1\ZLSSET~4.EXE
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.com\SharingMetadata\hanna.hexchen@web.de\DFSR\Staging\CS{1A575833-1555-4C9A-CE9A-EE1997C00A29}\01\14-{1A575833-1555-4C9A-CE9A-EE1997C00A29}-v
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.com\SharingMetadata\moondance_69@hotmail.com\DFSR\Staging\CS{803BC49D-7807-8E9C-888B-5A678B2361CE}\01\12-{803BC49D-7807-8E9C-888B-5A678B2361C
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.com\SharingMetadata\moondance_69@hotmail.com\DFSR\Staging\CS{803BC49D-7807-8E9C-888B-5A678B2361CE}\13\13-{45C352A7-A9F5-422E-9CAD-4F69FD8F2D4
ERROR!!! ScanFile fails for C:\DOKUME~1\***\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\***\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\dex_mp-23412-1.tmp is Not Scanned
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\dex_mp-23600-1.tmp is Not Scanned
ERROR!!! ScanFile fails for C:\DOKUME~1\***\LOKALE~1\Temp\GMX\FIREFO~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\***\LOKALE~1\Temp\netfx1.cab
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\MZG3AZMV\startpage%26crg%3DqaQwpZwiZOXzPrnlBfy50Bw%2BCUviuP45FEmuVxLX3fBsQCXMx8EwvohkqLQ8gBs3xPnzkc7rQZ4Utx9ka%2BivtiVttm3Ab%2Bv3RH9CsQBhcmfrNaxlcyvXSX1mAvI
ERROR!!! ScanFile fails for C:\DOKUME~1\***\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\***\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\PROGRA~1\AOL9~1.0\backup\restore\comp02.000
ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\WISEIN~1\WIS11B~1.MSI
ERROR!!! ScanFile fails for C:\Programme\Java\j2re1.4.2\lib\rt.jar
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.5.0_06\lib\rt.jar
Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask: Scanning Failure!!!
ERROR!!! ScanFile fails for C:\PROGRA~1\Lavasoft\AD-AWA~1\Skins\AD-AWA~1.ASK
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.0\share\config\images.zip
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.0\share\config\IMAGES~3.ZIP
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.0\share\config\IMAGES~1.ZIP
ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.0\share\config\IMAGES~2.ZIP
ERROR!!! ScanFile fails for C:\Programme\Pinnacle\MediaCenter\Install\Microsoft\dotnetfx.exe
ERROR!!! ScanFile fails for C:\Programme\Pinnacle\MediaServer\Install\MSDE\Setup\SqlRun.cab
ERROR!!! ScanFile fails for C:\Programme\TKexeKalender\languages\???????.ad
ERROR!!! ScanFile fails for C:\Programme\TKexeKalender\languages\???????.ad
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB824141$\user32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\hh.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\html32.cnv
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\itss.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\locator.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\osk.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\srv.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\user32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\es.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB833330$\Blastcln\blastcln.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB833998$\shell32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB833998$\sxs.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\h323.tsp
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB839645$\fldrclnr.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB839645$\shell32.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB839645$\sxs.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallKB839645$\xpsp2res.dll
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx
ERROR!!! ScanFile fails for C:\WINDOWS\$NtUninstallQ828026$\wmp.dll
ERROR!!! ScanFile fails for C:\WINDOWS\Cache\ADOBER~1.1\DEUBIG\Data1.cab
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\I386\DRIVER.CAB
ERROR!!! ScanFile fails for C:\WINDOWS\INSTAL~1\MSNMES~1.017\MsnMsgs.Msi
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for D:\Tools\AOL\AOLSetup.EXE
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\INSTAN~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\INSTAN~2.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\INSTAN~3.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\IN0201~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\IN0601~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\IN0A01~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\IN0E01~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\IN0211~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1\INSTAN~1.0_S\INSTAN~1\IN0611~1.CAB
ERROR!!! ScanFile fails for D:\Tools\PINNAC~1.5(B\MICROS~1.1\dotnetfx.exe
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1      localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1      localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 115251
Zahl der kritischen Objekte: 3
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 13
Zeit verstrichen: 03:21:01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert
 
Batchstart:  0:00:07,21
Batchende:  0:00:17,23
Werd jetzt mal nach Backdoor win32.msnmaker googeln :kloppen:

Edit: trotz eScan noch Silentrunners und Blacklight?

