Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Torpig u. Virtumonde

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.08.2007, 20:28   #1
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Hallo,

hab mir was eingefahren, Spybot erkennt Torpig und Virtumonde. Bitte helft mir die zwei Kollegen wieder loszuwerden. Poste mal das HJT-Logfile.

Gruß Saxo_it

Logfile of HijackThis v1.99.1
Scan saved at 21:13:58, on 28.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Dieter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159117653921
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrkp32 - C:\WINDOWS\SYSTEM32\winrkp32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

Alt 29.08.2007, 19:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Hallo.

C:\WINDOWS\SYSTEM32\winrkp32.dll

Diese Datei sieht wesentlich gefährlicher aus, werte sie bitte zuerst mal bei Virustotal aus und poste sämtliche Ergebnisse, auch die Prüfsummen.
__________________

__________________

Alt 30.08.2007, 19:40   #3
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Das ist das ergebnis:

<File winrkp32.dll received on 08.30.2007 20:25:55 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.8.31.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.30 -
AVG 7.5.0.484 2007.08.29 Dialer.LJX
BitDefender 7.2 2007.08.30 Trojan.Peed.Gen
CAT-QuickHeal 9.00 2007.08.30 Trojan.Dialer.qn
ClamAV None 2007.08.30 -
DrWeb 4.33 2007.08.30 Trojan.Mezzia
eSafe 7.0.15.0 2007.08.29 Win32.Dialer.qn
eTrust-Vet 31.1.5095 2007.08.30 -
Ewido 4.0 2007.08.30 -
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 W32/Nebule.QN!tr
F-Prot 4.3.2.48 2007.08.29 -
F-Secure 6.70.13030.0 2007.08.30 -
Ikarus T3.1.1.12 2007.08.30 Trojan.Win32.Agent.vg
Kaspersky 4.0.2.24 2007.08.30 Trojan.Win32.Dialer.qn
McAfee 5109 2007.08.30 BackDoor-CVT
Microsoft 1.2803 2007.08.30 -
Norman 5.80.02 2007.08.30 W32/Dialer.BKPP
Panda 9.0.0.4 2007.08.29 Adware/SpywareNo
Prevx1 V2 2007.08.30 SpywareQuake
Rising 19.38.32.00 2007.08.30 -
Sophos 4.21.0 2007.08.30 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.30 -
TheHacker 6.1.9.175 2007.08.30 Trojan/Dialer.qn
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.30 -
Webwasher-Gateway 6.0.1 2007.08.30 -
Additional information
File size: 21504 bytes
MD5: 04885a5875f0611e25c81a809b2acfec
SHA1: bb0f7d9e8ea6f0e30728235f0d8c554363a5356a
packers: PecBundle, PECompact
Prevx info: WINWLY32.DLL - Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Antivirus;Version;Last Update;Result
AntiVir;7.4.1.66;2007.08.30;TR/Crypt.PEC2X.Gen
AVG;7.5.0.484;2007.08.29;Dialer.LJX
BitDefender;7.2;2007.08.30;Trojan.Peed.Gen
CAT-QuickHeal;9.00;2007.08.30;Trojan.Dialer.qn
DrWeb;4.33;2007.08.30;Trojan.Mezzia
eSafe;7.0.15.0;2007.08.29;Win32.Dialer.qn
Fortinet;3.11.0.0;2007.08.30;W32/Nebule.QN!tr
Ikarus;T3.1.1.12;2007.08.30;Trojan.Win32.Agent.vg
Kaspersky;4.0.2.24;2007.08.30;Trojan.Win32.Dialer.qn
McAfee;5109;2007.08.30;BackDoor-CVT
Norman;5.80.02;2007.08.30;W32/Dialer.BKPP
Panda;9.0.0.4;2007.08.29;Adware/SpywareNo
Prevx1;V2;2007.08.30;SpywareQuake
Sophos;4.21.0;2007.08.30;Troj/Nebule-Gen
Sunbelt;2.2.907.0;2007.08.25;VIPRE.Suspicious
TheHacker;6.1.9.175;2007.08.30;Trojan/Dialer.qn

Additional information
File size: 21504 bytes
MD5: 04885a5875f0611e25c81a809b2acfec
SHA1: bb0f7d9e8ea6f0e30728235f0d8c554363a5356a
packers: PecBundle, PECompact
Prevx info: WINWLY32.DLL - Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Hoffe alles richtig gemacht zu haben. Hab nicht das beste Gefühl...
__________________

Alt 30.08.2007, 19:42   #4
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



File winrkp32.dll received on 08.30.2007 20:25:55 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.8.31.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.30 -
AVG 7.5.0.484 2007.08.29 Dialer.LJX
BitDefender 7.2 2007.08.30 Trojan.Peed.Gen
CAT-QuickHeal 9.00 2007.08.30 Trojan.Dialer.qn
ClamAV None 2007.08.30 -
DrWeb 4.33 2007.08.30 Trojan.Mezzia
eSafe 7.0.15.0 2007.08.29 Win32.Dialer.qn
eTrust-Vet 31.1.5095 2007.08.30 -
Ewido 4.0 2007.08.30 -
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 W32/Nebule.QN!tr
F-Prot 4.3.2.48 2007.08.29 -
F-Secure 6.70.13030.0 2007.08.30 -
Ikarus T3.1.1.12 2007.08.30 Trojan.Win32.Agent.vg
Kaspersky 4.0.2.24 2007.08.30 Trojan.Win32.Dialer.qn
McAfee 5109 2007.08.30 BackDoor-CVT
Microsoft 1.2803 2007.08.30 -
Norman 5.80.02 2007.08.30 W32/Dialer.BKPP
Panda 9.0.0.4 2007.08.29 Adware/SpywareNo
Prevx1 V2 2007.08.30 SpywareQuake
Rising 19.38.32.00 2007.08.30 -
Sophos 4.21.0 2007.08.30 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.30 -
TheHacker 6.1.9.175 2007.08.30 Trojan/Dialer.qn
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.30 -
Webwasher-Gateway 6.0.1 2007.08.30 -
Additional information
File size: 21504 bytes
MD5: 04885a5875f0611e25c81a809b2acfec
SHA1: bb0f7d9e8ea6f0e30728235f0d8c554363a5356a
packers: PecBundle, PECompact
Prevx info: WINWLY32.DLL - Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Antivirus;Version;Last Update;Result
AhnLab-V3;2007.8.31.0;2007.08.30;-
AntiVir;7.4.1.66;2007.08.30;TR/Crypt.PEC2X.Gen
Authentium;4.93.8;2007.08.29;-
Avast;4.7.1029.0;2007.08.30;-
AVG;7.5.0.484;2007.08.29;Dialer.LJX
BitDefender;7.2;2007.08.30;Trojan.Peed.Gen
CAT-QuickHeal;9.00;2007.08.30;Trojan.Dialer.qn
ClamAV;None;2007.08.30;-
DrWeb;4.33;2007.08.30;Trojan.Mezzia
eSafe;7.0.15.0;2007.08.29;Win32.Dialer.qn
eTrust-Vet;31.1.5095;2007.08.30;-
Ewido;4.0;2007.08.30;-
FileAdvisor;1;2007.08.30;-
Fortinet;3.11.0.0;2007.08.30;W32/Nebule.QN!tr
F-Prot;4.3.2.48;2007.08.29;-
F-Secure;6.70.13030.0;2007.08.30;-
Ikarus;T3.1.1.12;2007.08.30;Trojan.Win32.Agent.vg
Kaspersky;4.0.2.24;2007.08.30;Trojan.Win32.Dialer.qn
McAfee;5109;2007.08.30;BackDoor-CVT
Microsoft;1.2803;2007.08.30;-
Norman;5.80.02;2007.08.30;W32/Dialer.BKPP
Panda;9.0.0.4;2007.08.29;Adware/SpywareNo
Prevx1;V2;2007.08.30;SpywareQuake
Rising;19.38.32.00;2007.08.30;-
Sophos;4.21.0;2007.08.30;Troj/Nebule-Gen
Sunbelt;2.2.907.0;2007.08.25;VIPRE.Suspicious
Symantec;10;2007.08.30;-
TheHacker;6.1.9.175;2007.08.30;Trojan/Dialer.qn
VBA32;3.12.2.3;2007.08.30;-
VirusBuster;4.3.26:9;2007.08.30;-
Webwasher-Gateway;6.0.1;2007.08.30;-

Additional information
File size: 21504 bytes
MD5: 04885a5875f0611e25c81a809b2acfec
SHA1: bb0f7d9e8ea6f0e30728235f0d8c554363a5356a
packers: PecBundle, PECompact
Prevx info: WINWLY32.DLL - Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Alt 30.08.2007, 19:55   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Hmm..die Ergenisse sind recht unterschiedlich, manch Scanner stuft den gar als Backdoor ein...

