Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Maleware Defense Virus (https://www.trojaner-board.de/80982-maleware-defense-virus.html)

luisa 29.12.2009 18:47
Maleware Defense Virus
 
Hallo liebe Leute,
ich habe seit einigen Stunden ein riesen Problem mit einem vermeintlichen "anti-maleware" Programm, das mein Antivir ausser Kraft gesetzt hat und sich ständig mit neuen Popups bemerkbar macht. Ich habe keine Ahnung woher es kommen könnte, noch welche Datei befallen ist und habe nach langem erfolglosen googlen erstmal einen Malewarebytes' scan begonnen. Leider hat sich gegen ende des Scans mein Computer heruntergefahren. Kann mir bitte jemand die richtigen Schritte erklären, ich bin am verzweifeln.
Vieeelen lieben dank schon mal für die Hilfe

kira 29.12.2009 20:07
Hallo und Herzlich Willkommen! :)

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"
- Tipp: Lässt sich bedingt durch eine aktive Malware die HijackThis.exe nicht starten:
Zitat:
WICHTIG !! DA ES INZWISCHEN MEHRERE SCHADPROGRAMME GESCHAFFT HABEN,
UNTER HIJACKTHIS NICHT MEHR ENTDECKT ZU WERDEN, SOLLTE MAN DIE DATEI
HIJACKTHIS.EXE UMBENENNEN.
Benenne die installierte Datei "HijackThis.exe" um in prüfung.com
- das Ergebnis sieht dann so aus: C:\Programme\Trend Micro\HijackThis\prüfung.com
2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

luisa 30.12.2009 18:59
Danke schonmal. Ich habe dieses pop-up Ding bereits mit dem Malewarebytes' wegbekommen, aber da damit wohl nicht das ganze Problem behoben ist habe ich deine Anweisungen befolgt und hier kommen die Listen:
Erstmal das Hijack
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:30, on 30.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
D:\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
D:\rapimgr.exe
c:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [camp once rect this] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ref surf camp once\WAVE CAST.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [OwnsObj] C:\DOKUME~1\Uli\ANWEND~1\FIVETR~1\error love 01.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [vhost] C:\WINDOWS\system\host.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\wcescomm.exe"
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\Uli\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7019 bytes
Nun folgt das filelist.zip Ergebnis:
Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\

30.12.2009  18:18                43 filelist.txt
30.12.2009  18:08      805.306.368 pagefile.sys
29.12.2009  16:24            27.442 TDSSKiller.2.1.1_29.12.2009_16.23.36_log.txt
28.12.2009  17:41            74.788 devicetable.log

 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\WINDOWS

30.12.2009  18:09        1.095.445 WindowsUpdate.log
30.12.2009  18:09                0 0.log
30.12.2009  18:08              159 wiadebug.log
30.12.2009  18:08                50 wiaservc.log
30.12.2009  18:08            2.048 bootstat.dat
30.12.2009  18:06            32.112 SchedLgU.Txt
29.12.2009  16:08              116 NeroDigital.ini
28.12.2009  11:30          865.860 setupapi.log
22.12.2009  19:40          161.867 wmsetup.log
19.12.2009  21:44              954 wschk.ini
09.12.2009  21:40          251.879 iis6.log
09.12.2009  21:40          300.743 ntdtcsetup.log
09.12.2009  21:40          496.863 comsetup.log
09.12.2009  21:40            1.374 imsins.log
09.12.2009  21:40            81.452 ocmsn.log
09.12.2009  21:40          612.081 tsoc.log
09.12.2009  21:40            22.175 KB970430.log
09.12.2009  21:40          773.628 ocgen.log
09.12.2009  21:40            79.936 msgsocm.log
09.12.2009  21:40        1.587.447 FaxSetup.log
09.12.2009  21:40          224.445 updspapi.log
09.12.2009  21:40            1.374 imsins.BAK
09.12.2009  21:40            20.730 KB974318.log
09.12.2009  21:39            15.344 KB973904.log
09.12.2009  21:38            98.243 KB976325-IE7.log
09.12.2009  21:36            13.214 KB974392.log
09.12.2009  21:36            13.150 KB971737.log
29.11.2009  15:20              432 BRWMARK.INI
26.11.2009  05:49            4.740 KB976098-v2.log
26.11.2009  05:49            8.481 KB973687.log
26.11.2009  05:46          312.140 msxml4-KB973688-enu.LOG
11.11.2009  21:06            12.373 KB969947.log
04.11.2009  14:31            15.694 KB976749-IE7.log
15.10.2009  21:02            11.690 KB958869.log
15.10.2009  21:00            19.295 KB969059.log
15.10.2009  20:59            13.720 KB954155.log
15.10.2009  20:59            19.303 KB974112.log
15.10.2009  20:59            19.219 KB975025.log
15.10.2009  20:59            97.949 KB974455-IE7.log
15.10.2009  20:58            13.317 KB974571.log
15.10.2009  20:58            9.202 KB971486.log
15.10.2009  20:57            7.478 KB973525.log
15.10.2009  20:57            13.163 KB975467.log
12.10.2009  21:08            16.010 KB968389.log
09.09.2009  16:21            6.414 KB968816.log
09.09.2009  16:20            6.720 KB956844.log
09.09.2009  16:20            7.106 KB971961.log
27.08.2009  08:56            4.011 KB970653-v3.log
12.08.2009  10:36          109.405 spupdsvc.log
12.08.2009  08:27            12.837 KB960859.log
12.08.2009  08:27            12.835 KB971657.log
12.08.2009  08:27            12.335 KB971557.log
12.08.2009  08:27            7.892 KB956744.log
12.08.2009  08:26            7.496 KB973869.log
12.08.2009  08:26            12.947 KB973507.log
12.08.2009  08:26            7.075 KB973354.log
12.08.2009  08:26            7.160 KB973540.log
12.08.2009  08:24            12.083 KB973815.log
29.07.2009  19:37            96.436 KB972260-IE7.log
22.07.2009  17:53            1.772 ie8_main.log
16.07.2009  15:56            6.548 KB973346.log
16.07.2009  06:28            11.629 KB971633.log
16.07.2009  06:24            11.943 KB961371.log
11.06.2009  17:47            21.667 KB961501.log
11.06.2009  17:47            15.962 KB969898.log
11.06.2009  17:45            21.472 KB970238.log
11.06.2009  17:45            96.482 KB969897-IE7.log
11.06.2009  17:44            14.480 KB968537.log

