Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte Log auswerten, Virusverdacht.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2007, 17:25   #1
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Hi, in letzter Zeit ging bei mir eines meiner Laufwerke immer von alleine auf, weswegen ich erstmal AV hab durchlaufen lassen. Könntet ihr bitte mal schauen, ob ihr in der Log was finden könnt, was auf das Problem hinweist?
MfG, Chaosfreak

PS: Antivir hat die Datei A0017218.exe als Virus enttarnt, kanns daran gelegen haben? Thx.

Hier nun die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00:47, on 07.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\ICQSession\ICQSession\ICQSession.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe
C:\Programme\WinSweep\WSPopup.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Ahead\nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\***\Eigene Dateien\ws.js
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA5385] command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6983] cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [WinSweep] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iTunesG15] C:\Dokumente und Einstellungen\***\Eigene Dateien\G15\iTunes\iTunesG15.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4093] command /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4831] cmd /c del "C:\WINDOWS\SchedLgU.Txt_tobedeleted"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: X-Micro WLAN 11g USB Adapter.lnk = C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9868 bytes

Alt 07.10.2007, 23:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Böse einträge seh ich nicht, aber warum hast du zwei Virenscanner (AVG und AntiVir) drauf? Entscheide dich für einen!

Zitat:
PS: Antivir hat die Datei A0017218.exe als Virus enttarnt, kanns daran gelegen haben? Thx.
Lag das Ding zufällig im Ordner System Volume Information? Dann wars in der Systemwiederherstellung. Welcher Virus wurde denn erkannt?

Lass auch mal am besten eScan durchlaufen, folge dem Link in meiner Signatur.
__________________

__________________

Alt 08.10.2007, 10:18   #3
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



hi, hab 2 scanner drauf, weil ich dachte: "was der eine nicht sieht, findet der andere" - aber okay, ich lass nur AntiVir drauf...
Ich hab die AntiVir-Log aufgehoben, bin allerdings jetzt nicht in Reichweite meines Rechners, erst wieder am WE, sorry... MFG, Choasfreak
__________________

Alt 12.10.2007, 16:38   #4
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Hi, jetzt kann ich genauer antworten:
Das steht im Av-Log:

E:\Eigene Dateien\Wichtiges\Programme\BSINSTALLDE.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/180Solutions.AO.22
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4751dcfc.qua' verschoben!
E:\System Volume Information\_restore{11FE261A-F8E6-48A1-9223-CBC00BE9139A}\RP130\A0017218.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/180Solutions.AO.22
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4738de66.qua' verschoben!

Sagt Dir das was? Danke schonmal...

Alt 12.10.2007, 16:44   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop, öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.10.2007, 20:56   #6
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Hey! So, escan hab ich gemacht, aber wenn ich dann im normalen Windows-Modus das in die Eingabeaufforderung eingebe, findet er nix...
Hab mir die Protokoll-Datei von escan gespeichert, nützt Dir das auch was?
MfG, Chris
zu filelist:
Verzeichnis von C:\
12.10.2007 20:44 1.610.612.736 pagefile.sys
12.10.2007 20:41 0 23990098.$$$
15.09.2007 13:23 211 boot.ini
15.09.2007 13:18 47.564 NTDETECT.COM
15.09.2007 13:18 251.184 ntldr
----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F4-D5FE

