Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner AV Security Suit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.06.2010, 22:14   #1
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hallo,

ich versuche seit vorgestern einen Trojaner Namens "AV Security Suit"
von meinem PC zu entfernen.
Ich habe versucht nach der Anleitung in diesem Forum zu arbeiten.
Nach dem ich den PC im Abgesicherten Modus (F8) hochgefahren hatte,
ist mir aufgefallen das neben dem Benutzer "Mustermann" noch der
Benutzer "Administrator" vorhanden ist. Beide sind aber Computer-
administrator.
Ich versuche mal zu erklären was ich bis jetzt gemacht habe, denn
der Trojaner namens "AV Security Suit" ist leider immer noch da.

Achso: Bitte lasst euch von den Zeiten und dem Datum in den Log files
nicht irritieren. Ich bin in Sydney.




Im Abgesicherten Modus ("Administrator"):


1.Programm "rkill" ausgeführt.


Log file:
_________________________________________________________________
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Administrator on 23.06.2010 at 21:18:33.


Processes terminated by Rkill or while it was running:




Rkill completed on 23.06.2010 at 21:18:37.
_________________________________________________________________


2. Falsche Proxi Einstellungen entfernt.

3. Quick-Scan mit dem Programm "Malwarebytes" ausgeführt.

Log file:
_________________________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4227

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

23.06.2010 21:37:45
mbam-log-2010-06-23 (21-37-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136212
Laufzeit: 8 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\asam.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully.

_________________________________________________________________




4. Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt.



Nach dem ich das alles gemacht hatte, habe ich die Verbindung ins Netz
deaktiviert und den PC neu gestartet. Da ich ihn nicht im Abgesicherten
Modus hochgefahren hatte, konnte ich mich nur als "Mustermann", welcher
ebenfalls Computeradministrator ist, anmelden.
So weit so gut, der Trojaner hatte sich nach dem Hochfahren nicht gemeldet.
Nun bin ich wie folgt vorgegangen:


1. Nochmals des Programm "Malwarebytes"ausgeführt. Dieses mal aber den Full-Scan. --> es wurden erneut infizierte Objekte gefunden!!!

Log file:
_________________________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4227

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23.06.2010 22:56:41
mbam-log-2010-06-23 (22-56-41).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 226576
Time elapsed: 55 minute(s), 53 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\syssvc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0068825.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
_________________________________________________________________



2. Nochmals Proxi Einstellungen kontrolliert. Das Häkchen war gesetzt - ich habe es entfernt.

3. Nochmals Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt.

4. Programm "RSIT" ausgeführt.

Log file:
_________________________________________________________________
(ist etwas groß, habe es aber gespeichert falls es wichtig ist)
_________________________________________________________________


5. AviraAntiVir --> Luke Filewalker durchgeführt. (es wurden keine Vieren gefunden)

6. Programm "Ad-Aware" durchgeführt. (es wurden keine Vieren gefunden)

Log file:
_________________________________________________________________
Logfile created: 24.06.2010 06:00:59
Ad-Aware version: 8.2.5
User performing scan: Mustermann

*********************** Definitions database information ***********************
Lavasoft definition file: 149.299
Genotype definition file version: 2010/06/15 23:24:58

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 12316
Objects detected: 0


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0
_________________________________________________________________


Jetzt habe ich die Verbindung zum Internet wieder hergestellt und
der Trojaner hat sich nicht mehr gemeldet.

Nachdem ich den PC aber neu gestartet hatte, war er wieder da.

Kann mir jemand einen Tip geben was ich noch tun könnte?

Hängt es vielleicht irgendwie mit den Benutzerkonten zusammen?

Gruß

Alt 23.06.2010, 22:56   #2
kira
/// Helfer-Team
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow
__________________


Alt 24.06.2010, 04:17   #3
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hallo,

ich habe die erforderlichen Tools nun von einem anderen Rechner heruntergeladen und auf einem Stick gespeichert.
Soll ich die Vorgänge im abgesicherten Modus ausführen?
Wenn ja, mit welchem Benutzer?
Beide, "Administrator" und "Mustermann", sind Computeradministrator.

Grüße
__________________

Alt 24.06.2010, 09:24   #4
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Ok,

ich habe den PC im abgesicherten Modus hochgefahren und
mich als "Administrator" (Computeradministrator) angemeldet.

Dann folgende Anweisungen ausgeführt:

1. Programm "HijackThis" ausgeführt und Logfile gespeichert.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:33:57, on 24.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [ETDWareDetect] C:\Programme\Elantech\ETDDect.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll, InitGauge
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: UpdateCheck - {8A4AB032-6976-4CB0-B08E-230683C1FFD9} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6326 bytes
         

2. Geforderte Dateien sichtbar gemacht.

3. Programm "HJTscanlist" ausgeführt.


Code:
ATTFilter
 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

  24.06.2010 17:30      C:\WINDOWS --------- 0 
  24.06.2010 17:30      C:\rkill.log --------- 392 
        C:\pagefile.sys ---------  
  24.06.2010 17:26      C:\aaw7boot.log --------- 1116 
  23.06.2010 19:37      C:\Programme --------- 0 
  23.06.2010 05:43      C:\rsit --------- 0 
  23.06.2010 00:38      C:\RECYCLER --------- 0 
  22.06.2010 23:59      C:\Dokumente und Einstellungen --------- 0 
  08.02.2009 09:36      C:\Downloads --------- 0 
  08.01.2009 06:28      C:\Keil --------- 0 
  09.12.2008 19:19      C:\Program Files --------- 0 
  05.12.2008 09:27      C:\System Volume Information --------- 0 
  05.12.2008 09:27      C:\boot.ini --------- 211 
  12.08.2008 01:57      C:\Intel --------- 0 
  12.08.2008 00:19      C:\IO.SYS --------- 0 
  12.08.2008 00:19      C:\CONFIG.SYS --------- 0 
  12.08.2008 00:19      C:\MSDOS.SYS --------- 0 
  12.08.2008 00:19      C:\AUTOEXEC.BAT --------- 0 
  14.04.2008 22:00      C:\bootfont.bin --------- 4952 
  14.04.2008 22:00      C:\ntldr --------- 251712 
  14.04.2008 22:00      C:\NTDETECT.COM --------- 47564 
----------------------------------------