Mach mal bitte einen Check mit

- Blacklight
- MWAV escan

Mach auch zusätzlich bitte ein Log mit Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.08.2007, 13:03   #6
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Filelist:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\

31.08.2007 12:42 1.071.763.456 hiberfil.sys
31.08.2007 12:41 1.610.612.736 pagefile.sys
13.08.2007 11:55 0 PrMgrAPI.log
29.04.2007 08:29 6 ISACER.ID

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\system32

31.08.2007 12:44 790 eRLog.ini
31.08.2007 12:43 1.158 wpa.dbl
26.08.2007 07:30 21.504 winrkp32.dll
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
19.07.2007 08:56 3.583.488 mshtml.dll

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\Prefetch

31.08.2007 12:59 11.208 FIND.EXE-0EEAD1A7.pf
31.08.2007 12:59 12.132 CMD.EXE-034B0549.pf
31.08.2007 12:59 38.680 INODIST.EXE-0FD1232B.pf
31.08.2007 12:58 33.948 WINZIP32.EXE-2F3C90C9.pf
31.08.2007 12:57 18.628 VERCLSID.EXE-28F52AD2.pf
31.08.2007 12:57 40.760 NOTEPAD.EXE-2F2D61E1.pf
31.08.2007 12:56 17.128 FSBL.EXE-06304E8A.pf
31.08.2007 12:55 49.198 WUAUCLT.EXE-1360D60A.pf
31.08.2007 12:54 119.896 FIREFOX.EXE-28BE8AE1.pf
31.08.2007 12:48 70.464 WMPLAYER.EXE-017735B2.pf
31.08.2007 12:44 68.582 UPDATE.EXE-14A99CB9.pf
31.08.2007 12:44 79.920 IPODSERVICE.EXE-07892C80.pf
31.08.2007 12:44 13.444 RUNDLL32.EXE-6E8D4657.pf
31.08.2007 12:44 83.814 MONITOR.EXE-2EB49234.pf
31.08.2007 12:44 3.752 MBRWRWIN.EXE-11391004.pf
30.08.2007 22:47 28.606 WMIPRVSE.EXE-0D449B4F.pf
30.08.2007 22:47 42.448 LOGONUI.EXE-312BE1BF.pf
30.08.2007 22:24 20.866 WINB0.TMP.EXE-369EAFF1.pf
30.08.2007 22:02 21.766 WINAD.TMP.EXE-1DC188CB.pf
30.08.2007 21:33 56.062 DIVXSM.EXE-052AE590.pf
30.08.2007 21:33 10.254 DIVXCODECUPDATECHECKER.EXE-046062D4.pf
30.08.2007 21:33 123.288 WMPLAYER.EXE-017735B3.pf
30.08.2007 21:24 107.902 SSMYPICS.SCR-2B33A3BB.pf
30.08.2007 21:04 73.768 DFRGNTFS.EXE-38C3807C.pf
30.08.2007 21:04 15.648 DEFRAG.EXE-2858C7E2.pf
30.08.2007 21:04 666.612 Layout.ini
30.08.2007 20:26 57.908 IV_NT86.EXE-2BB8B18A.pf
28.08.2007 21:46 17.426 REGSVR32.EXE-396DEA2C.pf
28.08.2007 21:12 90.786 MSIMN.EXE-2E3AC8DB.pf
28.08.2007 21:06 112.954 SPYBOTSD.EXE-11965456.pf
28.08.2007 20:50 12.872 REGEDIT.EXE-2AE3423E.pf
28.08.2007 20:14 77.828 WIN19.TMP.EXE-0475D5CA.pf
28.08.2007 19:19 84.780 IMAPI.EXE-201490BB.pf
27.08.2007 19:24 89.118 ITUNES.EXE-39AF51BF.pf
27.08.2007 19:13 54.252 ALG.EXE-275708CF.pf
26.08.2007 07:52 54.750 WINRAR.EXE-1A0EFB18.pf
26.08.2007 07:24 161.788 SVCHOST.EXE-2D5FBD18.pf
25.08.2007 19:31 41.516 INOUPDATE.EXE-1192C4B7.pf
17.08.2007 12:50 118.918 WINWORD.EXE-218A1AF8.pf
07.10.2006 10:43 933.662 NTOSBOOT-B00DFAAD.pf
40 Datei(en) 3.737.332 Bytes
0 Verzeichnis(se), 25.788.899.328 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS

31.08.2007 12:56 1.651.919 WindowsUpdate.log
31.08.2007 12:44 10.077 KB933360.log
31.08.2007 12:43 54.156 QTFont.qfn
31.08.2007 12:43 4.468 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
31.08.2007 12:42 0 0.log
31.08.2007 12:42 2.048 bootstat.dat
30.08.2007 22:48 32.618 SchedLgU.Txt
28.08.2007 19:36 399 wmsetup.log
27.08.2007 19:58 759 setupapi.log
16.07.2007 12:54 54 CmdFile.INI
06.07.2007 14:03 663 win.ini


----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\tasks

31.08.2007 12:42 6 SA.DAT
30.08.2007 20:33 276 AppleSoftwareUpdate.job
13.08.2007 11:39 108 Low Battery Alarm Program.job
04.08.2004 05:00 65 desktop.ini
4 Datei(en) 455 Bytes
0 Verzeichnis(se), 25.788.895.232 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\temp