cosinus 29.05.2008 07:46
Zitat:
Zitat von Lost Soul (Beitrag 341889)
Edit: trotz eScan noch Silentrunners und Blacklight?
Selbstredend. Klar. Von escan hab ich auch nix geschrieben.... :rolleyes:
Werte die als Backdoor eingestufte Datei auch mal bei Virustotal aus und poste die Results. :kloppen:

qwertz99 29.05.2008 08:04
dieses problem hatte ich auch einmal, ich weiß nicht mehr genau wie ich das gemacht habe, aber windows wußte bei mir nicht mehr was er mit der endung .exe anfangen soll. habe der endung damals manuell wieder den befehl ausführen zugeordnet. wie das geht können dir die netten herren hier bestimmt erklären :)
drauf gekommen bin ich, nachdem sich alle programme ausführen ließen, bei denen ich die endung in .bat oder andere anwendungsendungen geändert habe.

Lost Soul 29.05.2008 12:26
Zitat:
Zitat von root24 (Beitrag 341910)
Selbstredend. Klar. Von escan hab ich auch nix geschrieben.... :rolleyes:
Hatte es ja schon vor deinem Post laufen ;)
Ok, mach ich.

PC funktioniert wieder ganz normal übrigens :dummguck:

Virustotal:

Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.29.0 2008.05.29 -
AntiVir 7.8.0.19 2008.05.29 -
Authentium 5.1.0.4 2008.05.28 W32/Backdoor2.AOEW
Avast 4.8.1195.0 2008.05.29 -
AVG 7.5.0.516 2008.05.29 -
BitDefender 7.2 2008.05.29 -
CAT-QuickHeal 9.50 2008.05.28 -
ClamAV 0.92.1 2008.05.29 -
DrWeb 4.44.0.09170 2008.05.29 -
eSafe 7.0.15.0 2008.05.28 -
eTrust-Vet 31.4.5832 2008.05.29 -
Ewido 4.0 2008.05.29 -
F-Prot 4.4.4.56 2008.05.28 W32/Backdoor2.AOEW
F-Secure 6.70.13260.0 2008.05.29 Backdoor.Win32.MSNMaker.bx
Fortinet 3.14.0.0 2008.05.29 -
GData 2.0.7306.1023 2008.05.29 Backdoor.Win32.MSNMaker.bx
Ikarus T3.1.1.26.0 2008.05.29 -
Kaspersky 7.0.0.125 2008.05.29 Backdoor.Win32.MSNMaker.bx
McAfee 5305 2008.05.28 -
Microsoft 1.3520 2008.05.29 -
NOD32v2 3143 2008.05.29 -
Norman 5.80.02 2008.05.28 -
Panda 9.0.0.4 2008.05.28 -
Prevx1 V2 2008.05.29 -
Rising 20.46.32.00 2008.05.29 -
Sophos 4.29.0 2008.05.29 Mal/Generic-A
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.29 -
TheHacker 6.2.92.322 2008.05.28 -
VBA32 3.12.6.6 2008.05.29 -
VirusBuster 4.3.26:9 2008.05.28 -
Webwasher-Gateway 6.6.2 2008.05.29 -
weitere Informationen
File size: 1686937 bytes
MD5...: 849c340156ca9b0cbf695c6407e35036
SHA1..: 0fb70e10e2b2de104bde5b5390c02e251992dda1
SHA256: f746e695359d28fef7a8305d69d8db5afdafafa46f37ef13cbcd94046598761d
SHA512: cd6e02af02411d77e96e73fa761f66486f79e6f9f2cfb9e69ccc416139310132
1057dae3e7a47b94e9f51331dd417f1df1f423312784c589e529ddb687a308af
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4097f0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x8f14 0x9000 6.58 19aec1c1a4ef2fb9fe30b219ab07ddb2
DATA 0xa000 0x248 0x400 2.72 6344b5e22b5b2675be150744885e2671
BSS 0xb000 0xe34 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xc000 0x942 0xa00 4.42 563cb4ae07a81b0403d850851e368293
.tls 0xd000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xe000 0x18 0x200 0.20 d293bf8d4ebe9826d58e1d27c25fe4b6
.reloc 0xf000 0x880 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x10000 0x2800 0x2800 4.34 1f7a750151d0d1f74977315ef7b2ead4

( 8 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
> kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA
> comctl32.dll: InitCommonControls
> advapi32.dll: AdjustTokenPrivileges

( 0 exports )
Danke übrigens für die Hilfe, wäre allein ziemlich aufgeschmissen :)

Edit:

Blacklight: "Scan completed. No hidden items were found."