 
C:\WINDOWS

  24.06.2010 17:31     C:\WINDOWS\ntbtlog.txt --------- 162546 
  24.06.2010 17:26     C:\WINDOWS\0.log --------- 0 
  24.06.2010 17:26     C:\WINDOWS\bootstat.dat --------- 2048 
  24.06.2010 17:25     C:\WINDOWS\WindowsUpdate.log --------- 19122 
  24.06.2010 17:25     C:\WINDOWS\SchedLgU.Txt --------- 9334 
  24.06.2010 17:25     C:\WINDOWS\wiaservc.log --------- 50 
  24.06.2010 17:25     C:\WINDOWS\wiadebug.log --------- 275 
  24.06.2010 17:24     C:\WINDOWS\setupapi.log --------- 793 
  23.06.2010 21:49     C:\WINDOWS\Sti_Trace.log --------- 0 
  16.04.2010 07:20     C:\WINDOWS\PSPICEEV.INI --------- 6218 
  06.04.2010 05:57     C:\WINDOWS\ModemLog_Nokia E50 Bluetooth Modem.txt --------- 17790 
  23.03.2009 19:11     C:\WINDOWS\win.ini --------- 498 
  05.12.2008 21:58     C:\WINDOWS\nsreg.dat --------- 0 
  18.09.2008 02:40     C:\WINDOWS\oemver.txt --------- 35 
  28.08.2008 01:39     C:\WINDOWS\HideWin.exe --------- 319488 
  13.08.2008 13:44     C:\WINDOWS\smscfg.ini --------- 61 
  12.08.2008 03:58     C:\WINDOWS\REGLOCS.OLD --------- 8192 
  12.08.2008 03:07     C:\WINDOWS\setup.iss --------- 692 
  12.08.2008 01:12     C:\WINDOWS\system.ini --------- 231 
  12.08.2008 00:19     C:\WINDOWS\control.ini --------- 0 
  12.08.2008 00:19     C:\WINDOWS\WMSysPr9.prx --------- 316640 
  12.08.2008 00:19     C:\WINDOWS\ODBCINST.INI --------- 4161 
  12.08.2008 00:17     C:\WINDOWS\WindowsShell.Manifest --------- 749 
  12.08.2008 00:16     C:\WINDOWS\vb.ini --------- 36 
  12.08.2008 00:16     C:\WINDOWS\vbaddin.ini --------- 37 
  06.08.2008 23:51     C:\WINDOWS\RtlUpd.exe --------- 1200128 
  31.07.2008 23:05     C:\WINDOWS\RTHDCPL.EXE --------- 16806912 
  31.07.2008 03:31     C:\WINDOWS\AsAcpiSvrLang.ini --------- 21864 
  30.07.2008 18:56     C:\WINDOWS\BtwIEProxy.exe --------- 27176 
  29.07.2008 23:42     C:\WINDOWS\RtlExUpd.dll --------- 528384 
  02.07.2008 23:48     C:\WINDOWS\AUTO.BAT --------- 37 
  20.06.2008 00:42     C:\WINDOWS\ALCWZRD.EXE --------- 2808832 
  20.06.2008 00:27     C:\WINDOWS\RTLCPL.EXE --------- 9715200 
  20.06.2008 00:20     C:\WINDOWS\ALCMTR.EXE --------- 57344 
  19.06.2008 02:01     C:\WINDOWS\SOUNDMAN.EXE --------- 77824 
  14.04.2008 22:00     C:\WINDOWS\regedit.exe --------- 153600 
  14.04.2008 22:00     C:\WINDOWS\hh.exe --------- 10752 
  14.04.2008 22:00     C:\WINDOWS\Rhododendron.bmp --------- 17362 
  14.04.2008 22:00     C:\WINDOWS\Granit.bmp --------- 26582 
  14.04.2008 22:00     C:\WINDOWS\Pr„riewind.bmp --------- 65954 
  14.04.2008 22:00     C:\WINDOWS\Kaffeetasse.bmp --------- 17062 
  14.04.2008 22:00     C:\WINDOWS\wmprfDEU.prx --------- 34818 
  14.04.2008 22:00     C:\WINDOWS\winnt.bmp --------- 48680 
  14.04.2008 22:00     C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832 
  14.04.2008 22:00     C:\WINDOWS\Feder.bmp --------- 16730 
  14.04.2008 22:00     C:\WINDOWS\Zapotek.bmp --------- 9522 
  14.04.2008 22:00     C:\WINDOWS\explorer.scf --------- 80 
  14.04.2008 22:00     C:\WINDOWS\winhlp32.exe --------- 288768 
  14.04.2008 22:00     C:\WINDOWS\winhelp.exe --------- 257568 
  14.04.2008 22:00     C:\WINDOWS\explorer.exe --------- 1036800 
  14.04.2008 22:00     C:\WINDOWS\winnt256.bmp --------- 48680 
  14.04.2008 22:00     C:\WINDOWS\F„cher.bmp --------- 26680 
  14.04.2008 22:00     C:\WINDOWS\desktop.ini --------- 2 
  14.04.2008 22:00     C:\WINDOWS\clock.avi --------- 82944 
  14.04.2008 22:00     C:\WINDOWS\TASKMAN.EXE --------- 15872 
  14.04.2008 22:00     C:\WINDOWS\twain.dll --------- 94800 
  14.04.2008 22:00     C:\WINDOWS\twain_32.dll --------- 50688 
  14.04.2008 22:00     C:\WINDOWS\twunk_16.exe --------- 49680 
  14.04.2008 22:00     C:\WINDOWS\twunk_32.exe --------- 25600 
  14.04.2008 22:00     C:\WINDOWS\Angler.bmp --------- 17336 
  14.04.2008 22:00     C:\WINDOWS\NOTEPAD.EXE --------- 70144 
  14.04.2008 22:00     C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272 
  14.04.2008 22:00     C:\WINDOWS\vmmreg32.dll --------- 18944 
  14.04.2008 22:00     C:\WINDOWS\Seifenblase.bmp --------- 65978 
  14.04.2008 22:00     C:\WINDOWS\msdfmap.ini --------- 1405 
  14.04.2008 22:00     C:\WINDOWS\_default.pif --------- 707 
  20.03.2008 17:58     C:\WINDOWS\explorer.exe.config --------- 173 
  17.03.2008 23:54     C:\WINDOWS\AsTrayLang.ini --------- 12208 
  20.02.2008 01:42     C:\WINDOWS\RUN.REG --------- 256 
  01.02.2008 20:17     C:\WINDOWS\WLXPGSS.SCR --------- 587776 
  25.01.2008 06:17     C:\WINDOWS\HW.VBS --------- 124 
  15.12.2007 15:00     C:\WINDOWS\INSTALLEEE.EXE --------- 49152 
  21.11.2007 02:15     C:\WINDOWS\SkyTel.exe --------- 1826816 
  14.11.2007 23:18     C:\WINDOWS\USetup.iss --------- 553 
  29.06.2007 00:44     C:\WINDOWS\MicCal.exe --------- 2165760 
  14.06.2007 06:39     C:\WINDOWS\sr.VBS --------- 1162 
  30.10.1998 01:45     C:\WINDOWS\IsUninst.exe --------- 306688 
----------------------------------------

 
C:\WINDOWS\System

 14.04.2008 22:00    C:\WINDOWS\System\AVICAP.DLL --------- 70368 
 14.04.2008 22:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109504 
 14.04.2008 22:00    C:\WINDOWS\System\COMMDLG.DLL --------- 33744 
 14.04.2008 22:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000 
 14.04.2008 22:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936 
 14.04.2008 22:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73760 
 14.04.2008 22:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25296 
 14.04.2008 22:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160 
 14.04.2008 22:00    C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632 
 14.04.2008 22:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152 
 14.04.2008 22:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032 
 14.04.2008 22:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 127104 
 14.04.2008 22:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944 
 14.04.2008 22:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064 
 14.04.2008 22:00    C:\WINDOWS\System\setup.inf --------- 59167 
 14.04.2008 22:00    C:\WINDOWS\System\SHELL.DLL --------- 5120 
 14.04.2008 22:00    C:\WINDOWS\System\SOUND.DRV --------- 1744 
 14.04.2008 22:00    C:\WINDOWS\System\stdole.tlb --------- 5532 
 14.04.2008 22:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360 
 14.04.2008 22:00    C:\WINDOWS\System\TAPI.DLL --------- 19200 
 14.04.2008 22:00    C:\WINDOWS\System\TIMER.DRV --------- 4048 
 14.04.2008 22:00    C:\WINDOWS\System\VER.DLL --------- 9200 
 14.04.2008 22:00    C:\WINDOWS\System\VGA.DRV --------- 2176 
 14.04.2008 22:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600 
 14.04.2008 22:00    C:\WINDOWS\System\WINSPOOL.DRV --------- 146944 
----------------------------------------