31.08.2007 12:56 1.229 win105.tmp
31.08.2007 12:54 0 win104.tmp
31.08.2007 12:54 0 win103.tmp
31.08.2007 12:54 0 win102.tmp
31.08.2007 12:54 0 win101.tmp
31.08.2007 12:52 0 winFC.tmp
31.08.2007 12:52 0 winFD.tmp
31.08.2007 12:52 0 winFE.tmp
31.08.2007 12:52 0 winFF.tmp
31.08.2007 12:50 0 winF9.tmp
31.08.2007 12:50 0 winFA.tmp
31.08.2007 12:50 0 winF8.tmp
31.08.2007 12:50 0 winFB.tmp
31.08.2007 12:48 0 winD8.tmp
31.08.2007 12:48 0 winCF.tmp
31.08.2007 12:48 0 winC2.tmp
31.08.2007 12:48 0 winBD.tmp
31.08.2007 12:46 0 winB9.tmp
31.08.2007 12:46 0 winB8.tmp
31.08.2007 12:46 0 winB5.tmp
31.08.2007 12:46 0 winB3.tmp
31.08.2007 12:44 0 winB0.tmp
31.08.2007 12:44 0 winAD.tmp
31.08.2007 12:44 0 winAF.tmp
31.08.2007 12:44 0 winAE.tmp
31.08.2007 12:43 409 WGANotify.settings
31.08.2007 12:42 255 WGAErrLog.txt
31.08.2007 12:42 0 winAA.tmp
31.08.2007 12:42 0 winA8.tmp
31.08.2007 12:42 0 winA7.tmp
31.08.2007 12:42 0 win9D.tmp
30.08.2007 22:47 0 winF6.tmp
30.08.2007 22:47 0 winF4.tmp
30.08.2007 22:47 0 winF7.tmp
30.08.2007 22:47 0 winF5.tmp
30.08.2007 22:47 0 winF3.tmp
30.08.2007 22:45 0 winF1.tmp
30.08.2007 22:45 0 winEE.tmp
30.08.2007 22:45 0 winEF.tmp
30.08.2007 22:45 0 winF0.tmp
30.08.2007 22:45 0 winF2.tmp
30.08.2007 22:43 0 winED.tmp
30.08.2007 22:43 0 winEA.tmp
30.08.2007 22:43 0 winEC.tmp
30.08.2007 22:43 0 winEB.tmp
30.08.2007 22:43 0 winE9.tmp
30.08.2007 22:41 0 winE7.tmp
30.08.2007 22:41 0 winE8.tmp
30.08.2007 22:41 0 winE6.tmp
30.08.2007 22:41 0 winE5.tmp
30.08.2007 22:39 0 winE3.tmp
30.08.2007 22:39 0 winE2.tmp
30.08.2007 22:39 0 winE1.tmp
30.08.2007 22:39 0 winE4.tmp
30.08.2007 22:37 0 winDF.tmp
30.08.2007 22:37 0 winE0.tmp
30.08.2007 22:37 0 winDE.tmp
30.08.2007 22:37 0 winDD.tmp
30.08.2007 22:35 0 winDA.tmp
30.08.2007 22:35 0 winDC.tmp
30.08.2007 22:35 0 winD9.tmp
30.08.2007 22:35 0 winDB.tmp
30.08.2007 22:33 0 winD6.tmp
30.08.2007 22:33 0 winD7.tmp
30.08.2007 22:33 0 winD5.tmp
30.08.2007 22:33 0 winD4.tmp
30.08.2007 22:31 0 winD2.tmp
30.08.2007 22:31 0 winD3.tmp
30.08.2007 22:31 0 winD1.tmp
30.08.2007 22:31 0 winD0.tmp
30.08.2007 22:29 0 winCC.tmp
30.08.2007 22:29 0 winCB.tmp
30.08.2007 22:29 0 winCD.tmp
30.08.2007 22:29 0 winCE.tmp
30.08.2007 22:27 0 winC9.tmp
30.08.2007 22:27 0 winC8.tmp
30.08.2007 22:27 0 winCA.tmp
30.08.2007 22:27 0 winC7.tmp
30.08.2007 22:25 0 winC5.tmp
30.08.2007 22:25 0 winC4.tmp
30.08.2007 22:25 0 winC3.tmp
30.08.2007 22:25 0 winC6.tmp
30.08.2007 22:23 0 winC1.tmp
30.08.2007 22:23 0 winC0.tmp
30.08.2007 22:23 0 winBF.tmp
30.08.2007 22:23 0 winBE.tmp
30.08.2007 21:59 0 winBC.tmp
30.08.2007 21:57 0 winBB.tmp
30.08.2007 21:55 0 winBA.tmp
30.08.2007 21:11 0 winB7.tmp
30.08.2007 21:09 0 winB6.tmp
30.08.2007 21:07 0 winB4.tmp
30.08.2007 20:45 14.618 winB0.tmp.exe
30.08.2007 20:23 14.618 winAD.tmp.exe
30.08.2007 20:23 0 winAC.tmp
30.08.2007 20:23 0 winAB.tmp
30.08.2007 20:23 1.229 winA9.tmp
30.08.2007 20:21 0 winA5.tmp
30.08.2007 20:21 0 winA6.tmp
30.08.2007 20:21 0 winA0.tmp
30.08.2007 20:21 0 win9F.tmp
30.08.2007 20:21 0 win9E.tmp
30.08.2007 20:19 0 win9B.tmp
30.08.2007 20:19 0 win9C.tmp
30.08.2007 20:19 0 win99.tmp
30.08.2007 20:19 0 win9A.tmp
30.08.2007 20:19 0 win3F.tmp
28.08.2007 22:10 0 winA4.tmp
28.08.2007 22:08 0 winA3.tmp
28.08.2007 22:06 0 winA2.tmp
28.08.2007 22:04 0 winA1.tmp
28.08.2007 21:42 15.108 win9E.tmp.exe
28.08.2007 21:24 0 win98.tmp
28.08.2007 21:24 0 win97.tmp
28.08.2007 21:24 0 win96.tmp
28.08.2007 21:24 0 win95.tmp
28.08.2007 21:24 0 win94.tmp
28.08.2007 21:24 0 win93.tmp
28.08.2007 21:24 0 win90.tmp
28.08.2007 21:24 0 win76.tmp
28.08.2007 21:24 0 win75.tmp
28.08.2007 21:24 0 win74.tmp
28.08.2007 21:24 0 win6F.tmp
28.08.2007 21:24 0 win6E.tmp
28.08.2007 21:24 0 win6D.tmp
28.08.2007 21:24 0 win57.tmp
28.08.2007 21:24 1.230 win48.tmp
28.08.2007 21:22 15.108 win3F.tmp.exe
28.08.2007 21:00 0 win31.tmp
28.08.2007 20:12 0 win92.tmp
28.08.2007 19:48 0 win91.tmp
28.08.2007 19:28 15.108 win90.tmp.exe
28.08.2007 19:23 1.230 win8F.tmp
28.08.2007 19:21 0 win8D.tmp
28.08.2007 19:21 0 win8E.tmp
28.08.2007 19:21 0 win8C.tmp
28.08.2007 19:21 0 win8B.tmp
28.08.2007 19:19 0 win8A.tmp
28.08.2007 19:19 0 win89.tmp
28.08.2007 19:19 0 win88.tmp
28.08.2007 19:19 0 win87.tmp
28.08.2007 19:17 0 win86.tmp
28.08.2007 19:17 0 win84.tmp
28.08.2007 19:17 0 win83.tmp
28.08.2007 19:17 0 win85.tmp
28.08.2007 19:15 0 win82.tmp
28.08.2007 19:15 0 win81.tmp
28.08.2007 19:15 0 win80.tmp
28.08.2007 19:15 0 win7F.tmp
28.08.2007 19:13 0 win7E.tmp
28.08.2007 19:13 0 win7C.tmp
28.08.2007 19:13 0 win7D.tmp
28.08.2007 19:13 0 win7B.tmp
28.08.2007 19:11 0 win77.tmp
28.08.2007 19:11 0 win78.tmp
28.08.2007 19:11 0 win7A.tmp
28.08.2007 19:11 0 win79.tmp
28.08.2007 19:09 0 win73.tmp
28.08.2007 19:09 0 win70.tmp
28.08.2007 19:09 0 win71.tmp
28.08.2007 19:09 0 win72.tmp
28.08.2007 19:07 0 win6B.tmp
28.08.2007 19:07 0 win6C.tmp
28.08.2007 19:07 0 win6A.tmp
28.08.2007 19:07 0 win69.tmp
28.08.2007 19:05 0 win68.tmp
28.08.2007 19:05 0 win66.tmp
28.08.2007 19:05 0 win67.tmp
28.08.2007 19:05 0 win65.tmp
28.08.2007 19:05 0 win64.tmp
28.08.2007 19:03 0 win62.tmp
28.08.2007 19:03 0 win60.tmp
28.08.2007 19:03 0 win61.tmp
28.08.2007 19:03 0 win63.tmp
28.08.2007 19:01 0 win5F.tmp
28.08.2007 19:01 0 win5E.tmp
28.08.2007 19:01 0 win5C.tmp
28.08.2007 19:01 0 win5D.tmp
28.08.2007 18:59 0 win58.tmp
28.08.2007 18:59 0 win59.tmp
28.08.2007 18:59 0 win5B.tmp
28.08.2007 18:59 0 win5A.tmp
28.08.2007 18:57 0 win56.tmp
28.08.2007 18:57 0 win53.tmp
28.08.2007 18:57 0 win52.tmp
28.08.2007 18:57 0 win51.tmp
28.08.2007 18:55 0 win4F.tmp
28.08.2007 18:55 0 win4E.tmp
28.08.2007 18:55 0 win4D.tmp
28.08.2007 18:55 0 win50.tmp
28.08.2007 18:53 0 win4C.tmp
28.08.2007 18:53 0 win4B.tmp
28.08.2007 18:53 0 win49.tmp
28.08.2007 18:53 0 win4A.tmp
28.08.2007 18:51 0 win46.tmp
28.08.2007 18:51 0 win45.tmp
28.08.2007 18:51 0 win47.tmp
28.08.2007 18:51 0 win44.tmp
28.08.2007 18:49 0 win43.tmp
28.08.2007 18:49 0 win41.tmp
28.08.2007 18:49 0 win42.tmp
28.08.2007 18:49 0 win40.tmp
28.08.2007 18:47 0 win3D.tmp
28.08.2007 18:47 0 win3C.tmp
28.08.2007 18:47 0 win3E.tmp
28.08.2007 18:47 0 win3B.tmp
28.08.2007 18:45 0 win3A.tmp
28.08.2007 18:45 0 win39.tmp
28.08.2007 18:45 0 win38.tmp
28.08.2007 18:45 0 win37.tmp
28.08.2007 18:43 0 win33.tmp
28.08.2007 18:43 0 win35.tmp
28.08.2007 18:43 0 win34.tmp
28.08.2007 18:43 0 win32.tmp
28.08.2007 18:43 0 win36.tmp
28.08.2007 18:41 0 win30.tmp
28.08.2007 18:41 0 win2F.tmp
28.08.2007 18:41 0 win2D.tmp
28.08.2007 18:41 0 win2E.tmp
28.08.2007 18:41 0 win2C.tmp
27.08.2007 20:45 0 win25.tmp
27.08.2007 20:42 38.440 $_2341234.TMP
27.08.2007 20:22 0 win55.tmp
27.08.2007 20:20 0 win54.tmp
27.08.2007 19:56 0 win24.tmp
27.08.2007 19:16 19.207 $_2341233.TMP
27.08.2007 19:15 15.108 win2C.tmp.exe
27.08.2007 19:15 1.230 win2B.tmp
27.08.2007 19:13 0 win2A.tmp
27.08.2007 19:13 0 win28.tmp
27.08.2007 19:13 0 win29.tmp
27.08.2007 19:13 0 win26.tmp
27.08.2007 19:13 0 win27.tmp
27.08.2007 19:13 0 $b17a2e8.tmp
27.08.2007 19:11 0 win23.tmp
27.08.2007 19:11 0 win1D.tmp
27.08.2007 19:11 0 win19.tmp
27.08.2007 19:11 0 winC.tmp
27.08.2007 19:11 0 win6.tmp
26.08.2007 21:39 0 win22.tmp
26.08.2007 21:37 0 win21.tmp
26.08.2007 21:35 0 win20.tmp
26.08.2007 21:33 0 win1F.tmp
26.08.2007 21:09 0 win1E.tmp
26.08.2007 21:07 0 win1C.tmp
26.08.2007 21:05 0 win1B.tmp
26.08.2007 21:03 0 win1A.tmp
26.08.2007 20:41 15.108 win19.tmp.exe
26.08.2007 20:41 0 win18.tmp
26.08.2007 20:41 1.230 win17.tmp
26.08.2007 20:39 0 win15.tmp
26.08.2007 20:39 0 win16.tmp
26.08.2007 20:39 0 win14.tmp
26.08.2007 20:39 0 win13.tmp
26.08.2007 20:39 0 win12.tmp
26.08.2007 20:37 0 win11.tmp
26.08.2007 20:37 0 win10.tmp
26.08.2007 20:37 0 winF.tmp
26.08.2007 20:37 0 winE.tmp
26.08.2007 20:37 0 winD.tmp
26.08.2007 20:35 0 win7.tmp
26.08.2007 20:35 0 winB.tmp
26.08.2007 20:35 0 winA.tmp
26.08.2007 20:35 0 win9.tmp
26.08.2007 20:35 0 win8.tmp
26.08.2007 20:34 0 T30DebugLogFile.txt
26.08.2007 20:33 0 win5.tmp
26.08.2007 20:33 0 win3.tmp
26.08.2007 20:33 0 win4.tmp
26.08.2007 20:33 0 win2.tmp
26.08.2007 20:33 0 win1.tmp
14.08.2007 11:25 432 fpRedmon.log
272 Datei(en) 170.897 Bytes
0 Verzeichnis(se), 25.788.878.848 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\DOKUME~1\Dieter\LOKALE~1\Temp

