Trojaner-Board - Spyware Befall

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Spyware Befall (https://www.trojaner-board.de/60122-spyware-befall.html)

Hallo liebes Trojaner-Board Team
ich habe heute meinen PC komplett mit F-Secure scannen lassen und es wurden auch gleich 5 Spyware Programme gefunden....

Zitat:

Ergebnis: 5 Malware gefunden
Tracking Cookie (cookie)

* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adserver.71i[1].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adserver.71i[2].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@qksrv[2].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adfarm1.adition[1].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@ivwbox[1].txt Aktion: gelöscht

diese hier aber das ist nicht das problem sondern mein Problem ist das hier:

Zitat:

Ausgeschlossen:

* Spyware (vom Administrator ausgeschlossen): RemoteAdmin.Win32.ChrisControl RemoteAdmin.Win32.WinVNC RemoteAdmin.Win32.WinVNC-based RiskTool.Win32.PsExec RiskTool.Win32.PsKill RiskTool.Win32.PsShutdown Windows
* Objekte: C:\IonVantage C:\IonVantage Projects DOSModBerg-V8042D027.xls DOSModBerg-V8042D028.xls DOSModBerg-V8042D029.xls DOSModBerg-V8042D030.xls DOSModBerg-V8042D031.xls Dc75.xls Dc76.xls DosModBergV8000-n.xls EinlesedateiMessprogrammVersauerung.xls LIS-Seen_0209.xls LIS-Seen_2101.xls MustereinlesedateineuPVB.xls ORAC-ISO_97_1108.xls ORAC-ISO_97_1303.xls ORAC-ISO_XP_1108.xls ORAC-ISO_XP_1303.xls PABS-JBD_97_0606.xls PABS-JBD_97_2402.xls PABS-JBD_XP_0606.xls PABS-JBD_XP_2402.xls Radon-Prüf.xls c:\Programme

ich kann mich nicht erinnern das ich jemals irgenteine spyware *ausgeschlossen* hätte....
ich hoffe das waren alle daten und hier sollte ein Hijack nicht nötig sein wenn doch bitte posten
Danke schon mal!
Mfg
zZz

Hi und :hallo:

Wieso sollte ein HJT Log nicht notwendig sein?
Bitte erstelle eins;)

grüsse trojan-death

Versuche mal bitte folgende Dateien zu finden:

Zitat:

com.bat
msconfiig.exe
VNCHooks.dll

grüsse trojan-death

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:35, on 17.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [urlhttp://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [urlhttp://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [urlhttp://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [urlhttp://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [urlhttp://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [u]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7028 bytes

hier ist es
edit: wie meinst du das suchen`?

Lass dann auch mal noch Malwarebytes laufen;)

aber ich hab doch erst vor kurzem meinem pc alles angetan was man machen kann damit der sauber is einschließlich combofix und seitdem war ich auf keinen bösen seiten... wie geht denn das?!

Zitat:

Zitat von zZz (Beitrag 374371)

aber ich hab doch erst vor kurzem meinem pc alles angetan was man machen kann damit der sauber is einschließlich combofix und seitdem war ich auf keinen bösen seiten... wie geht denn das?!

1. Mach bitte einfach das durch was ich dir sage;)
2. Hast du selber bereinigt? Oder durch ein Board?
3. Vlt. ist es ja ein Rootkit, was ich nicht vermute!!
4. Hast du das Log von ComboFix noch? Wenn ja, bitte poste es;)
5. Wie lange ist es her seit dem du "bereinigt" hast?

grüsse trojan-death

Thread: Gehackt =(

CF wurde unter meiner Obhut empfohlen und ausgewertet. ;)

Zitat:

ComboFix 08-09-05.09 - Admin 2008-09-08 21:30:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1607 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\MSINET.oca

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-08 bis 2008-09-08 ))))))))))))))))))))))))))))))
.

2008-08-28 15:52 . 2008-08-28 15:52 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-28 15:52 . 2008-08-28 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-27 22:04 . 2008-08-27 22:04 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-08-27 21:59 . 2008-08-27 21:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-27 21:59 . 2008-08-27 21:59 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-27 21:57 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-17 20:21 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-15 12:11 . 2008-08-17 14:57 <DIR> d-------- C:\Programme\SiteAdvisor
2008-08-15 12:11 . 2008-08-15 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SiteAdv isor
2008-08-15 12:10 . 2008-08-15 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-08-15 12:10 . 2008-08-15 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-08-15 12:10 . 2008-08-15 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SiteAdvisor
2008-08-15 11:55 . 2008-09-08 19:14 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-15 11:55 . 2008-08-15 11:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-15 11:55 . 2008-08-15 11:55 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-08-15 11:55 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-15 11:55 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 23:19 . 2008-08-14 23:19 <DIR> d-------- C:\Programme\CCleaner
2008-08-14 11:11 . 2008-08-14 11:11 <DIR> d-------- C:\Programme\Trend Micro
2008-08-11 23:00 . 2008-08-11 23:00 <DIR> d-------- C:\Programme\AssaultCube