 
C:\WINDOWS\System32

 24.06.2010 17:23     C:\WINDOWS\system32\CatRoot2 --------- 0 
 24.06.2010 06:54     C:\WINDOWS\system32\drivers --------- 0 
 23.06.2010 20:07     C:\WINDOWS\system32\lsdelete.exe --------- 15880 
 23.06.2010 17:25     C:\WINDOWS\system32\perfh009.dat --------- 441458 
 23.06.2010 17:25     C:\WINDOWS\system32\perfc009.dat --------- 71394 
 23.06.2010 17:25     C:\WINDOWS\system32\perfh007.dat --------- 459396 
 23.06.2010 17:25     C:\WINDOWS\system32\perfc007.dat --------- 84722 
 23.06.2010 17:25     C:\WINDOWS\system32\PerfStringBackup.INI --------- 1025822 
 23.06.2010 17:20     C:\WINDOWS\system32\wpa.dbl --------- 1158 
 13.06.2010 19:56     C:\WINDOWS\system32\FNTCACHE.DAT --------- 181832 
 13.06.2010 11:35     C:\WINDOWS\system32\dllcache --------- 0 
 29.05.2010 05:37     C:\WINDOWS\system32\MRT.exe --------- 32472008 
 26.05.2010 15:38     C:\WINDOWS\system32\TZLog.log --------- 600946 
 02.05.2010 18:05     C:\WINDOWS\system32\win32k.sys --------- 1851392 
 21.04.2010 23:28     C:\WINDOWS\system32\tzchange.exe --------- 46080 
 20.04.2010 15:29     C:\WINDOWS\system32\atmfd.dll --------- 285696 
 17.04.2010 02:06     C:\WINDOWS\system32\wininet.dll --------- 672768 
 17.04.2010 02:06     C:\WINDOWS\system32\shdocvw.dll --------- 1509888 
 17.04.2010 02:06     C:\WINDOWS\system32\tdc.ocx --------- 61952 
 17.04.2010 02:06     C:\WINDOWS\system32\urlmon.dll --------- 628736 
 17.04.2010 02:06     C:\WINDOWS\system32\mshtml.dll --------- 3094016 
 17.04.2010 02:06     C:\WINDOWS\system32\iepeers.dll --------- 251904 
 17.04.2010 02:06     C:\WINDOWS\system32\browseui.dll --------- 1025024 
 17.04.2010 02:06     C:\WINDOWS\system32\ieencode.dll --------- 81920 
 17.04.2010 01:53     C:\WINDOWS\system32\html.iec --------- 371200 
 08.04.2010 14:03     C:\WINDOWS\system32\WMVCore.dll --------- 2113536 
 31.03.2010 05:48     C:\WINDOWS\system32\jupdate-1.6.0_19-b04.log --------- 4444 
 31.03.2010 00:16     C:\WINDOWS\system32\PresentationHostProxy.dll --------- 99176 
 31.03.2010 00:10     C:\WINDOWS\system32\PresentationHost.exe --------- 295264 
 20.03.2010 02:05     C:\WINDOWS\system32\wmp.dll --------- 4874240 
 09.03.2010 21:09     C:\WINDOWS\system32\vbscript.dll --------- 430080 
 09.03.2010 12:28     C:\WINDOWS\system32\javaws.exe --------- 153376 
 09.03.2010 12:28     C:\WINDOWS\system32\javaw.exe --------- 145184 
 09.03.2010 12:28     C:\WINDOWS\system32\java.exe --------- 145184 
 09.03.2010 12:28     C:\WINDOWS\system32\deploytk.dll --------- 411368 
 09.03.2010 10:16     C:\WINDOWS\system32\javacpl.cpl --------- 73728 
 06.03.2010 00:37     C:\WINDOWS\system32\asycfilt.dll --------- 65536 
 17.02.2010 05:04     C:\WINDOWS\system32\ntkrnlpa.exe --------- 2027008 
 17.02.2010 05:04     C:\WINDOWS\system32\ntoskrnl.exe --------- 2148864 
 12.02.2010 20:03     C:\WINDOWS\system32\browserchoice.exe --------- 293376 
 12.02.2010 14:33     C:\WINDOWS\system32\6to4svc.dll --------- 100864 
 06.02.2010 04:25     C:\WINDOWS\system32\quartz.dll --------- 1297408 
 30.01.2010 00:59     C:\WINDOWS\system32\inetcomm.dll --------- 691712 
 30.01.2010 00:43     C:\WINDOWS\system32\l3codeca.acm --------- 307260 
 30.01.2010 00:43     C:\WINDOWS\system32\l3codecx.ax --------- 143422 
 14.01.2010 00:00     C:\WINDOWS\system32\cabview.dll --------- 86528 
 02.01.2010 05:58     C:\WINDOWS\system32\jupdate-1.6.0_17-b04.log --------- 4997 
 24.12.2009 16:59     C:\WINDOWS\system32\wintrust.dll --------- 177664 
 17.12.2009 17:40     C:\WINDOWS\system32\mspaint.exe --------- 346624 
 14.12.2009 17:08     C:\WINDOWS\system32\csrsrv.dll --------- 33280 
 08.12.2009 19:23     C:\WINDOWS\system32\shlwapi.dll --------- 474624 
 28.11.2009 03:11     C:\WINDOWS\system32\msyuv.dll --------- 17920 
 28.11.2009 02:08     C:\WINDOWS\system32\tsbyuv.dll --------- 8704 
 28.11.2009 02:08     C:\WINDOWS\system32\msvidc32.dll --------- 28672 
 28.11.2009 02:08     C:\WINDOWS\system32\msrle32.dll --------- 11264 
 28.11.2009 02:08     C:\WINDOWS\system32\avifil32.dll --------- 85504 
 28.11.2009 02:08     C:\WINDOWS\system32\iyuv_32.dll --------- 48128 
 07.11.2009 01:07     C:\WINDOWS\system32\netfxperf.dll --------- 49488 
 07.11.2009 01:07     C:\WINDOWS\system32\mscoree.dll --------- 297808 
 07.11.2009 01:06     C:\WINDOWS\system32\dfshim.dll --------- 1130824 
 21.10.2009 15:38     C:\WINDOWS\system32\strmfilt.dll --------- 75776 
 21.10.2009 15:38     C:\WINDOWS\system32\httpapi.dll --------- 25088 
 16.10.2009 02:28     C:\WINDOWS\system32\fontsub.dll --------- 81920 
 16.10.2009 02:28     C:\WINDOWS\system32\t2embed.dll --------- 119808 
 13.10.2009 20:32     C:\WINDOWS\system32\oakley.dll --------- 271360 
 12.10.2009 23:38     C:\WINDOWS\system32\raschap.dll --------- 79872 
 12.10.2009 23:38     C:\WINDOWS\system32\rastls.dll --------- 150528 
 09.10.2009 00:47     C:\WINDOWS\system32\DRVSTORE --------- 0 
 12.09.2009 00:17     C:\WINDOWS\system32\msv1_0.dll --------- 136192 
 05.09.2009 09:54     C:\WINDOWS\system32\QuickTime.qts --------- 69632 
 05.09.2009 09:54     C:\WINDOWS\system32\QuickTimeVR.qtx --------- 94208 
 05.09.2009 07:03     C:\WINDOWS\system32\msasn1.dll --------- 58880 
 02.09.2009 00:46     C:\WINDOWS\system32\msaud32.acm --------- 282654 
 29.08.2009 03:42     C:\WINDOWS\system32\usbaaplrc.dll --------- 2065696 
 26.08.2009 18:00     C:\WINDOWS\system32\strmdll.dll --------- 247326 
 25.08.2009 19:17     C:\WINDOWS\system32\winhttp.dll --------- 354816 
 14.08.2009 01:15     C:\WINDOWS\system32\jscript.dll --------- 512000 
 07.08.2009 04:24     C:\WINDOWS\system32\wuweb.dll --------- 209632 
 07.08.2009 04:24     C:\WINDOWS\system32\wucltui.dll --------- 327896 
 07.08.2009 04:24     C:\WINDOWS\system32\wuaueng.dll.mui --------- 18144 
 07.08.2009 04:24     C:\WINDOWS\system32\wups2.dll --------- 44768 
 07.08.2009 04:24     C:\WINDOWS\system32\wups.dll --------- 35552 
 07.08.2009 04:24     C:\WINDOWS\system32\wuaucpl.cpl --------- 217816 
 07.08.2009 04:24     C:\WINDOWS\system32\wuapi.dll.mui --------- 15584 
 07.08.2009 04:24     C:\WINDOWS\system32\wuauclt.exe --------- 53472 
 07.08.2009 04:24     C:\WINDOWS\system32\wuaucpl.cpl.mui --------- 15584 
 07.08.2009 04:24     C:\WINDOWS\system32\cdm.dll --------- 96480 
 07.08.2009 04:24     C:\WINDOWS\system32\wucltui.dll.mui --------- 23264 
 07.08.2009 04:23     C:\WINDOWS\system32\wuapi.dll --------- 575704 
 07.08.2009 04:23     C:\WINDOWS\system32\wuaueng.dll --------- 1929952 
 07.08.2009 04:23     C:\WINDOWS\system32\mucltui.dll.mui --------- 17776 
 07.08.2009 04:23     C:\WINDOWS\system32\mucltui.dll --------- 274288 
 07.08.2009 04:23     C:\WINDOWS\system32\muweb.dll --------- 215920 
 05.08.2009 18:59     C:\WINDOWS\system32\mswebdvd.dll --------- 206336 
 31.07.2009 19:02     C:\WINDOWS\system32\msxml6.dll --------- 1372672 
 31.07.2009 14:32     C:\WINDOWS\system32\msxml3.dll --------- 1172480 
 18.07.2009 05:01     C:\WINDOWS\system32\atl.dll --------- 58880 
 18.07.2009 02:15     C:\WINDOWS\system32\query.dll --------- 1441792 
 12.07.2009 20:21     C:\WINDOWS\system32\wmpdxm.dll --------- 233472 
 25.06.2009 18:25     C:\WINDOWS\system32\wdigest.dll --------- 54272 
----------------------------------------