31.08.2007 12:59 134.615 filelist.txt
31.08.2007 12:43 16.384 ~DF8239.tmp
30.08.2007 20:44 904 headbang.gif
30.08.2007 20:43 364 schmoll.gif
28.08.2007 20:54 797.676 IMTBB.xml
28.08.2007 20:54 426 IMTBA.xml
28.08.2007 20:54 2.036 IMTB9.xml
28.08.2007 20:54 797.676 IMTB7.xml
28.08.2007 20:54 426 IMTB6.xml
28.08.2007 20:54 2.036 IMTB5.xml
28.08.2007 20:54 797.676 IMTB4.xml
28.08.2007 20:54 426 IMTB3.xml
28.08.2007 20:54 2.036 IMTB2.xml
28.08.2007 20:54 797.676 IMTB1.xml
28.08.2007 20:54 426 IMTB0.xml
28.08.2007 20:54 2.036 IMTAF.xml
28.08.2007 20:54 797.676 IMTAE.xml
28.08.2007 20:54 426 IMTAD.xml
28.08.2007 20:54 2.036 IMTAC.xml
28.08.2007 20:54 797.676 IMTAB.xml
28.08.2007 20:53 426 IMTAA.xml
28.08.2007 20:53 2.036 IMTA9.xml
28.08.2007 20:53 797.676 IMTA8.xml
28.08.2007 20:53 426 IMTA7.xml
28.08.2007 20:53 2.036 IMTA6.xml
28.08.2007 20:53 797.676 IMTA5.xml
28.08.2007 20:53 426 IMTA4.xml
28.08.2007 20:53 2.036 IMTA3.xml
28.08.2007 20:53 797.676 IMT9E.xml
28.08.2007 20:53 426 IMT9D.xml
28.08.2007 20:53 2.036 IMT9C.xml
26.08.2007 07:30 178 gos2.bat
26.08.2007 07:30 0 win13.tmp
26.08.2007 07:30 0 win12.tmp
26.08.2007 07:30 0 win11.tmp
26.08.2007 07:30 0 win10.tmp
26.08.2007 07:30 0 winF.tmp
26.08.2007 07:30 0 winE.tmp
26.08.2007 07:30 0 winD.tmp
26.08.2007 07:30 0 winC.tmp
26.08.2007 07:30 0 winB.tmp
26.08.2007 07:30 0 winA.tmp
26.08.2007 07:30 0 win9.tmp
26.08.2007 07:30 0 win8.tmp
26.08.2007 07:30 0 win7.tmp
26.08.2007 07:30 0 win6.tmp
26.08.2007 07:30 0 win5.tmp
26.08.2007 07:30 1.230 win3.tmp
26.08.2007 07:30 21.504 gos2.tmp
26.08.2007 07:30 43 removalfile.bat
19.08.2007 11:49 236.270 orariovoli_it.pdf
19.08.2007 11:46 88.794 Vorschau%20Charter%20Winter%202007-08_D.561712.pdf
19.08.2007 11:41 10.979 Vorschau%20Linie%20Winter%202007-08_D.561039.pdf
17.08.2007 10:20 797.676 IMT8.xml
17.08.2007 10:20 426 IMT7.xml
17.08.2007 10:20 2.036 IMT6.xml
16.08.2007 15:33 596 hpzcoi01.log
16.08.2007 15:33 596 hpzcoi00.log
14.08.2007 12:55 68 wecerr.txt
08.08.2007 23:08 208 java_install_reg.log
08.08.2007 13:02 305 GEARInstall.log
08.08.2007 13:01 1.508 QTInstallCode.log
22.07.2007 08:40 53.834 nsu3F.exe
22.07.2007 08:16 20.901 jusched.log
20.07.2007 20:01 899 logfile.txt
20.07.2007 19:54 2.729 CdMkr70.ini
66 Datei(en) 8.594.289 Bytes
0 Verzeichnis(se), 25.788.878.848 Bytes frei

Blacklight:


08/31/07 13:05:57 [Info]: BlackLight Engine 1.0.64 initialized
08/31/07 13:05:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/31/07 13:05:57 [Note]: 7019 4
08/31/07 13:05:57 [Note]: 7005 0
08/31/07 13:05:59 [Note]: 7006 0
08/31/07 13:05:59 [Note]: 7011 788
08/31/07 13:06:00 [Note]: 7026 0
08/31/07 13:06:00 [Note]: 7026 0
08/31/07 13:06:01 [Note]: FSRAW library version 1.7.1022
08/31/07 13:09:57 [Note]: 2000 1012
08/31/07 13:09:57 [Note]: 2000 1012
08/31/07 13:09:57 [Note]: 2000 1012
08/31/07 13:09:57 [Note]: 2000 1012
08/31/07 13:09:57 [Note]: 2000 1012
08/31/07 13:38:10 [Note]: 7007 0

Alt 31.08.2007, 13:05   #7
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



e-scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\winrkp32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winrkp32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winrkp32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dieter\LOKALE~1\Temp\gos2.tmp//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28715
Gefundene Viren: 7
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 6
Dauer des Scans bisher: 00:01:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 14:02:19,95
Batchende: 14:02:22,26


ich hoffe, das stimmt so. musste 2 postings machen, da sonst zu lang.

liebe grüße

Alt 31.08.2007, 15:08   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Ich befürchte du hast MWAV nicht alles überprüfen lassen:
Zitat:
Anzahl Fehler: 6
Dauer des Scans bisher: 00:01:27
Der lief keine 90 Sekunden durch!
Das ist jetzt aber ertsmal kein großes Problem, acker folgendes insbesondere das mit dem Avenger ab, danach MWAV nochmal RICHTIG alles checken lassen.

Die angeblich schädliche unrar.dll ist ein Fehlalarm.
Wegen dieser Datei:

File C:\WINDOWS\system32\cmdow.exe

Hattest du mal zufällig das Programm ISO-Builder installiert?

Aber diese Datei hier

C:\WINDOWS\system32\winrkp32.dll

Solltest du mal löschen. Geh am besten gleich so vor:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\system32\winrkp32.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 31.08.2007, 15:44   #9
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



mit e-scan hatte ich das problem, dass ich ihn nicht updaten konnte. mir kam immer die meldung, dass der download nicht abgeschlossen werden konnte. vielleicht liegt es daran?

ich werd das dann morgen durchackern und nochmals das update versuchen und durchchecken.

derweil liebe grüße.

Alt 01.09.2007, 22:27   #10
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Hallo,

hier die Auswertungen:

Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bipykkqr

*******************

Script file located at: \??\C:\mnujlyrb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\winrkp32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und e-scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\Dieter\LOKALE~1\Temp\gos2.tmp//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup.zip/avenger/winrkp32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Dieter\Lokale Einstellungen\Temp\gos2.tmp//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Dieter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\13FQ0S9A\srvgis[1].exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Dieter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OR64W5AH\srvbtx[1].exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J8M936HB\fi_nt86[2].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B5D457D4-C6A3-462F-9034-2FC950B89028}\RP62\A0010587.exe//data.rar/keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.eqn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B5D457D4-C6A3-462F-9034-2FC950B89028}\RP69\A0013809.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Temp\win19.tmp.exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Temp\win2C.tmp.exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Temp\win3F.tmp.exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Temp\win90.tmp.exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Temp\win9E.tmp.exe infiziert von "Trojan.Win32.Agent.arp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = winrkp32.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrkp32). Deleting Registry Key winrkp32...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J8M936HB\iv_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 105182
Gefundene Viren: 20
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 59
Dauer des Scans bisher: 01:05:30
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:19:02,23
Batchende: 23:19:14,39



Was ist eigentlich mit diesen da?

unrar.dll
und
File C:\WINDOWS\system32\cmdow.exe

Ich hatte nie ISO-Builder installiert (so viel ich weiß)

Grüße

Alt 03.09.2007, 13:32   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Zitat:
unrar.dll
und
File C:\WINDOWS\system32\cmdow.exe
unrar.dll scheine eine Programmbibliothek zu sein, um RAR-Dateien entpacken zu können. Du kannst sie aber sicherheitshalber mal bei Virustotal auswerten lassen, ebenso die cmdow.exe - poste die Ergebnisse.
Wie die cmdow.exe in dein System reingekommen ist, kann ich aber nicht nachvollziehen, ich kann mich nur erinnern, dass wir hier schon mal einen Fall mit diese Datei hatten. Und sie kam mit dem ISO-Builder daher. Vergl. diesen Artikel aus dem Winfuture-Forum.

Was du noch machen musst, vorher ALLE Programme schließen:
1. Systemwiederherstellung deaktivieren
2. Alle temp. Dateien löschen, hilfreich kann dabei der CCleaner sein.
3. Logfile mit Silentrunners erstellen und posten.
4. Neues Logfile mit Filelist erstellen und ebenfalls posten.
dann sehen wir erstmal weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.09.2007, 21:04   #12
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



wie kann ich silentrunner laufen lassen? bei mir kommt die meldung:

Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.

Die Virustotalprüfungen:

Antivirus;Version;letzte aktualisierung;Ergebnis
AVG;7.5.0.485;2007.09.03;Potentially harmful program HideExec.BN
BitDefender;7.2;2007.09.03;Spyware.Hidewindow.A
CAT-QuickHeal;9.00;2007.09.03;RiskTool.HideWindows (Not a Virus)
FileAdvisor;1;2007.09.03;Low threat detected
Fortinet;3.11.0.0;2007.09.03;HackerTool/HideWindows
Ikarus;T3.1.1.12;2007.09.03;not-a-virus:RiskTool.Win32.HideWindows
Kaspersky;4.0.2.24;2007.09.03;not-a-virus:RiskTool.Win32.HideWindows
McAfee;5111;2007.09.03;potentially unwanted program Tool-HideWindow
NOD32v2;2500;2007.09.03;Win32/CMDOW.142
Sunbelt;2.2.907.0;2007.08.31;Trojan.HideWindow
TheHacker;6.1.9.175;2007.09.02;Aplicacion/HideWindows
Webwasher-Gateway;6.0.1;2007.09.03;Riskware.HideWindow.A.29

weitere Informationen
File size: 31232 bytes
MD5: a83d8a509ad167ea506a01fa75a33084
SHA1: 80d299bbf72a55e580d27840b1e3fd5cadfd5c70
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=a83d8a509ad167ea506a01fa75a33084

Die unrar.dll scheint sauber zu sein.

Alt 04.09.2007, 12:24   #13
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



hier das filelist-log:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\

04.09.2007 13:05 1.071.763.456 hiberfil.sys
04.09.2007 13:05 1.610.612.736 pagefile.sys
01.09.2007 23:11 50 23990098.$$$
13.08.2007 11:55 0 PrMgrAPI.log
29.04.2007 08:29 6 ISACER.ID
01.04.2007 18:58 23.068 hpfr3320.log
04.02.2007 23:21 557 Pltfrm2.ini
20.01.2007 11:30 3 TCPCheckResult.txt
25.09.2006 19:13 268 sqmdata05.sqm
25.09.2006 19:13 244 sqmnoopt05.sqm
25.09.2006 12:56 244 sqmnoopt04.sqm
25.09.2006 12:56 268 sqmdata04.sqm
20.09.2006 22:29 244 sqmnoopt03.sqm
20.09.2006 22:29 244 sqmdata03.sqm
20.09.2006 22:21 244 sqmnoopt02.sqm
20.09.2006 22:21 256 sqmdata02.sqm
20.09.2006 19:57 244 sqmnoopt01.sqm
20.09.2006 19:57 244 sqmdata01.sqm
20.09.2006 19:57 256 sqmdata00.sqm
20.09.2006 19:57 244 sqmnoopt00.sqm
01.08.2006 19:54 73.929 SDSSetup.log
01.05.2006 19:58 1.119 INSTALL.LOG
28.01.2006 12:40 2.785 LGSInst.Log
02.11.2005 19:01 211 boot.ini
31.03.2005 17:23 75 PRELOAD.AAA
31.03.2005 17:11 774 IPH.PH
31.03.2005 02:18 50 AUTOEXEC.BAT
31.03.2005 01:49 0 MSDOS.SYS
31.03.2005 01:49 0 CONFIG.SYS
31.03.2005 01:49 0 IO.SYS
04.08.2004 05:00 4.952 bootfont.bin
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 47.564 NTDETECT.COM
10.01.2001 12:23 162.304 UNWISE.EXE
34 Datei(en) 2.682.947.823 Bytes
0 Verzeichnis(se), 27.980.500.992 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\system32