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-09-08 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-07 21:25 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2008-09-07 20:31 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\skypePM
2008-09-04 11:36 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\teamspeak2
2008-09-04 10:14 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\phonostar-Player
2008-09-02 23:18 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-09-02 19:34 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\gtk-2.0
2008-09-02 16:27 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MSN6
2008-08-31 16:00 --------- d-----w C:\Programme\Norton Security Scan
2008-08-31 16:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-28 13:56 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-28 13:08 --------- d-----w C:\Programme\ICQ6
2008-08-27 22:34 --------- d-----w C:\Programme\Microsoft Works
2008-08-27 19:59 --------- d-----w C:\Programme\QuickTime
2008-08-27 19:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-27 19:57 --------- d-----w C:\Programme\Java
2008-08-12 13:15 --------- d-s---w C:\Programme\Xfire
2008-08-10 15:58 --------- d-----w C:\Programme\CamStudio
2008-08-03 12:11 --------- d-----w C:\Programme\Gameforge4D
2008-08-01 21:59 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-01 21:59 --------- d-----w C:\Programme\Windows Live
2008-08-01 21:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-07-28 12:19 --------- d-----w C:\Programme\AutoHotkey
2008-07-28 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-28 11:29 --------- d-----w C:\Programme\phonostar
2008-07-28 11:29 --------- d-----w C:\Programme\Norton SystemWorks
2008-07-28 11:29 --------- d-----w C:\Programme\Nettalk6
2008-07-28 11:29 --------- d-----w C:\Programme\GameSpy Arcade
2008-07-28 11:29 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Xfire
2008-07-28 11:29 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Personal Desktop
2008-07-28 11:29 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Nettalk
2008-07-26 09:57 --------- d-----w C:\Programme\Zone Labs
2008-07-22 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-19 06:00 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 17:23 --------- d-----w C:\Programme\phase5
2008-07-14 19:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-03-12 14:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-07 185896]
"SiteAdvisor"="C:\Programme\SiteAdvisor\6261\SiteA dv.exe" [2007-08-13 36640]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 7\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^ Nettalk.lnk]
path=C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\ Nettalk.lnk
backup=C:\WINDOWS\pss\Nettalk.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^ Thoosje Vista Sidebar.lnk]
path=C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\ Thoosje Vista Sidebar.lnk
backup=C:\WINDOWS\pss\Thoosje Vista Sidebar.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
--a------ 2003-06-10 19:02 94208 C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 2006-08-16 17:41 114688 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 2006-08-16 17:39 98304 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
-ra------ 2006-08-16 17:38 94208 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-03-11 20:12 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-11-20 18:15 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"TUWinStylerThemeSvc"=2 (0x2)
"SbieSvc"=2 (0x2)
"gusvc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\Go ogleToolbarNotifier.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"PhonostarTimer"=C:\Programme\phonostar\ps_timer.e xe
"PhonostarAgent"=C:\Programme\phonostar\ps_agent.e xe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"SandboxieControl"="C:\Programme\Sandboxie\SbieCtr l.exe"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"nwiz"=nwiz.exe /install
"RTHDCPL"=RTHDCPL.EXE
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_0 6\bin\jusched.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"Alcmtr"=ALCMTR.EXE
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"F-Secure Manager"="C:\Programme\F-Secure\Common\FSM32.EXE" /splash
"F-Secure TNB"="C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\phonostar\\ps_olect.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\LucasArts\\Star Wars Battlefront\\GameData\\battlefront.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Admin\\Desktop\\Tactical Ops\\System\\TacticalOps.exe"=
"C:\\Programme\\Xfire\\Xfire.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 GhPciScan;GhostPciScanner;C:\Programme\Norton SystemWorks\Norton Ghost\ghpciscan.sys [2003-05-28 5632]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure\Anti-Virus\minifilter\fsgk.sys [2007-08-27 62064]
R3 NBAG723;ZyXEL 802.11a/b/g AG723 Driver;C:\WINDOWS\system32\DRIVERS\Wlanchag.sys [2005-12-23 360256]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sy s [2006-11-01 35840]
S3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-07-03 29696]
S3 SbieDrv;SbieDrv;C:\Programme\Sandboxie\SbieDrv.sys [2008-07-01 96256]
S4 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2007-08-27 39792]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure\Anti-Virus\Win2K\FSrec.sys [2007-08-27 25200]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{0dd855bd-eea9-11dc-8c6c-0013498e6beb}]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b8ff2d6a-ec17-11dc-857f-806d6172696f}]
\shell\play\Command - "C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L"