 
C:\WINDOWS\Prefetch

 14.08.2010 01:30     C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 27992 
 14.08.2010 01:27     C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 19552 
 24.06.2010 17:25     C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf --------- 21526 
 24.06.2010 17:25     C:\WINDOWS\Prefetch\PEV.RKEXE-2A267F34.pf --------- 4588 
 24.06.2010 17:25     C:\WINDOWS\Prefetch\RKILL.COM-0D8FD80D.pf --------- 11786 
 24.06.2010 17:25     C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 8226 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\RUNDLL32.EXE-13404D23.pf --------- 26078 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\NCLBCBTSRV.EXE-39D0ABE1.pf --------- 16044 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\AVWSC.EXE-24612965.pf --------- 33752 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf --------- 33996 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\NCLMSBTSRV.EXE-07A52892.pf --------- 13920 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf --------- 43568 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\NCLRSSRV.EXE-3994D759.pf --------- 6368 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\SERVICELAYER.EXE-2529B377.pf --------- 17840 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\NCLUSBSRV.EXE-2369E9B7.pf --------- 6782 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf --------- 58024 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\WMIAPSRV.EXE-1E2270A5.pf --------- 48562 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\NCLINSTALLER.EXE-29B54FA6.pf --------- 12308 
 24.06.2010 17:24     C:\WINDOWS\Prefetch\UNSECAPP.EXE-1A95A33B.pf --------- 50714 
 24.06.2010 06:53     C:\WINDOWS\Prefetch\RUNDLL32.EXE-14B29E97.pf --------- 15000 
 24.06.2010 06:53     C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 26610 
 24.06.2010 06:47     C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 67586 
 24.06.2010 06:04     C:\WINDOWS\Prefetch\THREATWORK.EXE-2CC668FF.pf --------- 38672 
 24.06.2010 06:00     C:\WINDOWS\Prefetch\AUTOLAUNCH.EXE-343E795D.pf --------- 20492 
 24.06.2010 06:00     C:\WINDOWS\Prefetch\AD-AWARE.EXE-2B8B58D1.pf --------- 22570 
 24.06.2010 04:15     C:\WINDOWS\Prefetch\Layout.ini --------- 245990 
 23.06.2010 23:05     C:\WINDOWS\Prefetch\AVSCAN.EXE-25724B6E.pf --------- 46712 
 23.06.2010 23:04     C:\WINDOWS\Prefetch\AVCENTER.EXE-1D2DB8A2.pf --------- 72070 
 23.06.2010 23:01     C:\WINDOWS\Prefetch\CCLEANER.EXE-065E2F3F.pf --------- 79972 
 23.06.2010 22:56     C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 44404 
 23.06.2010 21:51     C:\WINDOWS\Prefetch\UPDATE.EXE-3398FCD6.pf --------- 80412 
 23.06.2010 20:01     C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf --------- 80272 
 23.06.2010 20:01     C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf --------- 46782 
 23.06.2010 19:38     C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 103136 
 23.06.2010 17:16     C:\WINDOWS\Prefetch\JQSNOTIFY.EXE-1E60A522.pf --------- 7252 
 23.06.2010 17:16     C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf --------- 83072 
 23.06.2010 15:59     C:\WINDOWS\Prefetch\SOFFICE.BIN-1E52E616.pf --------- 74910 
 23.06.2010 15:59     C:\WINDOWS\Prefetch\BTSTACKSERVER.EXE-1FCCB149.pf --------- 71010 
 23.06.2010 15:59     C:\WINDOWS\Prefetch\SOFFICE.EXE-26427B3D.pf --------- 10140 
 23.06.2010 14:58     C:\WINDOWS\Prefetch\FOXITR~1.EXE-2C735C97.pf --------- 44172 
 22.06.2010 23:18     C:\WINDOWS\Prefetch\THUNDERBIRD.EXE-031A6371.pf --------- 81380 
 21.06.2010 23:31     C:\WINDOWS\Prefetch\ITUNES.EXE-15E88941.pf --------- 59882 
 18.09.2008 02:35     C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 738518 
----------------------------------------

 
C:\WINDOWS\Tasks

 24.06.2010 17:28     C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job --------- 470 
 24.06.2010 17:25     C:\WINDOWS\Tasks\SA.DAT --------- 6 
 24.06.2010 06:51     C:\WINDOWS\Tasks\Auf Updates fr Windows Live Toolbar prfen.job --------- 252 
 24.05.2010 16:54     C:\WINDOWS\Tasks\AppleSoftwareUpdate.job --------- 276 
 14.04.2008 22:00     C:\WINDOWS\Tasks\desktop.ini --------- 65 
----------------------------------------