04.09.2007 13:08 733 eRLog.ini
04.09.2007 13:07 1.158 wpa.dbl
01.09.2007 09:26 316.804 perfh009.dat
01.09.2007 09:26 322.800 perfh007.dat
01.09.2007 09:26 51.062 perfc007.dat
01.09.2007 09:26 42.462 perfc009.dat
01.09.2007 09:26 739.632 PerfStringBackup.INI
01.09.2007 09:19 249.768 TZLog.log
03.08.2007 06:34 16.789.464 MRT.exe

2277 Datei(en) 479.976.082 Bytes
0 Verzeichnis(se), 27.980.374.016 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\Prefetch

04.09.2007 13:14 11.220 FIND.EXE-0EEAD1A7.pf
04.09.2007 13:14 13.426 CMD.EXE-034B0549.pf
04.09.2007 13:14 111.692 FIREFOX.EXE-28BE8AE1.pf
04.09.2007 13:13 79.726 WMIPRVSE.EXE-0D449B4F.pf
04.09.2007 13:13 33.084 WSCRIPT.EXE-0C5C5251.pf
04.09.2007 13:12 20.760 REGEDIT.EXE-2AE3423E.pf
04.09.2007 13:12 27.794 RUNDLL32.EXE-3ED1EEB3.pf
04.09.2007 13:12 46.314 CCLEANER.EXE-17ADB38C.pf
04.09.2007 13:08 57.946 IPODSERVICE.EXE-07892C80.pf
04.09.2007 13:08 6.378 MBRWRWIN.EXE-11391004.pf
04.09.2007 13:08 115.344 MONITOR.EXE-2EB49234.pf
04.09.2007 13:08 51.330 IV_NT86.EXE-2BB8B18A.pf
04.09.2007 13:08 115.196 WUAUCLT.EXE-1360D60A.pf
04.09.2007 13:08 110.202 MSIMN.EXE-2E3AC8DB.pf
04.09.2007 13:07 41.468 INOUPDATE.EXE-1192C4B7.pf
03.09.2007 22:00 18.042 NOTEPAD.EXE-2F2D61E1.pf
03.09.2007 21:34 96.306 SSMYPICS.SCR-2B33A3BB.pf
03.09.2007 21:18 13.684 CSCRIPT.EXE-0A13A05C.pf
03.09.2007 21:18 28.394 VERCLSID.EXE-28F52AD2.pf
03.09.2007 21:05 189.586 INODIST.EXE-0FD1232B.pf
03.09.2007 20:28 35.400 WINZIP32.EXE-2F3C90C9.pf
03.09.2007 20:25 31.190 RUNDLL32.EXE-3DE4948B.pf
03.09.2007 13:59 119.028 LOGONUI.EXE-312BE1BF.pf
02.09.2007 21:37 31.196 RUNDLL32.EXE-4604B361.pf
02.09.2007 21:37 76.584 IMAPI.EXE-201490BB.pf
02.09.2007 21:36 26.846 RUNDLL32.EXE-4C96ABC4.pf
02.09.2007 21:36 16.620 RUNDLL32.EXE-6E8D4657.pf
02.09.2007 21:36 54.326 RUNDLL32.EXE-57068AE1.pf
02.09.2007 21:27 94.838 ITUNES.EXE-39AF51BF.pf
02.09.2007 09:05 111.358 SPYBOTSD.EXE-11965456.pf
02.09.2007 08:05 60.786 NHL07.EXE-11CAF920.pf
02.09.2007 08:05 17.358 REGSVR32.EXE-396DEA2C.pf
02.09.2007 00:34 80.298 IEXPLORE.EXE-360BBB5C.pf
02.09.2007 00:09 38.186 ALG.EXE-275708CF.pf
01.09.2007 22:00 49.378 SCANNINGPROCESS.EXE-0AF18CC2.pf
01.09.2007 22:00 21.368 DOWNLOAD.EXE-043D123E.pf
01.09.2007 22:00 17.956 MWAVL.EXE-37DE7E3C.pf
01.09.2007 22:00 53.636 MEXE.COM-1B387D0B.pf
01.09.2007 22:00 96.230 MWAV.EXE-3412D5DE.pf
01.09.2007 22:00 60.880 ACRORD32INFO.EXE-129F15EB.pf
01.09.2007 21:54 16.864 AVENGER.EXE-1206EDA6.pf
01.09.2007 21:53 42.032 INOUPDATE.EXE-2A75E69E.pf
01.09.2007 21:53 23.764 WINAD.TMP.EXE-1DC188CB.pf
01.09.2007 09:58 22.280 VIEWTCP.EXE-175BC580.pf
01.09.2007 09:54 66.728 WMPLAYER.EXE-017735B2.pf
01.09.2007 09:52 21.468 RUNDLL32.EXE-5A86C785.pf
01.09.2007 09:26 22.416 WMIADAP.EXE-32F99497.pf
01.09.2007 09:19 47.506 UPDATE.EXE-33C870DA.pf
01.09.2007 09:19 5.114 TZCHANGE.EXE-0A83DDF5.pf
01.09.2007 09:18 49.756 UPDATE.EXE-235E9B16.pf
01.09.2007 08:44 68.686 UPDATE.EXE-14A99CB9.pf
31.08.2007 13:38 23.878 ADOBEUPDATER.EXE-285901AC.pf
31.08.2007 13:38 60.018 ACRORD32.EXE-0408CA01.pf
31.08.2007 13:20 472.040 Layout.ini
31.08.2007 13:06 20.710 FSBL.EXE-06304E8A.pf
31.08.2007 13:02 22.390 WINB0.TMP.EXE-369EAFF1.pf
30.08.2007 21:33 56.062 DIVXSM.EXE-052AE590.pf
30.08.2007 21:33 10.254 DIVXCODECUPDATECHECKER.EXE-046062D4.pf
30.08.2007 21:33 123.288 WMPLAYER.EXE-017735B3.pf
30.08.2007 21:04 73.768 DFRGNTFS.EXE-38C3807C.pf
30.08.2007 21:04 15.648 DEFRAG.EXE-2858C7E2.pf
28.08.2007 20:14 77.828 WIN19.TMP.EXE-0475D5CA.pf
26.08.2007 07:52 54.750 WINRAR.EXE-1A0EFB18.pf
26.08.2007 07:24 161.788 SVCHOST.EXE-2D5FBD18.pf
17.08.2007 12:50 118.918 WINWORD.EXE-218A1AF8.pf
07.10.2006 10:43 933.662 NTOSBOOT-B00DFAAD.pf
66 Datei(en) 4.892.970 Bytes
0 Verzeichnis(se), 27.980.386.304 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS

04.09.2007 13:12 1.826.816 WindowsUpdate.log
04.09.2007 13:07 54.156 QTFont.qfn
04.09.2007 13:07 4.468 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
04.09.2007 13:06 2.048 bootstat.dat
03.09.2007 22:05 32.618 SchedLgU.Txt
01.09.2007 22:03 26 Lic.xxx
31.08.2007 13:44 685 win.ini

92 Datei(en) 15.869.218 Bytes
0 Verzeichnis(se), 27.980.382.208 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\tasks

04.09.2007 13:06 6 SA.DAT
30.08.2007 20:33 276 AppleSoftwareUpdate.job
13.08.2007 11:39 108 Low Battery Alarm Program.job
04.08.2004 05:00 65 desktop.ini
4 Datei(en) 455 Bytes
0 Verzeichnis(se), 27.980.378.112 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\WINDOWS\temp