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefo x\Profiles\nsmy8ypq.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - Space4k
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 21:32:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
Zeit der Fertigstellung: 2008-09-08 21:33:36
ComboFix-quarantined-files.txt 2008-09-08 19:33:34

Pre-Run: 17 Verzeichnis(se), 124,221,992,960 Bytes frei
Post-Run: 21 Verzeichnis(se), 124,213,235,712 Bytes frei

217 --- E O F --- 2008-08-27 22:35:17

hier is der log sorry muss jetz ins bett bin noch schüler und muss morgen um halb 6 raus =( naja danke schonma und ja ich befolge deine anweisungen =)

Zitat:

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1130
Windows 5.1.2600 Service Pack 2

17.09.2008 22:01:33
mbam-log-2008-09-17 (22-01-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 111053
Laufzeit: 28 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

nichts gefunden...

Zitat:

Zitat von Silent sharK (Beitrag 374383)

Thread: Gehackt =(

CF wurde unter meiner Obhut empfohlen und ausgewertet. ;)

Dann ist ja alles i.O.:party:

Zitat:

Zitat von trojan-death (Beitrag 374359)

Versuche mal bitte folgende Dateien zu finden:

Zitat:

com.bat
msconfiig.exe
VNCHooks.dll

grüsse trojan-death

Und? Wie siehts aus?

ähhm ich hab doch gesagt das ich nich weiß was du mit suchen meinst....

Rechtsklick auf [Start] => Suchen...

Dann jeweils die einzelnen Dateien, die trojan-death dir aufgelistet hat eingeben und den Arbeitsplatz durchsuchen bzw. dein System.

ähhm die ersten 2 schon ma nich kanns sein das ich nich alle sachen anschaun kann?

Dann mach alle Dateien sichtbar unter Extras => Ordneroptionen..

Ich denke, du weißt, was ich meine.

könntest du das vll genau sagen wie man das macht? in den bereichen des PC´s hab ich mich noch nie aufgehalten sorry

:headbang:
So, nochmal ganz ausführlich:

Rechtsklick auf den Start-Button
Auf "Suchen..." klicken
Links auf "Weitere Optionen" klicken
Häkchen setzen bei: Systemordner durchsuchen, Versteckte Elemente durchsuchen und Unterordner durchsuchen.
Dann auf das Button "Zurück" klicken
Dann siehst du links das stehen: "Was soll gesucht werden?"
Da wählst du die Option Dateien und Ordnern
Dann gibst du im oberen Feld den Namen der Datei ein, die gesucht werden soll (Die Dateien, die trojan-death erwähnte)
Dann wählst du darunter bei "Suchen in:" die Option Lokale Festplatten
Dann klickst du auf Suchen

In der Leist oben gehst du auf Extras-->gehst auf Ordner Optionen---> und dann machst du ein Häcklein bei "Versteckte Order und Dateien" anzeigen .:daumenhoc
Danach gehst du auf Start-->Suchen>und suchst die Dateien

Zitat:

Zitat von Silent sharK (Beitrag 374777)

:headbang:
So, nochmal ganz ausführlich:

Rechtsklick auf den Start-Button
Auf "Suchen..." klicken
Links auf "Weitere Optionen" klicken
Häkchen setzen bei: Systemordner durchsuchen, Versteckte Elemente durchsuchen und Unterordner durchsuchen.
Dann auf das Button "Zurück" klicken
Dann siehst du links das stehen: "Was soll gesucht werden?"
Da wählst du die Option Dateien und Ordnern
Dann gibst du im oberen Feld den Namen der Datei ein, die gesucht werden soll (Die Dateien, die trojan-death erwähnte)
Dann wählst du darunter bei "Suchen in:" die Option Lokale Festplatten
Dann klickst du auf Suchen

:Boogie:
Ich liebe dich einfach Silent sharK:knuddel:
Is jetzt nich so schw** gemeint oder so...musst dir also keine Hoffnungen machen:party:

man sorry aber bei mir steht das nirgents ich hab jetz einfach auf ein teil geklickt wo stand versteckte dateien anzeigen... kanns sein das wir verschiedene Windows Versionen haben?!
hab grad gemerkt das das was ich gemacht hat schon jemand geschrieben hat :P

Zitat:

Zitat von zZz (Beitrag 374786)

man sorry aber bei mir steht das nirgents ich hab jetz einfach auf ein teil geklickt wo stand versteckte dateien anzeigen... kanns sein das wir verschiedene Windows Versionen haben?!