 
C:\WINDOWS\Temp

 23.06.2010 17:20     C:\WINDOWS\Temp\coinlog.log --------- 604 
 19.06.2010 13:09     C:\WINDOWS\Temp\Perflib_Perfdata_5c8.dat --------- 16384 
----------------------------------------

 
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

 24.06.2010 17:33      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DF4908.tmp --------- 114688 
 24.06.2010 17:30      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BTN%Copy%1 --------- 0 
 24.06.2010 17:30      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\7.tmp --------- 0 
 23.06.2010 21:46      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\C.tmp --------- 0 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI2142.txt --------- 12902 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VWL5.tmp --------- 2632 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dw.log --------- 154 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI2142.txt --------- 1920 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI20FE.txt --------- 12800 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VWL1.tmp --------- 2628 
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI20FE.txt --------- 1872 
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_install_vc_xcor_100.txt --------- 36868 
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_error_vc_xcor_100.txt --------- 4928 
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_depcheck_VC_EXP_100.txt --------- 11024 
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxeventlog.txt --------- 2 
 23.06.2010 16:31      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI0B93.txt --------- 13880 
 23.06.2010 16:31      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI0B93.txt --------- 2176 
 23.06.2010 16:26      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\miaA.tmp --------- 0 
 23.06.2010 16:18      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia9.tmp --------- 0 
 23.06.2010 16:05      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia8.tmp --------- 0 
 23.06.2010 10:25      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia7.tmp --------- 0 
 23.06.2010 10:19      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6.tmp --------- 0 
 23.06.2010 07:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\5.tmp --------- 0 
 23.06.2010 07:58      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia2.tmp --------- 0 
 23.06.2010 07:56      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia1.tmp --------- 0 
 23.06.2010 01:12      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\4.tmp --------- 0 
 23.06.2010 01:12      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3.tmp --------- 0 
 23.06.2010 00:52      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2.tmp --------- 0 
 23.06.2010 00:39      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB641.tmp --------- 65536 
 23.06.2010 00:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1.tmp --------- 0 
 23.06.2010 00:10      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\78.tmp --------- 0 
 23.06.2010 00:07      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\77.tmp --------- 0 
 23.06.2010 00:06      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\76.tmp --------- 0 
----------------------------------------

 
C:\Programme

 24.06.2010 17:33     C:\Programme\trend micro --------- 0 
 23.06.2010 19:38     C:\Programme\Lavasoft --------- 0 
 23.06.2010 00:17     C:\Programme\Malwarebytes' Anti-Malware --------- 0 
 22.06.2010 23:18     C:\Programme\Mozilla Thunderbird --------- 0 
 12.05.2010 20:02     C:\Programme\Outlook Express --------- 0 
 04.04.2010 02:27     C:\Programme\Mozilla Firefox --------- 0 
 31.03.2010 05:48     C:\Programme\Java --------- 0 
 13.03.2010 02:30     C:\Programme\SoulseekNS --------- 0 
 12.03.2010 06:27     C:\Programme\Movie Maker --------- 0 
 20.01.2010 08:52     C:\Programme\CCleaner --------- 0 
 19.11.2009 02:48     C:\Programme\Tinypic --------- 0 
 05.11.2009 06:43     C:\Programme\Avira --------- 0 
 09.10.2009 00:47     C:\Programme\iTunes --------- 0 
 09.10.2009 00:46     C:\Programme\iPod --------- 0 
 09.10.2009 00:45     C:\Programme\Bonjour --------- 0 
 09.10.2009 00:45     C:\Programme\Internet Explorer --------- 0 
 09.10.2009 00:45     C:\Programme\QuickTime --------- 0 
 09.10.2009 00:44     C:\Programme\Apple Software Update --------- 0 
 09.10.2009 00:43     C:\Programme\Gemeinsame Dateien --------- 0 
 28.08.2009 03:41     C:\Programme\Nokia --------- 0 
 28.08.2009 03:40     C:\Programme\DIFX --------- 0 
 28.08.2009 03:39     C:\Programme\PC Connectivity Solution --------- 0 
 29.06.2009 07:29     C:\Programme\DivX --------- 0 
 25.06.2009 21:17     C:\Programme\Microsoft Works --------- 0 
 05.03.2009 18:37     C:\Programme\Elantech --------- 0 
 17.02.2009 06:04     C:\Programme\PDFCreator --------- 0 
 20.12.2008 02:27     C:\Programme\ibf --------- 0 
 06.12.2008 06:56     C:\Programme\Windows Live --------- 0 
 06.12.2008 05:54     C:\Programme\Eee Storage --------- 0 
 05.12.2008 19:01     C:\Programme\VideoLAN --------- 0 
 05.12.2008 18:56     C:\Programme\OpenOffice.org 3 --------- 0 
 05.12.2008 18:52     C:\Programme\Alex Feinman --------- 0 
 05.12.2008 18:51     C:\Programme\Foxit Software --------- 0 
 05.12.2008 18:44     C:\Programme\MSBuild --------- 0 
 05.12.2008 18:44     C:\Programme\Reference Assemblies --------- 0 
 05.12.2008 18:38     C:\Programme\7-Zip --------- 0 
 05.12.2008 18:33     C:\Programme\NetSetMan --------- 0 
 05.12.2008 10:58     C:\Programme\BatteryInfo --------- 0 
 18.09.2008 02:29     C:\Programme\Messenger --------- 0 
 18.09.2008 02:22     C:\Programme\InstallShield Installation Information --------- 0 
 18.09.2008 02:17     C:\Programme\EeePC --------- 0 
 28.08.2008 01:39     C:\Programme\Realtek --------- 0 
 28.08.2008 01:17     C:\Programme\WIDCOMM --------- 0 
 13.08.2008 13:25     C:\Programme\RALINK --------- 0 
 12.08.2008 03:47     C:\Programme\Microsoft Office --------- 0 
 12.08.2008 03:39     C:\Programme\InterVideo --------- 0 
 12.08.2008 03:33     C:\Programme\Sun --------- 0 
 12.08.2008 03:11     C:\Programme\Skype --------- 0 
 12.08.2008 03:07     C:\Programme\ASUS --------- 0 
 12.08.2008 02:54     C:\Programme\Windows Live Toolbar --------- 0 
 12.08.2008 02:51     C:\Programme\Microsoft SQL Server Compact Edition --------- 0 
 12.08.2008 01:57     C:\Programme\Intel --------- 0 
 12.08.2008 00:23     C:\Programme\Uninstall Information --------- 0 
 12.08.2008 00:19     C:\Programme\xerox --------- 0 
 12.08.2008 00:19     C:\Programme\microsoft frontpage --------- 0 
 12.08.2008 00:19     C:\Programme\Windows Media Player --------- 0 
 12.08.2008 00:17     C:\Programme\WindowsUpdate --------- 0 
 12.08.2008 00:17     C:\Programme\Online-Dienste --------- 0 
 12.08.2008 00:17     C:\Programme\NetMeeting --------- 0 
 12.08.2008 00:16     C:\Programme\ComPlus Applications --------- 0 
 12.08.2008 00:15     C:\Programme\MSN Gaming Zone --------- 0 
 12.08.2008 00:15     C:\Programme\Windows NT --------- 0 
 08.05.2008 00:34     C:\Programme\U1 Setup.exe --------- 15523560 
----------------------------------------

 
C:\Dokumente und Einstellungen\All Users\.. 