 
----- System  ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\WINDOWS\system


 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\WINDOWS\system32

30.12.2009  18:09            2.206 wpa.dbl
29.12.2009  19:05          311.740 perfh009.dat
29.12.2009  19:05          316.924 perfh007.dat
29.12.2009  19:05            40.128 perfc009.dat
29.12.2009  19:05            48.354 perfc007.dat
29.12.2009  19:05          723.744 PerfStringBackup.INI
29.12.2009  15:26              671 krl32mainweq.dll
29.12.2009  15:25            36.864 H8SRTxvvfnsoobt.dll
29.12.2009  15:25              202 srcr.dat
29.12.2009  15:25              201 H8SRTtyqquwbavh.dat
29.12.2009  15:25            23.040 H8SRTxtprtudpme.dll
01.12.2009  21:06        25.966.024 MRT.exe
30.11.2009  21:18          148.888 javaws.exe
30.11.2009  21:18          144.792 javaw.exe
30.11.2009  21:18            73.728 javacpl.cpl
30.11.2009  21:18          144.792 java.exe
30.11.2009  21:18          410.984 deploytk.dll
26.11.2009  05:49          842.602 TZLog.log
12.11.2009  15:06        1.566.920 FNTCACHE.DAT
29.10.2009  08:41          832.512 wininet.dll
29.10.2009  08:41          233.472 webcheck.dll
29.10.2009  08:41        1.168.384 urlmon.dll
29.10.2009  08:41          102.912 occache.dll
29.10.2009  08:41          105.984 url.dll
29.10.2009  08:41          671.232 mstime.dll
29.10.2009  08:41            44.544 pngfilt.dll
29.10.2009  08:41          193.024 msrating.dll
29.10.2009  08:41          477.696 mshtmled.dll
29.10.2009  08:41        3.598.336 mshtml.dll
29.10.2009  08:40            52.224 msfeedsbs.dll
29.10.2009  08:40          459.264 msfeeds.dll
29.10.2009  08:40          268.288 iertutil.dll
29.10.2009  08:40        1.830.912 inetcpl.cpl
29.10.2009  08:40            27.648 jsproxy.dll
29.10.2009  08:40        6.067.200 ieframe.dll
29.10.2009  08:40            44.544 iernonce.dll
29.10.2009  08:40            78.336 ieencode.dll
29.10.2009  08:40          385.024 iedkcs32.dll
29.10.2009  08:40          380.928 ieapfltr.dll
29.10.2009  08:40          230.400 ieaksie.dll
29.10.2009  08:40          347.136 dxtmsft.dll
29.10.2009  08:40          214.528 dxtrans.dll
29.10.2009  08:40          133.120 extmgr.dll
29.10.2009  08:40            17.408 corpol.dll
29.10.2009  08:40          153.088 ieakeng.dll
29.10.2009  08:40            63.488 icardie.dll
29.10.2009  08:40          124.928 advpack.dll
28.10.2009  16:07            46.080 tzchange.exe
28.10.2009  15:36          389.120 html.iec
28.10.2009  15:35            13.824 ieudinit.exe
28.10.2009  15:35            70.656 ie4uinit.exe
28.10.2009  07:52          161.792 ieakui.dll
21.10.2009  06:38            25.088 httpapi.dll
21.10.2009  06:38            75.776 strmfilt.dll
13.10.2009  11:32          271.360 oakley.dll
12.10.2009  14:38          150.528 rastls.dll
12.10.2009  14:38            79.872 raschap.dll
11.09.2009  15:17          136.192 msv1_0.dll
04.09.2009  22:03            58.880 msasn1.dll
01.09.2009  15:46          282.654 msaud32.acm
26.08.2009  09:00          247.326 strmdll.dll
25.08.2009  10:17          354.816 winhttp.dll
14.08.2009  16:10        1.850.752 win32k.sys
13.08.2009  16:15          512.000 jscript.dll
07.08.2009  13:49        1.089.536 ROBOEX32.DLL
06.08.2009  18:24          327.896 wucltui.dll
06.08.2009  18:24          209.632 wuweb.dll
06.08.2009  18:24            18.144 wuaueng.dll.mui
06.08.2009  18:24            35.552 wups.dll
06.08.2009  18:24          217.816 wuaucpl.cpl
06.08.2009  18:24            44.768 wups2.dll
06.08.2009  18:24            15.584 wuapi.dll.mui
06.08.2009  18:24            53.472 wuauclt.exe
06.08.2009  18:24            96.480 cdm.dll
06.08.2009  18:24            15.584 wuaucpl.cpl.mui
06.08.2009  18:24            23.264 wucltui.dll.mui
06.08.2009  18:23          575.704 wuapi.dll
06.08.2009  18:23        1.929.952 wuaueng.dll
05.08.2009  09:59          206.336 mswebdvd.dll
04.08.2009  21:56        2.191.488 ntoskrnl.exe
04.08.2009  18:26        2.068.352 ntkrnlpa.exe
31.07.2009  10:02        1.372.672 msxml6.dll
31.07.2009  05:32        1.172.480 msxml3.dll
21.07.2009  00:05        1.348.432 msxml4.dll
17.07.2009  20:01            58.880 atl.dll
17.07.2009  17:15        1.441.792 query.dll
13.07.2009  22:43          286.208 wmpdxm.dll
13.07.2009  22:43        10.841.088 wmp.dll
29.06.2009  09:33        2.452.872 ieapfltr.dat
25.06.2009  09:25          147.456 schannel.dll
25.06.2009  09:25            56.832 secur32.dll
25.06.2009  09:25          301.568 kerberos.dll
25.06.2009  09:25            54.272 wdigest.dll
25.06.2009  09:25          737.792 lsasrv.dll
16.06.2009  15:36            81.920 fontsub.dll
16.06.2009  15:36          119.808 t2embed.dll
15.06.2009  11:43            78.848 telnet.exe
10.06.2009  15:13            85.504 avifil32.dll
10.06.2009  08:19        2.066.432 mstscax.dll
10.06.2009  07:14          132.096 wkssvc.dll
03.06.2009  20:09        1.296.896 quartz.dll