Wenn du das Log von HJT nicht manipuliert hast, dann nicht:)

Zitat:

Ich liebe dich einfach Silent sharK
Is jetzt nich so schw** gemeint oder so...musst dir also keine Hoffnungen machen

Haha, ich dich auch :lach:

Zitat:

man sorry aber bei mir steht das nirgents ich hab jetz einfach auf ein teil geklickt wo stand versteckte dateien anzeigen... kanns sein das wir verschiedene Windows Versionen haben?!

Okay, dann durchsuch einfach die Ordner C:, C:\WINDOWS und C:\WINDOWS\system32

...

arg mein doofes windows lässt mich ncih suchen sondenr mich fragt sone frau im cabrio was ich suchen will bilder musik oder video
dokumente (textverarbeitung usw)
dateien und ordner
computern doer personen
was sol ich davon klicken?=
edit:
kanns sein das ich mich grade komplett dumm anstelle?

Ich zitiere mich selbst:

Zitat:

Zitat von Silent sharK (Beitrag 374777)

:headbang:
So, nochmal ganz ausführlich:

Rechtsklick auf den Start-Button
Auf "Suchen..." klicken
Links auf "Weitere Optionen" klicken
Häkchen setzen bei: Systemordner durchsuchen, Versteckte Elemente durchsuchen und Unterordner durchsuchen.
Dann auf das Button "Zurück" klicken
Dann siehst du links das stehen: "Was soll gesucht werden?"
Da wählst du die Option Dateien und Ordnern
Dann gibst du im oberen Feld den Namen der Datei ein, die gesucht werden soll (Die Dateien, die trojan-death erwähnte)
Dann wählst du darunter bei "Suchen in:" die Option Lokale Festplatten
Dann klickst du auf Suchen

Zitat:

Zitat von zZz (Beitrag 374792)

Mhmm, ich glaube es sind die Personen:daumenhoc

Zitat:

Zitat von zZz (Beitrag 374792)

kanns sein das ich mich grade komplett dumm anstelle?

Neeee nie im Leben. Ne Datei zu finden ist ne ziemliche Herausforderung:)

ok hab alles durchsucht und hab auch eingegeben das alle systemsachen auch durchsucht werden sollen doch sie (die frau in dem cabrio) hat nix gefunden und frägt mich nun ob ich will das sie schneller sucht das nächste ma

Zitat:

Zitat von zZz (Beitrag 374802)

Wiso eigentlich eine Frau im Cabrio??????
Hast du das so gewollt???

ähhm nö aber sie is da die sieht aus wie carla Kolumna oder so ich sag doch mein pc is komisch >.<

Poste bitte nochmals ein frisches HJT Log und erstelle ein RunScanner Log:daumenhoc

Hier is runscanner mir is grad aufgefallen das ich ganz komisch ordner auf meinem C: liegen hab.. da is nur ein updater file drin soll ich die löschen?

Zitat:

Runscanner logfile RunScanner freeware startup, hijack and malware analyzer

* = signed file
- = file not found

General info
------------
Computer name : WILDTHING
Creation time : 18.09.2008 20:48:36
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.7.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

Running processes
-----------------
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\Programme\F-Secure\Anti-Virus\fsav32.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FAMEH32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe (F-Secure Corporation)
* C:\Programme\F-Secure\FSAUA\program\fsaua.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FCH32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\FSGUI\fsguidll.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FIH32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FSMA32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FSMB32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FNRB32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Anti-Virus\fsqh.exe (F-Secure Corporation)
* C:\Programme\F-Secure\Common\FSM32.EXE (F-Secure Corporation)
* C:\Programme\F-Secure\Anti-Virus\fssm32.exe (F-Secure Corp.)
* C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE (F-Secure Corp.)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
* C:\WINDOWS\system32\igfxsrvc.exe (Intel Corporation)
* C:\Programme\Java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.)
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
* C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
* C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Corporation)
C:\Programme\phonostar\ps_olect.exe (phonostar)
C:\Programme\phonostar\ps_radio.exe (phonostar)
* C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
* C:\RunScanner.exe (Runscanner.net)
* C:\Programme\SiteAdvisor\6261\SAService.exe
* C:\Programme\SiteAdvisor\6261\SiteAdv.exe
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
* C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
C:\Programme\WinRAR\WinRAR.exe