Zitat:
05/29/08 13:53:19 [Info]: BlackLight Engine 1.0.70 initialized
05/29/08 13:53:19 [Info]: OS: 5.1 build 2600 (Service Pack 1)
05/29/08 13:53:19 [Note]: 7019 4
05/29/08 13:53:19 [Note]: 7005 0
05/29/08 13:55:36 [Note]: 7006 0
05/29/08 13:55:36 [Note]: 7011 1300
05/29/08 13:55:36 [Note]: 7035 0
05/29/08 13:55:36 [Note]: 7026 0
05/29/08 13:55:36 [Note]: 7026 0
05/29/08 13:55:40 [Note]: FSRAW library version 1.7.1024
05/29/08 13:59:40 [Note]: 7007 0

Lost Soul 29.05.2008 13:27
Silentrunner:

Code:
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Uniblue RegistryBooster 2" = "C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["America Online, Inc"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"Dit" = "Dit.exe" ["ICSI Technology Ltd."]
"CHotkey" = "mHotkey.exe" ["Chicony"]
"PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg" [empty string]
"PMCRemote" = "C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe" ["Pinnacle Systems"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"HP Software Update" = ""C:\Programme\HP\HP Software Update\HPWuSchd.exe"" ["Hewlett-Packard"]
"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
"Creative WebCam Tray" = "C:\Programme\Creative\Shared Files\CAMTRAY.EXE" ["Creative Technology Ltd"]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"WireLessMouse" = "C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exe" ["UASSOFT.COM"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Sign-in Helper"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "ST"
                  \InProcServer32\(Default) = "C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll" [MS]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "MSNToolBandBHO"
                  \InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
  -> {HKLM...CLSID} = "InoShell"
                  \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                  \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
  -> {HKLM...CLSID} = "CD Copy Shell Extension"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
  -> {HKLM...CLSID} = "CD Wizard Shell Extension"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
  -> {HKLM...CLSID} = "InstantWrite Shellextension"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\ShellExt\iwshex.dll" ["VOB Computersysteme GmbH"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
  -> {HKLM...CLSID} = "dBpShell Class"
                  \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
  -> {HKLM...CLSID} = "dMCIShell Class"
                  \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {HKLM...CLSID} = "Portable Media Devices Menu"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                  \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpowerAMP Column Handler"
  -> {HKLM...CLSID} = "dBpShell Class"
                  \InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
IGXMADD\(Default) = "{6DB8751F-2BBF-11d2-A39B-00C04FB96AD2}"
  -> {HKLM...CLSID} = "Micrografx Share Media File Import Shell Extension"
                  \InProcServer32\(Default) = "C:\Programme\Corel\CorelDRAW ESSENTIALS 2\Photobook\Share\Media\igxMadd.dll" ["Micrografx, Inc."]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
  -> {HKLM...CLSID} = "InoShell"
                  \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
  -> {HKLM...CLSID} = "InoShell"
                  \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\DOKUME~1\***\ANWEND~1\DESKTO~1\33\***~1.SCR" (***Player.scr) [null data]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

dMCAudioCDInput\
"Provider" = "dMC Audio CD Input"
"InvokeProgID" = "dMC.AudioCD.Autorun"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\dMC.AudioCD.Autorun\shell\open\command\(Default) = ""C:\Programme\Illustrate\dBpowerAMP\CDGrab.exe"" ["Illustrate"]

HPUnloadAutoplay\
"Provider" = "HP Bild-Entladeprogramm"
"InvokeProgID" = "HpqUnApl.Autoplay"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\HpqUnApl.Autoplay\shell\Play\DropTarget\CLSID = "{E1A1C814-FD09-4c9d-BB4A-0394B836A1F0}"
  -> {HKLM...CLSID} = (no title provided)
                  \LocalServer32\(Default) = "C:\Programme\HP\Digital Imaging\Unload\HpqUnApl.exe" ["Hewlett-Packard"]

MSVideoCameraArrival\
"Provider" = "@C:\Programme\Movie Maker\1031\wmm2res.dll,-100"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = ""C:\Programme\Movie Maker\moviemk.exe" /RECORD"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                  \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