 
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\WINDOWS\Prefetch

30.12.2009  18:18            13.386 CMD.EXE-087B4001.pf
30.12.2009  18:17            48.394 WINRAR.EXE-3588DFE8.pf
30.12.2009  18:17            17.786 VERCLSID.EXE-3667BD89.pf
30.12.2009  18:12            53.150 NOTEPAD.EXE-336351A9.pf
30.12.2009  18:12            67.964 WMIPRVSE.EXE-28F301A9.pf
30.12.2009  18:10            7.550 JQSNOTIFY.EXE-1E60A522.pf
30.12.2009  18:10            88.714 FIREFOX.EXE-1D57670A.pf
30.12.2009  18:10            32.208 WKSCAL.EXE-28DC9075.pf
30.12.2009  18:10            12.442 WKCALREM.EXE-21E976E2.pf
30.12.2009  18:10            22.364 MSMSGS.EXE-32066BA5.pf
30.12.2009  18:10            10.236 QTTASK.EXE-2D7EEF34.pf
30.12.2009  18:10            10.482 JUSCHED.EXE-336229D9.pf
30.12.2009  18:10            11.870 READER_SL.EXE-2FAFE67A.pf
30.12.2009  18:10            51.690 WKUFIND.EXE-18C07230.pf
30.12.2009  18:10            52.274 AVGNT.EXE-39CD89BF.pf
30.12.2009  18:10            34.136 USERINIT.EXE-30B18140.pf
30.12.2009  18:10            8.282 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
30.12.2009  18:10          138.990 EXPLORER.EXE-082F38A9.pf
30.12.2009  18:10            17.320 WKSSB.EXE-1DF9EA50.pf
30.12.2009  18:10            11.478 WKFUD.EXE-120A4156.pf
30.12.2009  18:10            35.770 WGATRAY.EXE-0ED38BED.pf
30.12.2009  18:10        1.020.074 NTOSBOOT-B00DFAAD.pf
30.12.2009  18:06            58.172 ACRORD32INFO.EXE-19B1D743.pf
30.12.2009  17:43            60.312 AVNOTIFY.EXE-31D7686A.pf
30.12.2009  17:43            56.962 UPDATE.EXE-3398FCD6.pf
30.12.2009  11:49            53.900 NEROMEDIAPLAYER.EXE-2F6267EB.pf
30.12.2009  11:35            68.632 ADOBE_UPDATER.EXE-059F58EC.pf
30.12.2009  11:35            57.182 ACRORD32.EXE-2E761392.pf
30.12.2009  11:32            70.696 AGENTSVR.EXE-002E45AB.pf
30.12.2009  11:32            91.352 WINWORD.EXE-259486DA.pf
30.12.2009  11:32            88.132 OUTLOOK.EXE-27D5965C.pf
30.12.2009  11:32            21.810 RAPIMGR.EXE-39700776.pf
30.12.2009  11:32            22.648 WCESCOMM.EXE-0C3DC822.pf
30.12.2009  11:32            18.302 CTFMON.EXE-0E17969B.pf
30.12.2009  11:32            18.344 OSA.EXE-0082CBE3.pf
30.12.2009  11:32            17.662 IMAPI.EXE-0BF740A4.pf
29.12.2009  21:12          100.132 RUNDLL32.EXE-16B45610.pf
29.12.2009  21:11          105.438 IEXPLORE.EXE-2CA9778D.pf
29.12.2009  21:09            77.944 WMPLAYER.EXE-0996933C.pf
29.12.2009  19:05            21.392 WMIADAP.EXE-2DF425B2.pf
29.12.2009  18:39            45.230 WSCSVC32.EXE-0507C0E2.pf
29.12.2009  17:17            21.674 WUAUCLT.EXE-399A8E72.pf
29.12.2009  17:00            17.268 INSTALLER.EXE-3B8CE570.pf
29.12.2009  16:35            48.242 REGSVR32.EXE-25EEFE2F.pf
29.12.2009  16:30            60.202 DWWIN.EXE-30875ADC.pf
29.12.2009  16:15            18.988 RUNONCE.EXE-2803F297.pf
29.12.2009  16:15            13.782 GRPCONV.EXE-111CD845.pf
29.12.2009  16:09            92.188 HELPSVC.EXE-2878DDA2.pf
29.12.2009  16:09            68.594 HELPCTR.EXE-3862B6F5.pf
29.12.2009  15:55            67.444 AVWSC.EXE-24612965.pf
29.12.2009  15:40            16.232 NET1.EXE-029B9DB4.pf
29.12.2009  15:40            9.068 MOFCOMP.EXE-01718E95.pf
29.12.2009  15:40            12.966 NET.EXE-01A53C2F.pf
29.12.2009  15:39            17.704 MDEFENSE.EXE-1D43455D.pf
29.12.2009  15:39            62.982 SETUP.EXE-0575735A.pf
29.12.2009  15:26            20.434 DRWTSN32.EXE-2B4B52AC.pf
29.12.2009  15:25            11.202 SETTDEBUGX.EXE-0BCD54A1.pf
29.12.2009  15:25            2.918 A3DUTILITY.EXE-32A2D7CC.pf
29.12.2009  15:25            12.722 SC.EXE-012262AF.pf
29.12.2009  15:25            16.738 SPOOLSV.EXE-282F76A7.pf
29.12.2009  15:25            12.690 6A02.EXE-2A258854.pf
29.12.2009  15:25            17.902 1334.EXE-117A7336.pf
29.12.2009  15:24            26.732 RWWL.EXE-1D659BE2.pf
29.12.2009  15:23            72.996 JAVA.EXE-2167859B.pf
29.12.2009  14:59            59.496 WUDFHOST.EXE-215E7549.pf
29.12.2009  14:59            12.416 RUNDLL32.EXE-19B3AED6.pf