04.09.2007 13:07 409 WGANotify.settings
04.09.2007 13:07 0 T30DebugLogFile.txt
04.09.2007 13:06 255 WGAErrLog.txt
31.08.2007 12:56 1.229 win105.tmp
30.08.2007 20:45 14.618 winB0.tmp.exe
30.08.2007 20:23 14.618 winAD.tmp.exe
30.08.2007 20:23 1.229 winA9.tmp
28.08.2007 21:42 15.108 win9E.tmp.exe
28.08.2007 21:24 1.230 win48.tmp
28.08.2007 21:22 15.108 win3F.tmp.exe
28.08.2007 19:28 15.108 win90.tmp.exe
28.08.2007 19:23 1.230 win8F.tmp
27.08.2007 20:42 38.440 $_2341234.TMP
27.08.2007 19:16 19.207 $_2341233.TMP
27.08.2007 19:15 15.108 win2C.tmp.exe
27.08.2007 19:15 1.230 win2B.tmp
26.08.2007 20:41 15.108 win19.tmp.exe
26.08.2007 20:41 1.230 win17.tmp
14.08.2007 11:25 432 fpRedmon.log
19 Datei(en) 170.897 Bytes
0 Verzeichnis(se), 27.980.378.112 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: CC7B-CD02

Verzeichnis von C:\DOKUME~1\Dieter\LOKALE~1\Temp

04.09.2007 13:14 124.374 filelist.txt
04.09.2007 13:07 16.384 ~DF5FDA.tmp
01.09.2007 23:18 10.500.445 MWAV.LOG
01.09.2007 23:18 366.224 sfdb.dat
01.09.2007 23:11 1.873.610 MWAVC.LOG
01.09.2007 23:09 72.723 mwXface.log
01.09.2007 22:04 9.927 Download.log
01.09.2007 22:04 5.551 filelist.lst
01.09.2007 22:04 396 EUpdate.ini
01.09.2007 09:19 596 hpzcoi03.log
01.09.2007 09:19 596 hpzcoi02.log
31.08.2007 14:03 291 heulen.gif
31.08.2007 13:42 626.688 msvcr80.dll
31.08.2007 13:42 548.864 msvcp80.dll
31.08.2007 13:42 241.664 MYDB.DLL
30.08.2007 20:44 904 headbang.gif
30.08.2007 20:43 364 schmoll.gif
28.08.2007 20:54 797.676 IMTBB.xml
28.08.2007 20:54 426 IMTBA.xml
28.08.2007 20:54 2.036 IMTB9.xml
28.08.2007 20:54 797.676 IMTB7.xml
28.08.2007 20:54 426 IMTB6.xml
28.08.2007 20:54 2.036 IMTB5.xml
28.08.2007 20:54 797.676 IMTB4.xml
28.08.2007 20:54 426 IMTB3.xml
28.08.2007 20:54 2.036 IMTB2.xml
28.08.2007 20:54 797.676 IMTB1.xml
28.08.2007 20:54 426 IMTB0.xml
28.08.2007 20:54 2.036 IMTAF.xml
28.08.2007 20:54 797.676 IMTAE.xml
28.08.2007 20:54 426 IMTAD.xml
28.08.2007 20:54 2.036 IMTAC.xml
28.08.2007 20:54 797.676 IMTAB.xml
28.08.2007 20:53 426 IMTAA.xml
28.08.2007 20:53 2.036 IMTA9.xml
28.08.2007 20:53 797.676 IMTA8.xml
28.08.2007 20:53 426 IMTA7.xml
28.08.2007 20:53 2.036 IMTA6.xml
28.08.2007 20:53 797.676 IMTA5.xml
28.08.2007 20:53 426 IMTA4.xml
28.08.2007 20:53 2.036 IMTA3.xml
28.08.2007 20:53 797.676 IMT9E.xml
28.08.2007 20:53 426 IMT9D.xml
28.08.2007 20:53 2.036 IMT9C.xml
27.08.2007 10:44 2.315 daily-ex.avx
27.08.2007 10:44 25.437 avp.klb
27.08.2007 10:44 2.315 daily-ex.avc
27.08.2007 10:44 52.431 daily.avc
27.08.2007 10:44 49.709 dailyc.avc
27.08.2007 10:44 1.858 daily-ec.avc
27.08.2007 10:44 21.255 fa001.avc
27.08.2007 10:28 1.264.985 Cid.sdb
27.08.2007 10:28 246.329 spydb.old
27.08.2007 10:28 160.364 Spyware.sdb
27.08.2007 10:28 246.329 spydb.avs
27.08.2007 10:28 724.470 Dir.sdb
27.08.2007 10:28 2.066.921 File1.sdb
27.08.2007 10:28 1.160.752 File2.sdb
26.08.2007 18:23 90.996 Chinese.Age
26.08.2007 18:23 110.439 Icelandic.Age
26.08.2007 18:23 115.349 Polish.Age
26.08.2007 18:23 112.207 Finnish.Age
26.08.2007 18:23 116.504 French.Age
26.08.2007 18:23 115.397 Spanish.Age
26.08.2007 18:23 116.118 Spanishl.Age
26.08.2007 18:23 111.149 Romanian.Age
26.08.2007 18:22 114.655 Portuguese.Age
26.08.2007 18:22 122.760 Italian.Age
26.08.2007 18:22 125.551 German.Age
26.08.2007 18:22 125.551 language.ini
26.08.2007 18:13 33.590 fa.avc
26.08.2007 18:13 17.365 ext009.avc
26.08.2007 18:13 44.777 unp038.avc
26.08.2007 18:13 69.675 unp002.avc
26.08.2007 18:13 31.653 unp017.avc
26.08.2007 18:13 47.828 unp037.avc
26.08.2007 18:13 69.828 base149.avc
26.08.2007 18:13 49.170 base099.avc
26.08.2007 18:13 22.727 ext004c.avc
26.08.2007 18:13 39.538 krn004.avc
26.08.2007 18:13 127.668 base037c.avc
26.08.2007 17:28 179.019 phupdn.txt
26.08.2007 17:25 424.512 mexe.com
26.08.2007 17:25 424.512 mwavscan.com
26.08.2007 17:15 18.427 global.daz
26.08.2007 17:15 53.003 phupdn.txz
26.08.2007 13:15 11.245 English.con
26.08.2007 07:30 178 gos2.bat
26.08.2007 07:30 1.230 win3.tmp
26.08.2007 07:30 21.504 gos2.tmp
26.08.2007 07:30 43 removalfile.bat
25.08.2007 19:51 164.352 esupdate.exe
25.08.2007 19:49 38.400 unregx.exe
25.08.2007 19:49 43.520 setpriv.exe
25.08.2007 19:36 118.784 avpmhook.dll
25.08.2007 18:39 1.949.696 msvl64.dll
25.08.2007 18:27 143.360 msvlclnt.dll
25.08.2007 18:19 44.096 Getvlist.exe
24.08.2007 11:20 51.868 English.Age
23.08.2007 16:34 48.907 unp027.avc
23.08.2007 16:34 48.747 unp009.avc
23.08.2007 16:34 49.530 base005.avc
23.08.2007 16:34 48.569 base009.avc
23.08.2007 16:34 53.336 unp008.avc
22.08.2007 10:35 66.072 krn001.avc
22.08.2007 10:35 12.785 kernel.avc
21.08.2007 12:23 3.524 avp_ext.set
21.08.2007 12:23 14.231 mail.avc
21.08.2007 12:23 14.231 mail.avx
21.08.2007 12:23 3.524 avp.set
21.08.2007 12:23 49.640 base035c.avc
21.08.2007 12:23 49.821 base036c.avc
19.08.2007 18:31 8.759 Chinese.con
19.08.2007 11:49 236.270 orariovoli_it.pdf
19.08.2007 11:46 88.794 Vorschau%20Charter%20Winter%202007-08_D.561712.pdf
19.08.2007 11:41 10.979 Vorschau%20Linie%20Winter%202007-08_D.561039.pdf
18.08.2007 10:25 21.353 gen005.avc
18.08.2007 10:25 36.871 gen002.avc
18.08.2007 10:25 37.383 unp031.avc
18.08.2007 10:25 65.924 unp023.avc
18.08.2007 10:25 38.822 unp028.avc
18.08.2007 10:25 65.836 unp010.avc
18.08.2007 10:25 49.402 base130.avc
18.08.2007 10:25 75.943 unp007.avc
18.08.2007 10:25 49.872 base128.avc
18.08.2007 10:25 49.583 base114.avc
18.08.2007 10:25 49.648 base029.avc
18.08.2007 10:25 46.823 krnjava.avc
18.08.2007 10:25 29.818 krnengn.avc
17.08.2007 10:20 797.676 IMT8.xml
17.08.2007 10:20 426 IMT7.xml
17.08.2007 10:20 2.036 IMT6.xml
16.08.2007 15:33 596 hpzcoi01.log
16.08.2007 15:33 596 hpzcoi00.log
16.08.2007 12:40 8.114 English.lic
16.08.2007 09:59 78.798 ca.avc
16.08.2007 09:59 30.137 gen999.avc
16.08.2007 09:59 39.828 unp026.avc
16.08.2007 09:59 49.601 unp030.avc
16.08.2007 09:59 47.737 unp034.avc
16.08.2007 09:59 30.291 unp024.avc
16.08.2007 09:59 38.132 unp020.avc
16.08.2007 09:59 36.012 unp025.avc
16.08.2007 09:59 53.972 unp003.avc
16.08.2007 09:59 49.493 base143.avc
16.08.2007 09:59 50.938 base144.avc
16.08.2007 09:59 49.506 base134.avc
16.08.2007 09:59 50.657 base109.avc
16.08.2007 09:59 50.374 base034c.avc
16.08.2007 09:59 49.990 base033c.avc
16.08.2007 09:59 50.014 base032c.avc
14.08.2007 12:55 68 wecerr.txt
13.08.2007 21:55 50.138 base148.avc
13.08.2007 21:55 50.023 base147.avc
13.08.2007 21:55 50.265 ext003c.avc
13.08.2007 18:13 17.910 unp029.avc
10.08.2007 13:33 12.708 Portuguese.con
10.08.2007 13:24 63.884 unp035.avc
09.08.2007 11:40 1.854 Spanishl.tcp
09.08.2007 08:51 5.922 Spanishl.dow
09.08.2007 08:42 12.551 Spanishl.con
09.08.2007 00:09 7.201 Spanishl.lic
08.08.2007 23:08 208 java_install_reg.log
08.08.2007 19:40 23.526 unp000.avc
08.08.2007 19:40 49.483 base032.avc
08.08.2007 13:02 305 GEARInstall.log
08.08.2007 13:01 1.508 QTInstallCode.log
07.08.2007 14:46 499.712 Download.exe
07.08.2007 11:25 29.446 gen001.avc
07.08.2007 11:25 46.136 unp036.avc
04.08.2007 19:42 64.745 unp016.avc
03.08.2007 20:37 50.472 base146.avc
03.08.2007 20:37 49.794 base145.avc
03.08.2007 20:37 48.258 base015.avc
03.08.2007 20:37 50.542 base030c.avc
03.08.2007 20:37 50.397 base031c.avc
02.08.2007 00:18 47.592 base086.avc