Unrated items
-------------
002 * C:\Programme\SiteAdvisor\6261\SiteAdv.exe
010 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe LM Service)
010 C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (InstallDriver Table Manager)
010 * C:\Programme\SiteAdvisor\6261\SAService.exe (SiteAdvisor-Dienst)
011 C:\WINDOWS\system32\drivers\Aspi32.sys (Aspi32)
011 C:\WINDOWS\System32\DRIVERS\gmer.sys (gmer)
011 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
031 * C:\Programme\SiteAdvisor\6261\SiteAdv.dll {3A5DC592-7723-4EAA-9EE6-AF4222BCF879}
035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
041 * C:\Programme\SiteAdvisor\6261\SiteAdv.dll {0BF43445-2F28-4351-9252-17FE6E806AA0}
052 * C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (Google Inc.) {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
052 * C:\Programme\SiteAdvisor\6261\SiteAdv.dll {089FD14D-132B-48FC-8861-0048AE113215}
061 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
061 C:\WINDOWS\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
061 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}
061 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
062 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
073 1-Klick-Wartung.job : C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe (TuneUp Software GmbH)
100 Start Page HKCU : Google
102 GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478}
105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
120 NameServer {23AC2953-9B6F-459F-9352-904BF28F5680} : 192.168.178.1
170 {0dd855bd-eea9-11dc-8c6c-0013498e6beb} : F:\setupSNK.exe
173 GUID / CLSID not found
173 GUID / CLSID not found {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}
173 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
173 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
173 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
220 GUID / CLSID not found {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}
221 GUID / CLSID not found
221 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
221 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
221 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
225 C:\Programme\EasyZip\EZSHLEXT.DLL {d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}
225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
226 GUID / CLSID not found {00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}
227 GUID / CLSID not found
227 C:\Programme\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
227 C:\Programme\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
229 C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
231 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info

Missing files
-------------
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\ComboFix\catchme.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 D:\INSTALL\GMSIPCI.SYS
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:18, on 18.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\phonostar\ps_radio.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\phonostar\ps_olect.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [l]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = []http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = []http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [l]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - l]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{23AC2953-9B6F-459F-9352-904BF28F5680}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe

--
End of file - 7112 bytes

ich hab grad wieder mit F-Secre gescannt und diesma war wieder spyware auf meinem rechner obwohl ich mich nur auf trojaner-board und lokalisten befunden hab
also muss das zeug von irgentwas runtergeladen werden...

Zitat:

* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adserver.71i[1].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@adfarm1.adition[1].txt Aktion: gelöscht
* C:\Dokumente und Einstellungen\Admin\Cookies\admin@ivwbox[1].txt Aktion: gelöscht

Das sind doch nur Tracking Cookies. :headbang:

wiso werden mir die immer als spyware angezeigt?!

Weil AV-Programme immer alles gefährlicher darstellen, als es ist. (oder umgekehrt)

:teufel1: was das dann fürn mist?! naja danke und wie schauts mit den beiden ligs aus auch beides ok?? und vll wenn ich dir die beiden dateien ma schicke oder so könntest du mri dann sagen was das is also die komischen ordner....

Welche Dateien und welche komischen Ordner? :eek:

http://www.loaditup.de/files/271718.jpg
diese beiden in dene befindet sich ne datei die update heißt...

Kannst du die Update.exe (?) bei Virustotal hochladen und auswerten lassen?

Den Analyse-Link posten.

hmm scheinbar is die datei unnötig und ungefährlich Oo kann man eine stellvertretend für beide nehmen?

Zitat:

Datei update.exe empfangen 2008.09.19 14:15:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.19.0 2008.09.19 -
AntiVir 7.8.1.34 2008.09.19 -
Authentium 5.1.0.4 2008.09.19 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.19 -
BitDefender 7.2 2008.09.19 -
CAT-QuickHeal 9.50 2008.09.19 -
ClamAV 0.93.1 2008.09.19 -
DrWeb 4.44.0.09170 2008.09.19 -
eSafe 7.0.17.0 2008.09.18 -
eTrust-Vet 31.6.6091 2008.09.16 -
Ewido 4.0 2008.09.19 -
F-Prot 4.4.4.56 2008.09.19 -
F-Secure 8.0.14332.0 2008.09.19 -
Fortinet 3.113.0.0 2008.09.19 -
GData 19 2008.09.19 -
Ikarus T3.1.1.34.0 2008.09.19 -
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.19 -
McAfee 5387 2008.09.18 -
Microsoft 1.3903 2008.09.19 -
NOD32v2 3455 2008.09.19 -
Norman 5.80.02 2008.09.18 -
Panda 9.0.0.4 2008.09.19 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.19 -
Rising 20.62.42.00 2008.09.19 -
Sophos 4.33.0 2008.09.19 -
Sunbelt 3.1.1647.1 2008.09.18 -
Symantec 10 2008.09.19 -
TheHacker 6.3.0.9.087 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.19 -
VBA32 3.12.8.5 2008.09.18 -
ViRobot 2008.9.19.1383 2008.09.19 -
VirusBuster 4.5.11.0 2008.09.18 -
Webwasher-Gateway 6.6.2 2008.09.19 -
weitere Informationen
File size: 742192 bytes
MD5...: b9fa27bea6b6fb59cd79aa46e58f9176
SHA1..: fe65b899ed5a8c095a7e6a996e48fab5097482a0
SHA256: 12f4bcba366c909145ade38924aacc11bc12d8696c37bb05567055fab81c70ef
SHA512: 45f7152ba7b878b470048be07eae9e4e9daf8bcba8a2ad989b2aa9479ee1e38c
335ae98387d687fc57ffb015c9530798bbb2f80e04f90defe7404b0103085bb7
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x106a571
timedatestamp.....: 0x44f3510f (Mon Aug 28 20:24:47 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x952d2 0x95400 6.66 113d1d09fdcffa1edcc2f5d0527961f7
.data 0x97000 0x7dd14 0x1000 4.54 895b1e77b8a01f9fb854030c29fc77c3
.rsrc 0x115000 0x1ce38 0x1d000 4.01 e1f5b0f764c8b946397bc89c45d3f1da