29.12.2009  14:59            12.392 RUNDLL32.EXE-451FC2C0.pf
29.12.2009  14:43            75.304 DFRGNTFS.EXE-269967DF.pf
29.12.2009  14:43            53.508 DEFRAG.EXE-273F131E.pf
29.12.2009  14:42          349.914 Layout.ini
29.12.2009  14:37            7.362 SCRNSAVE.SCR-017F06EB.pf
29.12.2009  14:32            24.166 JAVAWS.EXE-1714DD62.pf
29.12.2009  14:32            87.190 JAVAW.EXE-0159D575.pf
29.12.2009  11:10            15.400 DD.EXE-3072EB33.pf
28.12.2009  21:26            29.400 DIRECTCD.EXE-1552258D.pf
28.12.2009  21:16            8.362 LOGON.SCR-151EFAEA.pf
28.12.2009  19:16          121.016 FINALE.EXE-1FCC0FD4.pf
28.12.2009  18:45            64.094 DUMPREP.EXE-1B46F901.pf
28.12.2009  18:04            68.700 CREATECD50.EXE-299EB91E.pf
28.12.2009  17:43            19.576 FONTVIEW.EXE-08548073.pf
28.12.2009  17:41            83.112 CREATR50.EXE-14E32442.pf
28.12.2009  16:56            66.956 WMPLAYER.EXE-09969332.pf
28.12.2009  16:27            59.604 SLSK.EXE-28D9E96F.pf
28.12.2009  14:28            30.528 JRE-6U13-WINDOWS-I586-P-IFTW.-19CFEDCF.pf
28.12.2009  12:11            33.524 RUNDLL32.EXE-3DED9033.pf
28.12.2009  11:34            12.538 RUNDLL32.EXE-268BFF96.pf
28.12.2009  11:31            21.636 INSTALL_FLASH_PLAYER_AX.EXE-2A418172.pf
28.12.2009  11:31            18.544 AU_.EXE-286E9D12.pf
28.12.2009  11:31            5.084 NSC.TMP-30543CE0.pf
28.12.2009  11:31            11.924 FLASHUTIL10C.EXE-23BA5406.pf
28.12.2009  11:31            13.956 UNINSTALL_ACTIVEX.EXE-0D9A8307.pf
28.12.2009  11:31            29.802 SVCHOST.EXE-3530F672.pf
28.12.2009  11:31            18.318 DLLHOST.EXE-4874124B.pf
28.12.2009  11:31            19.256 GETPLUSPLUS_ADOBE.EXE-20139700.pf
28.12.2009  11:30            24.678 GETPLUSPLUS_ADOBE_REG.EXE-2541F9D5.pf
28.12.2009  01:00            16.546 GUARDGUI.EXE-147E0160.pf
24.12.2009  09:47            17.366 RUNDLL32.EXE-156F0F56.pf
24.12.2009  09:47            14.094 RUNDLL32.EXE-38B9C14C.pf
23.12.2009  14:51            27.726 NPSWF32_FLASHUTIL.EXE-25560C89.pf
23.12.2009  14:51            20.024 FLASHPLAYERUPDATE.EXE-1BCF8388.pf
23.12.2009  14:50            12.990 AU_.EXE-2126E4A3.pf
23.12.2009  14:50            13.812 UNINSTALL_PLUGIN.EXE-1B14221A.pf
22.12.2009  21:13            53.322 RUNDLL32.EXE-247391FC.pf
22.12.2009  21:13            33.312 RUNDLL32.EXE-3329B761.pf
22.12.2009  19:40            34.218 SETUP_WM.EXE-19AC5A9B.pf
22.12.2009  19:39            85.640 WMPLAYER.EXE-09969333.pf
22.12.2009  19:04            26.226 OUTLOOK.EXE-22C5790A.pf
22.12.2009  14:12            27.000 RUNDLL32.EXE-1187FB71.pf
22.12.2009  14:12            32.160 RUNDLL32.EXE-2544EF17.pf
21.12.2009  12:42            32.112 RUNDLL32.EXE-12BAF5A5.pf
21.12.2009  12:27            34.368 WMIAPSRV.EXE-1E2270A5.pf
21.12.2009  00:11            32.050 RUNDLL32.EXE-40D01238.pf
19.12.2009  21:16            55.868 RUNDLL32.EXE-3744516C.pf
19.12.2009  20:57            34.592 NTVDM.EXE-1A10A423.pf
19.12.2009  20:31            15.602 HELPER.EXE-244ABC1F.pf
19.12.2009  20:30            32.166 UPDATER.EXE-3A93B7BD.pf
19.12.2009  19:29            54.804 WMPLAYER.EXE-09969339.pf
18.12.2009  07:44            16.460 RUNDLL32.EXE-34E85A02.pf
18.12.2009  07:43            93.136 ISAVER.EXE-125DD9AA.pf
18.12.2009  07:42            23.378 RUNDLL32.EXE-20F724E2.pf
17.12.2009  08:45            36.430 RUNDLL32.EXE-3A3B2FE5.pf
16.12.2009  21:55            45.994 ALG.EXE-0F138680.pf
16.12.2009  18:07            69.660 RUNDLL32.EXE-394304EF.pf
10.12.2009  20:19            42.268 MSOHELP.EXE-3A655815.pf
10.12.2009  19:58            52.218 MSHTA.EXE-331DF029.pf
10.12.2009  19:58            14.798 RUNDLL32.EXE-19F507BE.pf
10.12.2009  19:54            27.734 HELPHOST.EXE-247D2792.pf
10.12.2009  19:54            31.702 CONTROL.EXE-013DBFB5.pf
10.12.2009  19:54            26.526 RUNDLL32.EXE-3D97474F.pf
10.12.2009  19:52            27.266 RUNDLL32.EXE-2576181F.pf
            130 Datei(en)      6.213.794 Bytes
              0 Verzeichnis(se),  4.866.326.528 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\WINDOWS\tasks