590 Datei(en) 55.150.299 Bytes
0 Verzeichnis(se), 27.980.341.248 Bytes frei

Alt 04.09.2007, 12:26   #14
saxo_it
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



hab das mit silent-runner hingekrigt. hier das log-file:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"PCMService" = ""C:\Programme\Arcade\PCMService.exe"" ["CyberLink Corp."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"EPM-DM" = "c:\acer\epm\epm-dm.exe" ["Acer Inc"]
"ePowerManagement" = "C:\Acer\ePM\ePM.exe boot" ["Acer Value Labs, Taiwan"]
"LManager" = "C:\Programme\Launch Manager\QtZgAcer.EXE" ["Dritek System Inc."]
"eRecoveryService" = "C:\Windows\System32\Check.exe" ["acer Inc."]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"]
"Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"
-> {HKLM...CLSID} = "EPM-PO Shell Extensions"
\InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}" = "Context Menu Shell Extension"
-> {HKLM...CLSID} = "Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TagRename\TRshell.dll" ["Softpointer Inc"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
TagRename_ContextMenu\(Default) = "{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}"
-> {HKLM...CLSID} = "Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TagRename\TRshell.dll" ["Softpointer Inc"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
TagRename_ContextMenu\(Default) = "{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}"
-> {HKLM...CLSID} = "Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TagRename\TRshell.dll" ["Softpointer Inc"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoViewOnDrive" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoLogoff" = (REG_DWORD) hex:0x00000000
{Disable Logoff}

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Dieter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmypics.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
"Low Battery Alarm Program" -> WARNING -- The file "Low Battery Alarm Program.job" is corrupt! (no executable)


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
eTrust Antivirus Job Server, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus Realtime Server, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."]
eTrust Antivirus RPC Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."]
EvtEng, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Notebook Manager Service, anbmService, "C:\Acer\eManager\anbmServ.exe" ["OSA Technologies Inc."]
RegSrvc, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]
Spectrum24 Event Monitor, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt05\Driver = "hpzsnt05.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
Redirected Port\Driver = "redmonnt.dll" [null data]


---------- (launch time: 2007-09-04 13:13:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 38 seconds, including 18 seconds for message boxes)

Alt 04.09.2007, 16:29   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Torpig u. Virtumonde - Standard

Torpig u. Virtumonde



Also im Silentrunners-Log ist mir nur der hier aufgefallen:

Zitat:
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
Der deutet auf Spy-/Adware hin - evt. könnte hier smitrem oder smitfraudfix dir behilflich sein.
Manche Scanner haben ja auch bei der Auswertung der gelöschten Datei winrkp32.dll SpywareQuake erkannt.
Beachte aber auch hier, dass es keine Garantie für ein sauberes System gibt!

Hattest du eigentlich alle Tempdateien vom CCleaner löschen lassen? auch alte Prefetchdateien?
Ich frag nach, weil dort noch einige alte Dateien drin zu sehen sind. Wenn der CCleaner nicht hilft, musst du selber Hand anlegen, und zwar per Hand diese Ordner leeren (lass dir vorher alle Dateien anzeigen!!):

C:\Dokumente und Einstellungen\Dieter\Lokale Einstellungen\Temp
C:\Windows\Temp


Als Alternative könntest du das Tool DSS einsetzen:
Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Geändert von cosinus (04.09.2007 um 16:55 Uhr) Grund: Kaputten Link repariert

Antwort

Themen zu Torpig u. Virtumonde
adobe, antivirus, bho, computer, desktop, dll, drivers, einstellungen, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, launch, microsoft, mozilla, mozilla firefox, notebook, outlook express, programme, rundll, server, software, system, virtumonde, windows, windows xp



Ähnliche Themen: Torpig u. Virtumonde


  1. Torpig: Internetzugang gesperrt - wo ist der Trojaner?
    Log-Analyse und Auswertung - 28.07.2015 (15)
  2. Torpig Befall im netzwerk
    Plagegeister aller Art und deren Bekämpfung - 18.07.2014 (5)
  3. 1&1 warnt vor Torpig
    Log-Analyse und Auswertung - 18.12.2013 (13)
  4. Torpig Infektion im Netzwerk aufspüren
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (7)
  5. von 1&1 über Trojaner Torpig informiert
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (10)
  6. Mebroot/Torpig/Sinowal, Warnung der Uni
    Log-Analyse und Auswertung - 06.06.2012 (22)
  7. Verdacht auf Torpig-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.05.2012 (11)
  8. torpig und/oder Mebroot infizierung
    Log-Analyse und Auswertung - 16.10.2011 (5)
  9. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 09.08.2011 (12)
  10. torpig trojaner - was tun ?
    Log-Analyse und Auswertung - 01.03.2010 (1)
  11. Sinowal/Torpig Domain-Flux
    Diskussionsforum - 10.08.2009 (0)
  12. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  13. Smitfraud C, virtumonde, virtumonde generic
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (11)
  14. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  15. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  16. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  17. Smitfraud-C. & Virtumonde & Virtumonde.generic
    Log-Analyse und Auswertung - 01.12.2008 (7)

Zum Thema Torpig u. Virtumonde - Hallo, hab mir was eingefahren, Spybot erkennt Torpig und Virtumonde. Bitte helft mir die zwei Kollegen wieder loszuwerden. Poste mal das HJT-Logfile. Gruß Saxo_it Logfile of HijackThis v1.99.1 Scan saved - Torpig u. Virtumonde...
Archiv
Du betrachtest: Torpig u. Virtumonde auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.