( 19 imports )
> ADVAPI32.dll: QueryServiceConfigA, UnlockServiceDatabase, GetNamedSecurityInfoA, SetNamedSecurityInfoA, GetTokenInformation, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenProcessToken, RegLoadKeyA, RegUnLoadKeyA, AdjustTokenPrivileges, RegCreateKeyExW, RegQueryValueExW, RegSetValueExW, GetLengthSid, CopySid, GetAclInformation, SetFileSecurityW, AddAce, RegQueryInfoKeyA, RegSaveKeyA, RegFlushKey, EnumDependentServicesA, InitializeAcl, AddAccessAllowedAce, SetFileSecurityA, QueryServiceStatus, GetServiceDisplayNameA, RegOpenKeyA, RegDeleteValueA, OpenSCManagerA, OpenServiceA, StartServiceA, ControlService, CloseServiceHandle, AllocateAndInitializeSid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, SetSecurityDescriptorOwner, RegSetKeySecurity, FreeSid, RegEnumKeyExA, RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, LockServiceDatabase, GetFileSecurityA, RegOpenKeyExW, AbortSystemShutdownA, InitiateSystemShutdownA, OpenServiceW, EnumServicesStatusExA, ChangeServiceConfigA
> COMCTL32.dll: PropertySheetW, CreatePropertySheetPageW
> CRYPT32.dll: CertCreateCertificateContext, CertOpenStore, CryptEncodeObject, CertSetCertificateContextProperty, CertAddCertificateContextToStore, CertCloseStore, CertFreeCertificateContext
> GDI32.dll: GetDeviceCaps, CreateFontIndirectA, DeleteObject, CreateCompatibleDC, GetDIBits, SelectObject, StretchBlt, BitBlt
> imagehlp.dll: EnumerateLoadedModules64
> KERNEL32.dll: SetEndOfFile, ReleaseSemaphore, GetComputerNameA, GetCompressedFileSizeA, GetDiskFreeSpaceA, GetDiskFreeSpaceExA, GetCurrentProcess, GetTempPathA, LoadLibraryExA, FindResourceA, LoadResource, LockResource, FreeResource, lstrlenA, GetSystemInfo, SetEnvironmentVariableA, SetUnhandledExceptionFilter, ExitProcess, GetFullPathNameA, GetVolumeInformationA, lstrcmpA, GetWindowsDirectoryW, GetVolumeInformationW, SetErrorMode, GetCommandLineA, GetCommandLineW, CreateMutexA, WaitForSingleObject, DosDateTimeToFileTime, LocalFileTimeToFileTime, SetFileTime, GetFileInformationByHandle, FileTimeToDosDateTime, GetModuleHandleA, FormatMessageW, ReadFile, GetTickCount, CreateEventA, CreateThread, SetThreadPriority, WaitForMultipleObjects, GetExitCodeProcess, RemoveDirectoryA, EnterCriticalSection, CreateProcessA, MapViewOfFileEx, FreeLibrary, LeaveCriticalSection, FileTimeToLocalFileTime, FileTimeToSystemTime, DeviceIoControl, GetFileAttributesExA, VirtualFree, WritePrivateProfileStringA, FindNextFileW, SetCurrentDirectoryA, GetModuleFileNameA, GetEnvironmentVariableA, InitializeCriticalSection, lstrcmpiW, FindFirstFileW, Sleep, GetThreadLocale, TerminateProcess, UnhandledExceptionFilter, GetStartupInfoA, GetFileTime, DeleteFileW, CreateFileW, FlushViewOfFile, FlushFileBuffers, GetLocaleInfoA, InterlockedDecrement, VirtualAlloc, SetFilePointer, WriteFile, InterlockedCompareExchange, GetSystemDirectoryA, GetTempFileNameA, CopyFileA, OpenProcess, MoveFileExA, SetFileAttributesA, GetVersionExA, LocalAlloc, LocalFree, SetLastError, CreateFileA, GetFileSize, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle, GetDriveTypeA, ExpandEnvironmentStringsA, FindFirstFileA, FindNextFileA, LoadLibraryW, MultiByteToWideChar, WideCharToMultiByte, lstrcmpiA, FormatMessageA, GetFileAttributesA, CreateDirectoryA, GetSystemDirectoryW, LoadLibraryA, GetProcAddress, GetLastError, GetWindowsDirectoryA, DeleteFileA, lstrcpynA, DefineDosDeviceA, QueryDosDeviceA, CreateEventW, WriteProcessMemory, VirtualAllocEx, CreateRemoteThread, InterlockedIncrement, GetFullPathNameW, GetFileSizeEx, OpenEventA, GetLocalTime, lstrlenW, GetDriveTypeW, lstrcpynW, lstrcpyW, SearchPathW, ExpandEnvironmentStringsW, GetVersionExW, GetTempFileNameW, CopyFileW, ReleaseMutex, GetModuleFileNameW, GetSystemDefaultLangID, DuplicateHandle, CreateProcessW, OpenFileMappingA, RaiseException, GlobalFree, GlobalUnlock, GlobalHandle, GlobalLock, GlobalAlloc, HeapDestroy, HeapCreate, GetCurrentThread, GetExitCodeThread, CreateSemaphoreA, MoveFileA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetPrivateProfileStringA, HeapAlloc, GetProcessHeap, HeapFree, GetSystemTimeAsFileTime, DelayLoadFailureHook, SetEvent, FindClose, DeleteCriticalSection, TlsAlloc, TlsGetValue, TlsSetValue, GetSystemTime, VirtualProtect, InitializeCriticalSectionAndSpinCount, GetVersion, TlsFree
> MPR.dll: WNetGetUniversalNameA, WNetGetUserA