Dani    
Administrator    
LocalService    
Gast    
Default User    
NetworkService    
All Users    
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1       localhost

----------------------------------------

 

Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process           0 Console                   0            28 K
System                        4 Console                   0           236 K
smss.exe                    304 Console                   0           956 K
csrss.exe                   368 Console                   0         7.244 K
winlogon.exe                392 Console                   0        30.160 K
services.exe                436 Console                   0         8.364 K
lsass.exe                   448 Console                   0         1.332 K
svchost.exe                 600 Console                   0        29.912 K
svchost.exe                 672 Console                   0         4.320 K
svchost.exe                 752 Console                   0        12.700 K
svchost.exe                 784 Console                   0         2.800 K
svchost.exe                 832 Console                   0         2.984 K
AAWService.exe              884 Console                   0        44.708 K
unsecapp.exe               1076 Console                   0        26.956 K
wmiprvse.exe               1312 Console                   0        30.432 K
igfxsrvc.exe               1452 Console                   0        12.152 K
AAWTray.exe                1584 Console                   0           408 K
explorer.exe               2020 Console                   0        26.976 K
HijackThis.exe              240 Console                   0         1.252 K
notepad.exe                 452 Console                   0           312 K
wmiprvse.exe               1628 Console                   0         6.120 K
cmd.exe                    1780 Console                   0         2.164 K
tasklist.exe               1972 Console                   0         4.264 K

 
***** Ende des Scans 24.06.2010 um 17:50:14,89 ***
         
4. Programm "CCleaner" ausgeführt.

Code:
ATTFilter
 
7-Zip 4.57		
Ad-Aware	Lavasoft	
Ad-Aware Email Scanner for Outlook	Lavasoft	1.0.0
Adabas D 13.01.00	Sun Microsystems	13.0100.8895
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	10.0.45.2
Apple Application Support	Apple Inc.	1.0
Apple Mobile Device Support	Apple Inc.	2.6.0.32
Apple Software Update	Apple Inc.	2.1.1.116
Asus ACPI Driver	ASUSTek Computer	4.00.0003
ASUSUpdate for Eee PC		
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver	Atheros Communications Inc.	1.0.0.21
Avira AntiVir Personal - Free Antivirus	Avira GmbH	
Azurewave Wireless LAN	RaLink	1.00.0000
Bonjour	Apple Inc.	1.0.106
CCleaner	Piriform	2.27
Compatibility Pack für 2007 Office System	Microsoft Corporation	12.0.6425.1000
DivX Codec	DivX, Inc.	6.8.5
DivX Converter	DivX, Inc.	7.1.0
DivX Player	DivX, Inc.	7.2.0
DivX Plus DirectShow Filters	DivX, Inc.	
DivX Web Player	DivX,Inc.	1.5.0
Eee Instant Key	ASUS	1.08
Eee Storage 1.1.15.197	ECAREME	1.1.15.197
ETDWare PS/2-x86 7.0.4.0 WHQL		
Foxit Reader		
HijackThis 2.0.2	TrendMicro	2.0.2
Intel(R) Graphics Media Accelerator Driver		
InterVideo WinDVD	InterVideo Inc.	5.0-B11.1244
iTunes	Apple Inc.	9.0.1.8
Java(TM) 6 Update 19	Sun Microsystems, Inc.	6.0.190
Java(TM) 6 Update 3	Sun Microsystems, Inc.	1.6.0.30
Keil µVision3		
Malwarebytes' Anti-Malware	Malwarebytes Corporation	
Microsoft .NET Framework 1.1		
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	
Microsoft Office PowerPoint Viewer 2007 (German)	Microsoft Corporation	12.0.6425.1000
Microsoft SQL Server 2005 Compact Edition [ENU]	Microsoft Corporation	3.1.0000
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148	Microsoft Corporation	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	9.0.30729
Microsoft Works	Microsoft Corporation	9.7.0621
Mozilla Firefox (3.6.3)	Mozilla	3.6.3 (de)
Mozilla Thunderbird (2.0.0.24)	Mozilla	2.0.0.24 (de)
NetSetMan 2.5.1	Ilja Herlein	2.5.1
Nokia Connectivity Cable Driver	Nokia	7.1.17.0
Nokia PC Suite	Nokia	7.1.30.9
Notebook BatteryInfo	Thomas Michel	1.2.0.21
OpenOffice.org 3.0	OpenOffice.org	3.0.9358
PC Connectivity Solution	Nokia	9.23.3.0
PDFCreator	Frank Heindörfer, Philip Chinery	0.9.6
PSpice Student 9.1		
QuickTime	Apple Inc.	7.64.17.73
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	5.10.0.5683
Skype™ 3.6	Skype Technologies S.A.	3.6.248
SoulSeek 157 NS 13e		
StarOffice 8 ASUS Edition	Sun Microsystems	8.00.9251
Super Hybrid Engine	ASUS	1.12
Target 3001! V14 discover	Ing. Buero FRIEDRICH	
Tinypic 3.14	E. Fiedler	Tinypic 3.14
Uninstall 1.0.0.1		
VLC media player 0.9.6	VideoLAN Team	0.9.6
WIDCOMM Bluetooth Software	WIDCOMM, Inc.	5.5.0.4100
Windows Genuine Advantage Validation Tool (KB892130)	Microsoft Corporation	
Windows Live Anmelde-Assistent	Microsoft Corporation	5.000.818.6
Windows Live Fotogalerie	Microsoft Corporation	12.0.1329.0201
Windows Live installer	Microsoft Corporation	12.0.1471.1025
Windows Live Mail	Microsoft Corporation	12.0.1606.1023
Windows Live Messenger	Microsoft Corporation	8.5.1302.1018
Windows Live Toolbar	Microsoft Corporation	03.01.0146
Windows Live Writer	Microsoft Corporation	12.0.1370.0325
Windows-Treiberpaket - Nokia Modem  (06/01/2009 4.1)	Nokia	06/01/2009 4.1
Windows-Treiberpaket - Nokia Modem  (06/01/2009 7.01.0.3)	Nokia	06/01/2009 7.01.0.3
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)	Nokia	08/22/2008 7.0.0.0
         

Alt 24.06.2010, 11:51   #5
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hmm..

ich habe die Anweisungen jetzt mit den aktuellsten Versionen
der Tools mehrmals durchgeführt.
Leider ist er immernoch drauf.
Kann mir jemand helfen? Was kann ich noch tun?


Alt 24.06.2010, 13:52   #6
kira
/// Helfer-Team
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



hi

kannst in den normalen Modus auch die Tools ausführen?
Code:
ATTFilter
Dani    
Administrator
         
also meinst der "Administrator" war vorher nicht da?

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Tipps für die Suche nach Dateien
Code:
ATTFilter
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
         
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Code:
ATTFilter
Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         

Geändert von kira (24.06.2010 um 14:00 Uhr)

Alt 25.06.2010, 08:32   #7
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hi,

doch das Benutzerkonto "Administrator" war vorher anscheinend auch schon da, nur
hab ich es nie gesehen weil ich meinen PC zuvor nie im abgesicherten Modus hochgefahren
hatte.
Freunde von mir sagten dass der "Addministrator" von Anfang an auf dem PC war. Wenn ich
den PC normal hochfahre und dann Alt+Strg+Entf drücke, kann ich mich wie in Windows 2000
anmelden. Theoretisch auch mir dem Benutzer "Administrator". Dies geht aber nicht. Es
erscheint folgende Fehlermeldung von Windows: "Auf Grund der Benutzerkontenbeschränkung
ist eine Anmeldung nicht möglich".
Ich glaube auch das hier ein mögliches Problem liegt.