30.12.2009  18:08                6 SA.DAT
30.12.2009  18:00              256 AE94B62791732647.job
30.12.2009  18:00              278 AB12D30591B9479D.job
           
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\WINDOWS\Temp

30.12.2009  18:09              409 WGANotify.settings
30.12.2009  18:09                43 WGAErrLog.txt
30.12.2009  18:08            16.384 Perflib_Perfdata_674.dat
04.11.2009  10:16              552 WcesView.log

              38 Datei(en)        338.039 Bytes
              0 Verzeichnis(se),  4.866.326.528 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 9801-0033

 Verzeichnis von C:\DOKUME~1\Uli\LOKALE~1\Temp

30.12.2009  18:15            7.134 jusched.log
30.12.2009  18:10              559 WCESCOMM.LOG
29.12.2009  17:00            15.086 2.ico
29.12.2009  17:00            15.086 1.ico
29.12.2009  17:00            15.086 3.ico
29.12.2009  16:42            95.744 Installer.exe
29.12.2009  16:37          311.296 ~DF3106.tmp
29.12.2009  16:24            35.064 uac2323.tmp
29.12.2009  16:24            35.064 uac1e67.tmp
29.12.2009  16:24            35.064 uac1997.tmp
29.12.2009  16:24            35.064 uac14e6.tmp
29.12.2009  16:24            35.064 uac1048.tmp
29.12.2009  16:24            35.064 uac94dc.tmp
29.12.2009  16:24            35.064 uac903f.tmp
29.12.2009  16:24            35.064 uac8b79.tmp
29.12.2009  16:23            35.064 uac86e5.tmp
29.12.2009  16:23            35.064 uac7f26.tmp
29.12.2009  16:23            35.064 uac3b1.tmp
29.12.2009  16:23            35.064 uacff13.tmp
29.12.2009  16:23            35.064 uacfa44.tmp
29.12.2009  16:23            35.064 uacf592.tmp
29.12.2009  16:23            35.064 uacf22b.tmp
29.12.2009  16:22            35.064 uac7773.tmp
29.12.2009  16:22            35.064 uac722b.tmp
29.12.2009  16:22            35.064 uac6d5c.tmp
29.12.2009  16:22            35.064 uac68d2.tmp
29.12.2009  16:22            35.064 uac6448.tmp
29.12.2009  16:22            35.064 uace8a1.tmp
29.12.2009  16:22            35.064 uace403.tmp
29.12.2009  16:22            35.064 uacdf8d.tmp
29.12.2009  16:22            35.064 uacdad2.tmp
29.12.2009  16:22            35.064 uacd684.tmp
29.12.2009  16:21            35.064 uac5beb.tmp
29.12.2009  16:21            35.064 uac56a3.tmp
29.12.2009  16:21            35.064 uac522d.tmp
29.12.2009  16:21            35.064 uac4df4.tmp
29.12.2009  16:21            35.064 uac4960.tmp
29.12.2009  16:21            35.064 uaccdc3.tmp
29.12.2009  16:20            35.064 uacc885.tmp
29.12.2009  16:20            35.064 uacb8b7.tmp
29.12.2009  16:20            35.064 uac8edc.tmp
29.12.2009  16:20            35.064 uac8a34.tmp
29.12.2009  16:20            35.064 uace8c.tmp
29.12.2009  16:20            35.064 uac930.tmp
29.12.2009  16:20            35.064 uac461.tmp
29.12.2009  16:20            35.064 uacffff.tmp
29.12.2009  16:20            35.064 uacfbc5.tmp
29.12.2009  16:19            35.064 uac803c.tmp
29.12.2009  16:19            35.064 uac7ba8.tmp
29.12.2009  16:19            35.064 uac76ce.tmp
29.12.2009  16:19            35.064 uac723b.tmp
29.12.2009  16:19            35.064 uac6e0b.tmp
29.12.2009  16:18            35.064 uacf28c.tmp
29.12.2009  16:18            35.064 uacedf8.tmp
29.12.2009  16:18            35.064 uacea37.tmp
29.12.2009  16:18            35.064 uace5cb.tmp
29.12.2009  16:18            35.064 uace1d8.tmp
29.12.2009  16:18            35.064 uac663a.tmp
29.12.2009  16:18            35.064 uac60f2.tmp
29.12.2009  16:18            35.064 uac5c87.tmp
29.12.2009  16:18            35.064 uac584d.tmp
29.12.2009  16:18            35.064 uac53cd.tmp
29.12.2009  16:17            35.064 uacd858.tmp
29.12.2009  16:17            35.064 uacd3ba.tmp
29.12.2009  16:17            35.064 uacceea.tmp
29.12.2009  16:17            35.064 uacc9df.tmp
29.12.2009  16:17            35.064 uacc5af.tmp
29.12.2009  16:17            35.064 uac4a1c.tmp
29.12.2009  16:17            35.064 uac44b6.tmp
29.12.2009  16:17            35.064 uac3f8c.tmp
29.12.2009  16:17            35.064 uac38bd.tmp
29.12.2009  16:17            35.064 uac2bfc.tmp
29.12.2009  16:16            35.064 uacaf65.tmp
29.12.2009  16:16            35.064 uacaa1d.tmp
29.12.2009  16:16            35.064 uaca54d.tmp
29.12.2009  16:16            35.064 uaca0c3.tmp
29.12.2009  16:16            35.064 uac9c3a.tmp
29.12.2009  16:15            35.064 uac1e6b.tmp
29.12.2009  16:15            35.064 uac17a7.tmp
29.12.2009  16:15            35.064 uac12eb.tmp
29.12.2009  16:15            35.064 uacea7.tmp
29.12.2009  16:15            35.064 uaca28.tmp
29.12.2009  16:15            35.064 uac8e94.tmp
29.12.2009  16:15            35.064 uac8938.tmp
29.12.2009  16:15            35.064 uac8469.tmp
29.12.2009  16:15            35.064 uac7fdf.tmp
29.12.2009  16:15            35.064 uac7b69.tmp
29.12.2009  16:14            35.064 uacfffe.tmp
29.12.2009  16:14            35.064 uacfb6a.tmp
29.12.2009  16:14            35.064 uacf5aa.tmp
29.12.2009  16:14            35.064 uacf116.tmp
29.12.2009  16:14            35.064 uace899.tmp
29.12.2009  16:14            35.064 uac6afd.tmp
29.12.2009  16:14            35.064 uac65b5.tmp
29.12.2009  16:13            35.064 uac60d1.tmp
29.12.2009  16:13            35.064 uac5c3e.tmp
29.12.2009  16:13            35.064 uac57fa.tmp
29.12.2009  16:13            35.064 uacdc70.tmp
29.12.2009  16:13            35.064 uacd7d3.tmp
29.12.2009  16:13            35.064 uacd30d.tmp
29.12.2009  16:13            35.064 uacce47.tmp
29.12.2009  16:13            35.064 uacc9d2.tmp
29.12.2009  16:12            35.064 uac4e52.tmp
29.12.2009  16:12            35.064 uac48f6.tmp
29.12.2009  16:12            35.064 uac4430.tmp
29.12.2009  16:12            35.064 uac3fcf.tmp
29.12.2009  16:12            35.064 uac3b45.tmp
29.12.2009  16:12            35.064 uacbfbc.tmp
29.12.2009  16:12            35.064 uacba6a.tmp
29.12.2009  16:12            35.064 uacb568.tmp
29.12.2009  16:12            35.064 uacb124.tmp
29.12.2009  16:12            35.064 uacac91.tmp
29.12.2009  16:11            35.064 uac3111.tmp
29.12.2009  16:11            35.064 uac2bc9.tmp
29.12.2009  16:11            35.064 uac275e.tmp
29.12.2009  16:11            35.064 uac1768.tmp
29.12.2009  16:11            35.064 uac12d4.tmp
29.12.2009  16:10            35.064 uac974b.tmp
29.12.2009  16:10            35.064 uac9285.tmp
29.12.2009  16:10            35.064 uac8da1.tmp
29.12.2009  16:10            35.064 uac8967.tmp