NeroAutoPlayAudioCD\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "AudioCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\AudioCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"]

NeroAutoPlayEmptyCD\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "EmptyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\EmptyCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"]

NeroAutoPlayMusicCD\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay"
"InvokeVerb" = "MusicCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay\shell\MusicCD\command\(Default) = ""C:\Programme\Ahead\nero startsmart\nerostartsmart.exe" /Drive:%L" ["Ahead Software AG"]

PCLEVideoCameraArrival\
"Provider" = "Pinnacle Studio"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Pinnacle\Studio 9\programs\studio.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                  \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

PIInstantCDDVD_StartMenuExpressionOnArrival\
"Provider" = "Pinnacle Expression"
"InvokeProgID" = "PIInstantCDDVD_StartMenuAutoPlay"
"InvokeVerb" = "Expression"
HKLM\SOFTWARE\Classes\PIInstantCDDVD_StartMenuAutoPlay\shell\Expression\command\(Default) = "C:\Programme\Pinnacle\InstantCDDVD\Pinnacle Expression\Programs\PExpress.exe" ["Pinnacle Systems"]

PIInstantCDDVD_StartMenuICinemaOnArrival\
"Provider" = "InstantCinema"
"InvokeProgID" = "PIInstantCDDVD_StartMenuICinemaOnArrival"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\PIInstantCDDVD_StartMenuICinemaOnArrival\shell\play\Command\(Default) = "C:\Programme\Pinnacle\InstantCDDVD\PinnacleMediaCenter\PinnacleMediaCenter.exe" ["Pinnacle Systems, Inc."]

PIInstantCDDVD_StartMenuICopyOnArrival\
"Provider" = "Pinnacle InstantCopy"
"InvokeProgID" = "PIInstantCDDVD_StartMenuAutoPlay"
"InvokeVerb" = "InstantCopy"
HKLM\SOFTWARE\Classes\PIInstantCDDVD_StartMenuAutoPlay\shell\InstantCopy\Command\(Default) = "C:\Programme\Pinnacle\InstantCDDVD\InstantCopy\ICopy.exe" ["Pinnacle Systems GmbH"]

PIInstantCDDVD_StartMenuIDiscOnArrival\
"Provider" = "Pinnacle InstantDisc"
"InvokeProgID" = "PIInstantCDDVD_StartMenuAutoPlay"
"InvokeVerb" = "InstantDisc"
HKLM\SOFTWARE\Classes\PIInstantCDDVD_StartMenuAutoPlay\shell\InstantDisc\Command\(Default) = "C:\Programme\Pinnacle\InstantCDDVD\InstantDisc\IDisc.exe" ["Pinnacle Systems, Inc."]

PIInstantCDDVD_StartMenuStarterOnArrival\
"Provider" = "Pinnacle InstantCD/DVD"
"InvokeProgID" = "PIInstantCDDVD_StartMenuAutoPlay"
"InvokeVerb" = "Starter"
HKLM\SOFTWARE\Classes\PIInstantCDDVD_StartMenuAutoPlay\shell\Starter\Command\(Default) = "C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Starter.exe" ["Pinnacle System Inc."]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
  -> {HKLM...CLSID} = "RealNetworks Scheduler"
                  \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                  \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]


Startup items in "***" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
"Service Manager" -> shortcut to: "C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe /n" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
  -> {HKLM...CLSID} = "MSN"
                  \InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]
"{2D1DDD38-CE4D-459B-A01C-F11BC92D5B69}"
  -> {HKLM...CLSID} = "GMX Toolbar"
                  \InProcServer32\(Default) = "C:\Programme\GMX\GMX Toolbar\toolbar.dll" ["GMX GmbH"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
  -> {HKLM...CLSID} = "MSN"
                  \InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll" [MS]
"{2D1DDD38-CE4D-459B-A01C-F11BC92D5B69}" = (no title provided)
  -> {HKLM...CLSID} = "GMX Toolbar"
                  \InProcServer32\(Default) = "C:\Programme\GMX\GMX Toolbar\toolbar.dll" ["GMX GmbH"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Real.com"
                  \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.msn.de/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
AOL Connectivity Service, AOL ACS, "C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe" ["America Online, Inc."]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
GMX Firefox Update, AdminSVCff, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe" ["hablamax"]
MSSQL$PINNACLESYS, MSSQL$PINNACLESYS, "C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe -sPINNACLESYS" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Pinnacle Systems Media Service, PinnacleSys.MediaServer, "c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe" [null data]
Pinnacle Systems tvtv Spooler, EpgSpooler, "c:\progra~1\pinnacle\mediac~1\epgspo~2.exe" [null data]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzsnt09\Driver = "hpzsnt09.dll" ["HP"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2008-05-29 13:58:45)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 282 seconds.
---------- (total run time: 1694 seconds)