Ich habe also im abgesicherten Modus "Administrator", oben (23.06.2010, 23:14) beschriebenes
Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren.

Danach im abgesicherten Modus "Mustermann", oben (23.06.2010, 23:14) beschriebenes
Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren.

Jetzt habe ich den PC im normalen Modus hochgefahren. Wie beschrieben kann ich hier nur
auf den Benutzer "Mustermann" zugreifen. Jetzt wieder oben (23.06.2010, 23:14) beschriebenes
Prozedere (mit Fullcheck) durchgeführt.

So, jetzt dachte ich ich hab ihn gekillt. Ich habe die Netzwerkverbindung wieder hersgestellt
und gehofft "AV Security Suit" meldet sich nicht mehr. Dem war auch so.
Aber dann..., als ich den PC ein zweites mal hochgefahren hatte war er wieder da.




Hab nicht ganz verstanden wo ich es reinkopieren soll.
Ich nehme an hier als Code. Hoffentlich meinst du es so... hab
einfach mal das komplette Ergebis kopiert.
Ein paar Vierenscanner haben hier ja wirklich einen Virus erkannt, oder?


Code:
ATTFilter
Datei wntumsutssd.exe empfangen 2010.06.25 07:13:29 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen",
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 5.0.0.30 2010.06.22 - 
AhnLab-V3 2010.06.22.00 2010.06.22 Trojan/Win32.FakeAV 
AntiVir 8.2.2.6 2010.06.21 - 
Antiy-AVL 2.0.3.7 2010.06.22 - 
Authentium 5.2.0.5 2010.06.22 - 
Avast 4.8.1351.0 2010.06.21 - 
Avast5 5.0.332.0 2010.06.21 - 
AVG 9.0.0.787 2010.06.21 - 
BitDefender 7.2 2010.06.22 - 
CAT-QuickHeal 10.00 2010.06.22 (Suspicious) - DNAScan 
ClamAV 0.96.0.3-git 2010.06.22 - 
Comodo 5180 2010.06.22 - 
DrWeb 5.0.2.03300 2010.06.22 - 
eSafe 7.0.17.0 2010.06.20 - 
eTrust-Vet 36.1.7657 2010.06.22 - 
F-Prot 4.6.1.107 2010.06.21 - 
F-Secure 9.0.15370.0 2010.06.22 - 
Fortinet 4.1.133.0 2010.06.21 - 
GData 21 2010.06.22 - 
Ikarus T3.1.1.84.0 2010.06.22 - 
Jiangmin 13.0.900 2010.06.15 - 
Kaspersky 7.0.0.125 2010.06.22 - 
McAfee 5.400.0.1158 2010.06.22 - 
McAfee-GW-Edition 2010.1 2010.06.22 Artemis!D84F68797B1F 
Microsoft 1.5902 2010.06.22 - 
NOD32 5216 2010.06.21 - 
Norman 6.05.06 2010.06.21 - 
nProtect 2010-06-21.01 2010.06.21 - 
Panda 10.0.2.7 2010.06.21 Adware/AntiSpywareSoft 
PCTools 7.0.3.5 2010.06.22 - 
Prevx 3.0 2010.06.25 High Risk Fraudulent Security Program 
Rising 22.53.01.04 2010.06.22 - 
Sophos 4.54.0 2010.06.22 - 
Sunbelt 6483 2010.06.21 - 
Symantec 20101.1.0.89 2010.06.22 Suspicious.Cloud 
TheHacker 6.5.2.0.302 2010.06.22 - 
TrendMicro 9.120.0.1004 2010.06.22 - 
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 - 
VBA32 3.12.12.5 2010.06.22 - 
ViRobot 2010.6.21.3896 2010.06.22 - 
VirusBuster 5.0.27.0 2010.06.21 - 
weitere Informationen 
File size: 278784 bytes 
MD5...: d84f68797b1f40c3df3ff56c76153934 
SHA1..: ebed9e2bf4f43c8e271d459a959eb47756515818 
SHA256: 8513effc42e251f286b7b57047d01fd33ea308802e72acab87da478d89ced216 
ssdeep: 6144:KfpkyHQoLSc5uUhJpmq2pZwdfYlHA7UPzGmEJjou:8HQI5ZNdfWHA7UiKu
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1279
timedatestamp.....: 0x42f228cb (Thu Aug 04 14:40:11 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2154e 0x21600 7.57 4854df2d439cd337fe49cb70684f8986
.rdata 0x23000 0x14c 0x200 3.32 bbe4fd6bd78869cab244308e901e70c7
.data 0x24000 0x21ea8 0x22000 7.79 a7b08e6c2828009ca27d0b92a0b76144
.rsrc 0x46000 0x23000 0x400 1.96 9298003bc3553355d1e1355071a7b180

( 2 imports ) 
> USER32.dll: EnumWindows, CreateDialogParamA, EndDialog, IsDialogMessageA, FillRect
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, LoadResource, FreeResource, LockResource, ExitProcess, TerminateProcess

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%) 
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654</a> 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         
Wie soll ich weiter vorgehen?

Alt 25.06.2010, 20:18   #8
kira
/// Helfer-Team
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



hi

Da diese Dateien (noch) nicht bei allen Herstellern von Removern, Antiviren Programmen und Spyware Schutz Programmen bekannt sind, laden wir zur weitere Analyse zum Hersteller des Removers hoch:
Datei Upload
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
  • Gib im Kommentarfeld Folgendes an:
  • "Unknown file"
  • diese Information:
Code:
ATTFilter
Datei wntumsutssd.exe empfangen 2010.06.25 07:13:29 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen",
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
a-squared 5.0.0.30 2010.06.22 - 
AhnLab-V3 2010.06.22.00 2010.06.22 Trojan/Win32.FakeAV 
AntiVir 8.2.2.6 2010.06.21 - 
Antiy-AVL 2.0.3.7 2010.06.22 - 
Authentium 5.2.0.5 2010.06.22 - 
Avast 4.8.1351.0 2010.06.21 - 
Avast5 5.0.332.0 2010.06.21 - 
AVG 9.0.0.787 2010.06.21 - 
BitDefender 7.2 2010.06.22 - 
CAT-QuickHeal 10.00 2010.06.22 (Suspicious) - DNAScan 
ClamAV 0.96.0.3-git 2010.06.22 - 
Comodo 5180 2010.06.22 - 
DrWeb 5.0.2.03300 2010.06.22 - 
eSafe 7.0.17.0 2010.06.20 - 
eTrust-Vet 36.1.7657 2010.06.22 - 
F-Prot 4.6.1.107 2010.06.21 - 
F-Secure 9.0.15370.0 2010.06.22 - 
Fortinet 4.1.133.0 2010.06.21 - 
GData 21 2010.06.22 - 
Ikarus T3.1.1.84.0 2010.06.22 - 
Jiangmin 13.0.900 2010.06.15 - 
Kaspersky 7.0.0.125 2010.06.22 - 
McAfee 5.400.0.1158 2010.06.22 - 
McAfee-GW-Edition 2010.1 2010.06.22 Artemis!D84F68797B1F 
Microsoft 1.5902 2010.06.22 - 
NOD32 5216 2010.06.21 - 
Norman 6.05.06 2010.06.21 - 
nProtect 2010-06-21.01 2010.06.21 - 
Panda 10.0.2.7 2010.06.21 Adware/AntiSpywareSoft 
PCTools 7.0.3.5 2010.06.22 - 
Prevx 3.0 2010.06.25 High Risk Fraudulent Security Program 
Rising 22.53.01.04 2010.06.22 - 
Sophos 4.54.0 2010.06.22 - 
Sunbelt 6483 2010.06.21 - 
Symantec 20101.1.0.89 2010.06.22 Suspicious.Cloud 
TheHacker 6.5.2.0.302 2010.06.22 - 
TrendMicro 9.120.0.1004 2010.06.22 - 
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 - 
VBA32 3.12.12.5 2010.06.22 - 
ViRobot 2010.6.21.3896 2010.06.22 - 
VirusBuster 5.0.27.0 2010.06.21 - 
weitere Informationen 
File size: 278784 bytes 
MD5...: d84f68797b1f40c3df3ff56c76153934 
SHA1..: ebed9e2bf4f43c8e271d459a959eb47756515818 
SHA256: 8513effc42e251f286b7b57047d01fd33ea308802e72acab87da478d89ced216 
ssdeep: 6144:KfpkyHQoLSc5uUhJpmq2pZwdfYlHA7UPzGmEJjou:8HQI5ZNdfWHA7UiKu
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1279
timedatestamp.....: 0x42f228cb (Thu Aug 04 14:40:11 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2154e 0x21600 7.57 4854df2d439cd337fe49cb70684f8986
.rdata 0x23000 0x14c 0x200 3.32 bbe4fd6bd78869cab244308e901e70c7
.data 0x24000 0x21ea8 0x22000 7.79 a7b08e6c2828009ca27d0b92a0b76144
.rsrc 0x46000 0x23000 0x400 1.96 9298003bc3553355d1e1355071a7b180