29.12.2009  16:10            35.064 uac84d4.tmp
29.12.2009  16:10            35.064 uac968.tmp
29.12.2009  16:10            35.064 uac4c1.tmp
29.12.2009  16:10            35.064 uacffc9.tmp
29.12.2009  16:10            35.064 uacfb99.tmp
29.12.2009  16:10            35.064 uacf71a.tmp
29.12.2009  16:09            35.064 uac7c44.tmp
29.12.2009  16:09            35.064 uac777f.tmp
29.12.2009  16:09              480 WcesView.log
29.12.2009  16:09            35.064 uac7273.tmp
29.12.2009  16:09            35.064 uac6d99.tmp
29.12.2009  16:09            35.064 uac68d3.tmp
29.12.2009  16:09            35.064 uaced2c.tmp
29.12.2009  16:09            35.064 uace7da.tmp
29.12.2009  16:09            35.064 uace314.tmp
29.12.2009  16:09            35.064 uacdee4.tmp
29.12.2009  16:09            35.064 uacda65.tmp
29.12.2009  16:08            35.064 uac5ed1.tmp
29.12.2009  16:08            35.064 uac597f.tmp
29.12.2009  16:08            35.064 uac5455.tmp
29.12.2009  16:08            35.064 uac4fcc.tmp
29.12.2009  16:08            35.064 uac4b2e.tmp
29.12.2009  16:07            35.064 uaccfaf.tmp
29.12.2009  16:07            35.064 uacca85.tmp
29.12.2009  16:07            35.064 uacc5dd.tmp
29.12.2009  16:07            35.064 uacc153.tmp
29.12.2009  16:07            35.064 uacbcd4.tmp
29.12.2009  16:07            35.064 uac415e.tmp
29.12.2009  16:07            35.064 uac3c16.tmp
29.12.2009  16:07            35.064 uac3750.tmp
29.12.2009  16:07            35.064 uac32b3.tmp
29.12.2009  16:07            35.064 uac2e29.tmp
29.12.2009  16:06            35.064 uacb0b5.tmp
29.12.2009  16:06            35.064 uaca81a.tmp
29.12.2009  16:06            35.064 uaca232.tmp
29.12.2009  16:06            35.064 uac9db2.tmp
29.12.2009  16:06            35.064 uac9928.tmp
29.12.2009  16:06            35.064 uac1dd1.tmp
29.12.2009  16:06            35.064 uac1893.tmp
29.12.2009  16:06            35.064 uacf233.tmp
29.12.2009  16:05            35.064 uace139.tmp
29.12.2009  16:05            35.064 uacdca5.tmp
29.12.2009  16:05            35.064 uac6139.tmp
29.12.2009  16:05            35.064 uac5be7.tmp
29.12.2009  16:05            35.064 uac574a.tmp
29.12.2009  16:05            35.064 uac531a.tmp
29.12.2009  16:05            35.064 uac4e91.tmp
29.12.2009  16:04            35.064 uacd31b.tmp
29.12.2009  16:04            35.064 uacce87.tmp
29.12.2009  16:04            35.064 uacc9b8.tmp
29.12.2009  16:04            35.064 uacc51a.tmp
29.12.2009  16:04            35.064 uacc05e.tmp
29.12.2009  16:04            35.064 uac44df.tmp
29.12.2009  16:04            35.064 uac3f6f.tmp
29.12.2009  16:04            35.064 uac3a95.tmp
29.12.2009  16:03            35.064 uac360b.tmp
29.12.2009  16:03            35.064 uac3196.tmp
29.12.2009  16:03            35.064 uacb602.tmp
29.12.2009  16:03            35.064 uacb092.tmp
29.12.2009  16:03            35.064 uacabae.tmp
29.12.2009  16:03            35.064 uaca6fd.tmp
29.12.2009  16:03            35.064 uaca255.tmp
29.12.2009  16:02            35.064 uac26ea.tmp
29.12.2009  16:02            35.064 uac218e.tmp
29.12.2009  16:02            35.064 uac1cbe.tmp
29.12.2009  16:02            35.064 uac17d0.tmp
29.12.2009  16:02            35.064 uac1256.tmp
29.12.2009  16:02            35.064 uac9654.tmp
29.12.2009  16:02            35.064 uac910c.tmp
29.12.2009  16:02            35.064 uac8c00.tmp
29.12.2009  16:02            35.064 uac87d1.tmp
29.12.2009  16:02            35.064 uac8329.tmp
29.12.2009  16:01            35.064 uac7be.tmp
29.12.2009  16:01            35.064 uac258.tmp
29.12.2009  16:01            35.064 uacfd2e.tmp
29.12.2009  16:01            35.064 uacf854.tmp
29.12.2009  16:01            35.064 uacf3b6.tmp
29.12.2009  16:00            35.064 uac7805.tmp
29.12.2009  16:00            35.064 uac729f.tmp
29.12.2009  16:00            35.064 uac6d7f.tmp
29.12.2009  16:00            35.064 uac68d7.tmp
29.12.2009  16:00            35.064 uac63f4.tmp
29.12.2009  16:00            35.064 uace860.tmp
29.12.2009  16:00            35.064 uace304.tmp
29.12.2009  16:00            35.064 uacdbd1.tmp
29.12.2009  16:00            35.064 uacd784.tmp
29.12.2009  16:00            35.064 uacd2f0.tmp
29.12.2009  15:59            35.064 uac5767.tmp
29.12.2009  15:59            35.064 uac52b5.tmp
29.12.2009  15:59            35.064 uac4e2b.tmp
29.12.2009  15:59            35.064 uac4966.tmp
29.12.2009  15:59            35.064 uac448c.tmp
29.12.2009  15:59            35.064 uacc8f8.tmp
29.12.2009  15:59            35.064 uacc465.tmp
29.12.2009  15:59            35.064 uacbff9.tmp
29.12.2009  15:59            35.064 uacbb65.tmp
29.12.2009  15:59            35.064 uacb6e6.tmp
29.12.2009  15:58            35.064 uac3b7a.tmp
29.12.2009  15:58            35.064 uac361e.tmp
29.12.2009  15:58            35.064 uac3144.tmp
29.12.2009  15:58            35.064 uac2c57.tmp
29.12.2009  15:58            35.064 uac27cd.tmp
29.12.2009  15:57            35.064 uacac43.tmp
29.12.2009  15:57            35.064 uaca6fb.tmp
29.12.2009  15:57            35.064 uac9ef7.tmp
29.12.2009  15:57            35.064 uac9a09.tmp
29.12.2009  15:57            35.064 uac956b.tmp
29.12.2009  15:57            35.064 uac1a0a.tmp
29.12.2009  15:57            35.064 uac149a.tmp
29.12.2009  15:57            35.064 uacfd4.tmp
29.12.2009  15:57            35.064 uacaaa.tmp
29.12.2009  15:57            35.064 uac6fd.tmp
29.12.2009  15:57        4.546.960 uac1e09.tmp
29.12.2009  15:52            20.550 dd_vcredistUI53AF.txt
29.12.2009  15:52          517.146 dd_vcredistMSI53AF.txt
29.12.2009  15:40              136 dv.dat
29.12.2009  15:40              128 av.dat
29.12.2009  15:40              455 4otjesjty.mof
29.12.2009  15:39        1.756.088 uac68e7.tmp
29.12.2009  15:39            32.760 uac6023.tmp
29.12.2009  15:39            35.064 uac5bd6.tmp
29.12.2009  15:38        4.546.960 uacb13d.tmp
29.12.2009  15:25          343.040 H8SRT8a98.tmp
29.12.2009  15:25          560.128 wscsvc32.exe
29.12.2009  15:24            3.362 jar_cache4547731336215988079.tmp
29.12.2009  15:23            1.663 java_install_reg.log
13.06.2009  15:01                0 ncu2C.tmp
12.06.2009  14:54          367.112 WT2B.tmp
11.06.2009  12:56                0 0v354.tmp
11.06.2009  12:40                0 l4v53.tmp
10.06.2009  17:03                0 EAn7HLQN.htm.part
10.06.2009  16:32        16.826.056 13616E~1.exe
10.06.2009  13:48          367.112 WT99.tmp
10.06.2009  13:47          367.112 WT98.tmp