cosinus 29.05.2008 15:19
Kann dort so nichts im Silentrunners Logfile erkennen. Weißt Du noch wo du diese imagetopdf.exe herhast? Sieht hier schon fast nach nem Fehlalarm aus. Aber entwarnen möchte ich hier noch nicht. Lösche diese Datei wenn Du sie nicht mehr brauchst.

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Sieh auch unbedingt zu, daß essentiell wichtige Updates auf Dein System kommen. Am besten Du lädst gleich das Service Pack 3 rauf und "überspringst" das SP2 (SPs sind kumulativ!)

Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler

Lost Soul 29.05.2008 15:24
Nee, leider nicht. Ich hab über Google nach einem Programm gesucht, mit dem in Bilder in Pdfs umwandeln kann und hab mir dieses Imagetopdf runtergeladen. Das war vielleicht vor einem Jahr. Ich brauch das Programm nicht mehr, kanns also ruhig löschen.
Oder soll ich lieber die Shareware von F-Secure (das anscheinend den Virus erkennt) runterladen und es damit entfernen, wenn es geht?

Logfile:

http://www.file-upload.net/download-...sting.txt.html

Lost Soul 29.05.2008 20:21
Habe imagetopdf.exe gelöscht und Windows Update auf "automatisch" eingestellt.
Im Update gabs nur sp 2, also hab ich das jetzt runtergeladen...
Hoffe, dass mein PC nun frei ist :kloppen:

Sorry für Doppelpost, Editieren geht nicht...:confused:

cosinus 04.06.2008 20:58
Ok, sry für die späte Antwort, sieht aber alles halb so wild aus. :D
Du solltest das jetzt dringend tun:

1.) Den PC von unnötigen Dateien mit dem ccleaner befreien.
2.) Das Service Pack 3 für Windows XP herunterladen und installieren - wäre aber von Vorteil alles Wichtige vorher zu sichern und sämtliche unnötigen Programme (dazu zählen auch Virenscanner und andere Sicherheitsprogramme!!) zu beenden/deaktivieren. Ne Internetverbindung brauchst Du während der Install auch nicht.

Lost Soul 05.06.2008 22:20
Kein Problem ;)

Ist es schlimm, dass ich letztes WE das gleiche Problem wieder hatte, nachdem ich die Datei mit dem Virus gelöscht hatte? Dabei startete mein PC von alleine neu (ich hab nichts gemacht) und danach ging das wieder los - nichts kann man anklicken :crazy: Aber nach nochmal starten (diesmal gewollt) ging das wieder.

"Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler" - ich hab doch kein Netzwerk?
Das mit dem ccleaner mach ich dann. Lösche zwar regelmäßig Temporary Internet Files und Temp, aber da bin ich mir nicht sicher was ich löschen darf und was lieber nicht :confused:

cosinus 05.06.2008 22:54
Lösch mal dieses AdultPDF. Entfernen über Systemsteuerung / Software, ist es dort niht, den Programmordner manuell entfernen. Ich meine diese imagetopdf.exe war im Zusammenhang mit dem AdultPDF.... :kloppen:

Und das SP3 ist deswegen ein Netzwerkinstallationspaket, weil es die "Vollversion" des SP3 ist - da ist alles an Updates drin, beinhaltet also auch die vorhergehenden SPs. Ich denke das ist am einfachstenund bei den DSL-Anschlüssen heutzutage auch kein Problem mehr 313 MB herunterzuladen. Wenn Du das nicht willst solltest Du Windows-Update ausführen, aber ich würde es über das volle SP3 erledigen.

Lost Soul 09.06.2008 12:39
ja, adultpdf war im imagetopdf programmordner mit drin. ich meine, ich hab den ordner damals mitgelöscht, als ich imagetopdf.exe gelöscht hab. jedenfalls finde ich jetzt über die suche weder imagetopdf noch adultpdf.

hoffentlich hab ich nun ruh :kloppen:

vielen dank nochmal für deine hilfe ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131