( 2 imports ) 
> USER32.dll: EnumWindows, CreateDialogParamA, EndDialog, IsDialogMessageA, FillRect
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, LoadResource, FreeResource, LockResource, ExitProcess, TerminateProcess

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%) 
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654</a> 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         
  • Drücke nun auf den Button "Send File"
  • **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
    .

Alt 26.06.2010, 01:46   #9
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hallo,

jep, habe das File hochladen können.

"Your file (wntumsutssd.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file."

Gruß

Alt 26.06.2010, 11:02   #10
kira
/// Helfer-Team
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



hi

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Lade und installiere das Tool RootRepeal herunter
  • setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
  • "Stealth Objects" -> "Scan"-> Save Report"...
  • "Hidden Services" -> "Scan"-> Save Report"...
  • speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

Alt 26.06.2010, 15:37   #11
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hallo,

habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator" durchgeführt. Hoffe das geht in Ordnung so.

GMER Logfile:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-27 00:03:47
Windows 5.1.2600 Service Pack 3
Running: uxrg2fhz.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgxorkog.sys


---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Fastfat \Fat  F691FD20

---- EOF - GMER 1.0.15 ----
         
--- --- ---

--- --- ---





Häkchen bei: Drivers, Hidden und Stealth

Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2010/06/27 00:15
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6FA3000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AB0000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF6BBB000	Size: 49152	File Visible: No	Signed: -
Status: -

==EOF==
         
Gruß

Alt 26.06.2010, 15:44   #12
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hi,

habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator"
durchgeführt. Hoffe das geht in Ordnung so.

[CODE]
GMER Logfile:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-27 00:03:47
Windows 5.1.2600 Service Pack 3
Running: uxrg2fhz.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgxorkog.sys


---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Fastfat \Fat  F691FD20

---- EOF - GMER 1.0.15 ----
         
--- --- ---

--- --- ---



Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2010/06/27 00:15
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6FA3000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AB0000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF6BBB000	Size: 49152	File Visible: No	Signed: -
Status: -

==EOF==
         

Alt 26.06.2010, 15:47   #13
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Sorry,

zweite Seite nicht gesehen. Deswegen zweimal gepostet.

Alt 27.06.2010, 08:04   #14
kira
/// Helfer-Team
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



hi

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
Code:
ATTFilter
 C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
         
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählenHäckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
O21 - SSODL: UpdateCheck - {8A4AB032-6976-4CB0-B08E-230683C1FFD9} - (no file)
         
3.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Alt 27.06.2010, 12:05   #15
KeIn
 
Trojaner AV Security Suit - Standard

Trojaner AV Security Suit



Hallo,

noch eine kurze Frage bevor ich mit den Aktionen beginne.

Ich führe alles im abgesicherten Modus durch?

Zitat:
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
Auch im abgesicherten Modus (F8) neu starten?

Muss ich TrendMicro kaufen, oder kann ich ein anderes Prog. verwenden?

Antwort

Themen zu Trojaner AV Security Suit
ad-aware, administrator, anti-malware, benutzerkonten, dateien, detected, einstellungen, explorer, falsche, forum, infected, log, malwarebytes, microsoft, neustart., nicht mehr, rkill, security, security suit, service pack 3, software, system, system volume information, trojan.agent, trojan.dropper, trojaner, verbindung, vieren, wichtig



Ähnliche Themen: Trojaner AV Security Suit


  1. Avira Inet Security Suit - Dieses Programm wird vom Systemadministrator blockiert
    Plagegeister aller Art und deren Bekämpfung - 27.08.2014 (11)
  2. troj zero acces in: Live Security Platinum und Microsoft\Security Center|
    Log-Analyse und Auswertung - 10.12.2012 (7)
  3. Live Security Platinum-Trojaner, Verschlüsselungs-Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (1)
  4. Gema Trojaner & Windows Security Center Trojaner
    Log-Analyse und Auswertung - 25.04.2012 (24)
  5. Internet Security /Security Warning , Fake Security Programm
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (11)
  6. Normen Security Suit Skriptfehler
    Antiviren-, Firewall- und andere Schutzprogramme - 26.12.2010 (1)
  7. Antimalware Doctor, Security Suit Virus entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.09.2010 (45)
  8. Malware / Virus / Trojaner - "Windows Security Alert / Security Suite"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (11)
  9. Security Suit Alert
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (12)
  10. Windows Sec. Suit ploppt auf, kann aber nichts anklicken, Porno Links auf Desktop
    Log-Analyse und Auswertung - 20.01.2010 (6)
  11. NormanSecurity Suit findet immer JS/Shellcode.CI
    Log-Analyse und Auswertung - 05.01.2010 (1)
  12. Kaspersky Security Suit ?Problem?
    Antiviren-, Firewall- und andere Schutzprogramme - 19.10.2008 (2)
  13. HILFE! Security Toolbar 7.1, Life Savety Center, Security Allert...
    Log-Analyse und Auswertung - 08.11.2007 (11)
  14. online security guide/security troubleshooting nach syst.wiederherstellung weg?
    Log-Analyse und Auswertung - 07.08.2007 (3)
  15. Steganos Security Suit 7 Fehler
    Antiviren-, Firewall- und andere Schutzprogramme - 31.01.2006 (6)
  16. ewido security suit
    Mülltonne - 14.12.2005 (10)
  17. Stegnatos Security Suit
    Überwachung, Datenschutz und Spam - 26.02.2003 (6)

Zum Thema Trojaner AV Security Suit - Hallo, ich versuche seit vorgestern einen Trojaner Namens "AV Security Suit" von meinem PC zu entfernen. Ich habe versucht nach der Anleitung in diesem Forum zu arbeiten. Nach dem ich - Trojaner AV Security Suit...
Archiv
Du betrachtest: Trojaner AV Security Suit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.