            1427 Datei(en)    150.425.437 Bytes
              0 Verzeichnis(se),  4.866.236.416 Bytes frei
Und jetzt die Programme:
Code:
Adobe Acrobat 4.0               
Adobe Color Common Settings        Adobe Systems Incorporated        1.0.1
Adobe ExtendScript Toolkit 2        Adobe Systems Incorporated        2.0.1
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        10.0.42.34
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        10.0.42.34
Adobe InDesign 2.0        Adobe Systems, Inc.        2.0
Adobe Reader 9.1 - Deutsch        Adobe Systems Incorporated        9.1.0
Adobe Shockwave Player        Adobe Systems, Inc.        10.2.0.23
Adobe SVG Viewer 3.0        Adobe Systems, Inc.        3.0
Anti-Leech Plugin for Internet Explorer               
Anti-Leech Plugin for Mozilla, Opera, Netscape               
ATI Display Driver               
Avira AntiVir Personal - Free Antivirus        Avira GmbH       
Brother HL-2030        Brother        1.00
Canon Camera Access Library        Canon        8.0.0.21
Canon Camera Support Core Library        Canon        7.3.0.4
Canon Camera Window DC_DV 5 for ZoomBrowser EX        Canon        5.4.4
Canon Camera Window DC_DV 6 for ZoomBrowser EX        Canon        6.0
Canon Camera Window DSLR 5 for ZoomBrowser EX        Canon        5.3.1
Canon Camera Window MC 6 for ZoomBrowser EX        Canon        6.0
CANON iMAGE GATEWAY Task for ZoomBrowser EX        Canon        1.0.0.23
Canon Internet Library for ZoomBrowser EX        Canon Inc.        1.4.0
Canon MovieEdit Task for ZoomBrowser EX        Canon        2.0.0.8
Canon PhotoRecord        Cisra        02.02.03002
Canon RAW Image Task for ZoomBrowser EX        Canon        2.2
Canon Utilities PhotoStitch 3.1        Canon        3.1.16
Canon ZoomBrowser EX (G)        Canon        5.05.0000
CCleaner        Piriform        2.27
e-PDF Document Converter v2.1        e-PDFConverter Inc       
Easy CD Creator 5 Basic              Roxio Inc        5.3.1.154
ElsterFormular 2008/2009        Steuerverwaltung des Bundes und der Länder        10.0.0.0
EPS PostScript PDF 2 JPG & Co 1               
Falk Navi-Manager        Falk Navigation GmbH        2.1.7.0
Finale 2002               
gp-Untis 2009        Gruber & Petters        2009
HijackThis 2.0.2        TrendMicro        2.0.2
Image2PDF OCR v3.2        VeryPDF.com Inc       
Interlok driver setup x32        PACE Anti-Piracy        5.5.0.2618
Java(TM) 6 Update 13        Sun Microsystems, Inc.        6.0.130
LiveReg (Symantec Corporation)        Symantec Corporation        2.0.6.1314
LiveUpdate 1.6 (Symantec Corporation)        Symantec Corporation       
MAGIX audio studio 2004 e-version        MAGIX AG        9.0.1.0
MAGIX music studio 2004 deLuxe        MAGIX AG        1.0.1.545
Malwarebytes' Anti-Malware        Malwarebytes Corporation       
Microsoft ActiveSync 4.0        Microsoft Corporation        4.2.4876.0
Microsoft Compression Client Pack 1.0 for Windows XP        Microsoft Corporation        1
Microsoft Office XP Professional mit FrontPage        Microsoft Corporation        10.0.2701.0
Microsoft Picture It! Foto 2002        Microsoft        6.0.0.0000
Microsoft User-Mode Driver Framework Feature Pack 1.0        Microsoft Corporation       
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        9.0.30729
Microsoft Works 2002-Setup-Start               
Microsoft Works 6.0        Microsoft Corporation        06.00.0000
Mozilla Firefox (3.5.6)        Mozilla        3.5.6 (de)
MSXML 4.0 SP2 (KB936181)        Microsoft Corporation        4.20.9848.0
MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        4.20.9870.0
MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        4.20.9876.0
Nero Suite               
Pitch 'n Time Pro        Serato Audio Research        2.4
QuickTime        Apple Computer, Inc.        7.1.6.200
Rossmann Fotoservice 2.6               
Smart Link 56K Modem                       
Universal Document Converter        fCoder Group, Inc.        4.2
Untis 2010        Gruber & Petters        2010
Windows Internet Explorer 7        Microsoft Corporation        20061107.210142
Windows Media Format 11 runtime               
Windows Media Player 11               
Windows XP Service Pack 3        Microsoft Corporation        20080414.031514
WinRAR               
Zone Media
So und das mit Gmer funktioniert leider nicht. Sobald der scan ein wenig läuft fährt sich leider der Computer herunter. Ich habe deine Anweisungen genau befolgt und weis nicht wo das Problem liegt, aber vll. kannst du es mir mit den vorliegenden Daten schon verraten...