> msvcrt.dll: _itoa, strncpy, _except_handler3, strchr, _stricmp, sprintf, strrchr, mbstowcs, malloc, free, _vsnprintf, memmove, vsprintf, strncat, _wcsdup, _errno, _open, _read, _snprintf, _write, _close, _lseek, remove, _tempnam, wcscat, _vsnwprintf, ctime, _wcsicmp, _strnicmp, wcsstr, _snwprintf, _local_unwind2, _memicmp, atoi, realloc, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, memchr, _strcmpi, wcscpy, _mbslwr, strstr, swprintf, _terminate@@YAXXZ, __1type_info@@UAE@XZ, _ltoa, wcschr, fprintf, wcstoul, wcslen, _strdup, calloc, getenv, strtoul, strncmp, _mbsupr, rename, strcspn, isdigit, wcsrchr, wcscmp, wcsncat, wcsncpy, toupper, strspn, atol, strpbrk, isspace, _ultoa, _wtoi64, _wcslwr, strtok, _itow, _what@exception@@UBEPBDXZ, __1exception@@UAE@XZ, __0exception@@QAE@ABQBD@Z, __CxxFrameHandler, __3@YAXPAX@Z, __0exception@@QAE@ABV0@@Z, _CxxThrowException, fclose, __2@YAPAXI@Z, fopen
> ntdll.dll: RtlInitUnicodeString, RtlUnicodeStringToAnsiString, RtlFreeAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, NtClose, NtAdjustPrivilegesToken, NtOpenProcessToken, NtQueryInformationProcess, RtlCharToInteger, LdrAccessResource, LdrFindResource_U, NtQuerySystemInformation, NtShutdownSystem, RtlRaiseStatus, RtlFreeHeap, RtlAllocateHeap, NtYieldExecution, NtSetSystemInformation, NtCreateSection, NtOpenFile, NtOpenSection, NtOpenDirectoryObject, RtlCompareUnicodeString, NtCreateFile, RtlDosPathNameToNtPathName_U, LdrUnloadDll, NtFreeVirtualMemory, NtQueryInformationThread, NtWaitForSingleObject, RtlCreateUserThread, NtWriteVirtualMemory, NtAllocateVirtualMemory, NtOpenProcess, LdrGetProcedureAddress, LdrLoadDll, RtlDestroyHeap, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, RtlAllocateAndInitializeSid, RtlCreateHeap, DbgPrint, RtlFreeUnicodeString, NtQuerySystemTime, RtlTimeToTimeFields
> ole32.dll: CoInitialize, CoUninitialize, CoCreateInstance
> OLEAUT32.dll: -
> PSAPI.DLL: GetModuleFileNameExA
> RPCRT4.dll: UuidFromStringA
> SHELL32.dll: SHGetPathFromIDListA, SHGetMalloc, SHGetSpecialFolderPathA, SHBrowseForFolderA
> UPDSPAPI.dll: UpdSpSetDynamicStringA, UpdSpCopyErrorA, UpdSpPromptForDiskA, UpdSpInitDefaultQueueCallbackEx, UpdSpIterateCabinetA, UpdSpGetLineCountW, UpdSpGetLineByIndexW, UpdSpGetStringFieldW, UpdSpCommitFileQueueA, UpdSpOpenFileQueue, UpdSpGetSourceInfoA, UpdSpGetSourceFileLocationA, UpdSpCloseFileQueue, UpdSpDefaultQueueCallbackW, UpdSpDefaultQueueCallbackA, UpdSpDecompressOrCopyFileA, UpdSpGetTargetPathW, UpdSpInstallFromInfSectionA, UpdSpQueueCopyA, UpdSpGetIntField, UpdSpGetBinaryField, UpdSpScanFileQueueA, UpdSpGetLineTextW, UpdSpOpenInfFileA, UpdSpCloseInfFile, UpdSpSetDirectoryIdA, UpdSpInstallFilesFromInfSectionA, UpdSpGetLineCountA, UpdSpGetLineByIndexA, UpdSpGetStringFieldA, UpdSpFindFirstLineA, UpdSpGetLineTextA, UpdSpGetFieldCount, UpdSpFindNextLine, UpdSpGetMultiSzFieldW, UpdSpFindFirstLineW, UpdSpFindNextMatchLineW, UpdSpGetTargetPathA
> USER32.dll: ShowWindow, wvsprintfW, EnumWindowStationsA, OpenWindowStationA, GetProcessWindowStation, SetProcessWindowStation, EnumDesktopsA, CloseWindowStation, OpenDesktopA, GetThreadDesktop, SetThreadDesktop, EnumWindows, CloseDesktop, GetClientRect, FindWindowExA, GetWindowThreadProcessId, GetWindow, RegisterClassA, CreateWindowExA, DefWindowProcA, MessageBoxW, GetSystemMetrics, LoadStringA, LoadStringW, MessageBoxA, PostQuitMessage, DestroyWindow, SendMessageA, SetDlgItemTextA, SystemParametersInfoA, EnableWindow, GetDlgItem, DispatchMessageA, TranslateMessage, GetMessageA, PostThreadMessageA, SetWindowTextW, RedrawWindow, SetWindowLongA, GetWindowLongA, GetWindowTextA, PostMessageA, EnumChildWindows, SetDlgItemTextW, LoadBitmapA, IsDlgButtonChecked, SetTimer, CheckDlgButton, KillTimer, ReleaseDC, GetDC, SetForegroundWindow, SetWindowTextA, EndDialog, DialogBoxParamA, GetDesktopWindow, SetFocus
> USERENV.dll: -, -, -
> VERSION.dll: VerQueryValueW, VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoW, GetFileVersionInfoSizeW, GetFileVersionInfoA
> WINSPOOL.DRV: GetPrinterDriverDirectoryA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=b9fa27bea6b6fb59cd79aa46e58f9176

Lieber die andere auch noch auswerten lassen.
Was steht bei "Beschreibung:" wenn du auf die Datei gehst (Rechtsklick => Eigenschaften)?

da steht irgentwas von windows service pack setup
aber wiso is des in einem so komischen ordner?! kann das sein?

Ist schon möglich, ich kann es dir leider nicht spontan sagen.
Ich hör mich mal um und melde mich, falls ich was brauchbares gefunden hab.

Auf jedenfall scheint die Datei legitim zu sein, wenn es von Windows stammt.

solong..

Hab auch solche Ordner:) Die sollten legitim sein und von SP installationen sein...

grüsse trojan-death