vielen lieben dank!

kira 30.12.2009 23:34
Punkt 5. übersprungen?-> http://www.trojaner-board.de/80982-m...tml#post490261

luisa 31.12.2009 15:25
Zitat:
Zitat von Coverflow (Beitrag 490703)
wie, also ich sagte ja der Punkt 5 lässt sich nicht aussführen:dummguck: also ich probiers jetzt nochmal...

edit: jetzt hats doch geklappt:
Zitat:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-31 15:56:13
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Uli\LOKALE~1\Temp\uwldqpog.sys


---- System - GMER 1.0.15 ----

SSDT F8B61F56 ZwCreateKey
SSDT F8B61F4C ZwCreateThread
SSDT F8B61F5B ZwDeleteKey
SSDT F8B61F65 ZwDeleteValueKey
SSDT F8B61F6A ZwLoadKey
SSDT F8B61F38 ZwOpenProcess
SSDT F8B61F3D ZwOpenThread
SSDT F8B61F74 ZwReplaceKey
SSDT F8B61F6F ZwRestoreKey
SSDT F8B61F60 ZwSetValueKey
SSDT F8B61F47 ZwTerminateProcess

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0x50 0x93 0xE5 0xAB ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

kira 31.12.2009 19:03
hi

um sicher zu gehen:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
Code:
Drivers to delete:
H8SRTd.sys
Files to delete:
C:\WINDOWS\system32\krl32mainweq.dll
C:\WINDOWS\system32\H8SRTxvvfnsoobt.dll
C:\WINDOWS\system32\H8SRTtyqquwbavh.dat
C:\WINDOWS\system32\H8SRTxtprtudpme.dll
C:\WINDOWS\tasks\AE94B62791732647.job
C:\WINDOWS\tasks\AE94B62791732647.job
C:\Programme\Malware Defense\mdefense.exe
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Frage ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
den Quarantine-Inhalt löschen danach update Malwarebytes Anti-Malware, lass es nochmal laufen, lösche alles, was gefunden wird,Log posten
Anleitung:
Zitat:
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware
3.
Falls noch vorhanden, prüfen:
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren!
Tipps für die Suche nach Dateien
Code:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ref surf camp once\WAVE CAST.exe
C:\DOKUME~1\Uli\ANWEND~1\FIVETR~1\error love 01.exe
C:\WINDOWS\system\host.exe
C:\DOKUME~1\Uli\LOKALE~1\Temp\settdebugx.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)

4.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
filelist.bat - den letzten sechs Monaten!

Wünsch Dir einen *super-tollen* Rutsch ins neue Jahr 2010 !!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131