Verzeichnis von C:\WINDOWS\system32

12.10.2007 20:45 2.422 wpa.dbl
12.10.2007 20:45 55.081 vsconfig.xml
12.10.2007 16:40 520.192 Resident Evil Extinction.scr
12.10.2007 16:30 219.648 uxtheme.dll
06.10.2007 15:13 138.848 FNTCACHE.DAT
30.09.2007 20:25 401.200 perfh009.dat
30.09.2007 20:25 62.480 perfc009.dat
30.09.2007 20:25 75.194 perfc007.dat
30.09.2007 20:25 415.800 perfh007.dat
30.09.2007 20:25 927.790 PerfStringBackup.INI
28.09.2007 07:19 18.089.592 MRT.exe
21.09.2007 16:29 16.832 amcompat.tlb
21.09.2007 16:29 23.392 nscompat.tlb
15.09.2007 13:39 90 spupdwxp.log
15.09.2007 08:56 288 $winnt$.inf
15.09.2007 08:53 25.065 wmpscheme.xml
15.09.2007 08:53 488 logonui.exe.manifest
15.09.2007 08:53 488 WindowsLogon.manifest
15.09.2007 08:53 749 cdplayer.exe.manifest
15.09.2007 08:53 749 sapi.cpl.manifest
15.09.2007 08:53 749 wuaucpl.cpl.manifest
15.09.2007 08:53 749 nwc.cpl.manifest
15.09.2007 08:53 749 ncpa.cpl.manifest
15.09.2007 08:52 23.536 emptyregdb.dat
07.09.2007 23:33 53.248 Launchhk.dll
07.09.2007 23:33

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F4-D5FE

Verzeichnis von C:\WINDOWS\Prefetch

12.10.2007 20:56 13.996 CMD.EXE-087B4001.pf
12.10.2007 20:53 123.494 FIREFOX.EXE-1D57670A.pf
12.10.2007 20:53 59.438 NOTEPAD.EXE-336351A9.pf
12.10.2007 20:48 164.576 IEXPLORE.EXE-2CA9778D.pf
12.10.2007 20:46 31.202 WMIAPSRV.EXE-1E2270A5.pf
12.10.2007 20:46 74.590 WUAUCLT.EXE-399A8E72.pf
12.10.2007 20:46 81.574 CLI.EXE-02B0DB56.pf
12.10.2007 20:46 33.112 IPODSERVICE.EXE-233792DA.pf
12.10.2007 20:46 116.310 WMIPRVSE.EXE-28F301A9.pf
12.10.2007 20:46 19.100 ZDWLAN.EXE-13923393.pf
12.10.2007 20:46 24.066 WSPOPUP.EXE-1EF2A067.pf
12.10.2007 20:46 42.430 WGATRAY.EXE-0ED38BED.pf
12.10.2007 20:46 33.572 ICQSESSION.EXE-290053F5.pf
12.10.2007 20:46 21.884 WSMONITOR.EXE-33FC1B8E.pf
12.10.2007 20:46 16.140 LCDPOP3.EXE-36411D99.pf
12.10.2007 20:46 16.444 CTFMON.EXE-0E17969B.pf
12.10.2007 20:46 61.118 LCDMEDIA.EXE-178A8013.pf
12.10.2007 20:46 19.614 ALG.EXE-0F138680.pf
12.10.2007 20:46 36.848 LCDCLOCK.EXE-1155CDC3.pf
12.10.2007 20:46 17.596 VERCLSID.EXE-3667BD89.pf
12.10.2007 20:46 1.254.554 NTOSBOOT-B00DFAAD.pf
12.10.2007 18:59 181.028 WINRAR.EXE-3588DFE8.pf
12.10.2007 18:57 20.302 LOGONUI.EXE-0AF22957.pf
12.10.2007 18:55 118.960 HELPSVC.EXE-2878DDA2.pf
12.10.2007 18:54 71.866 TASKMGR.EXE-20256C55.pf
12.10.2007 18:54 42.876 ITUNESG15.EXE-2F422345.pf
12.10.2007 18:54 15.968 MICQ.EXE-194285E9.pf
12.10.2007 18:54 29.082 LGDCORE.EXE-060280CC.pf
12.10.2007 18:54 24.382 LCDMON.EXE-17AD6AB6.pf
12.10.2007 18:54 18.130 WINSWEEP.EXE-060D6FDE.pf
12.10.2007 18:54 61.414 IMAPI.EXE-0BF740A4.pf
12.10.2007 18:28 66.630 DFRGNTFS.EXE-269967DF.pf
12.10.2007 18:28 18.024 DEFRAG.EXE-273F131E.pf
12.10.2007 18:28 593.076 Layout.ini
12.10.2007 17:27 143.374 VLC.EXE-1D8D6B5A.pf
12.10.2007 17:17 98.608 MULTIDECODER.EXE-29E5DBA7.pf
12.10.2007 17:05 122.822 AVIDEMUX2.EXE-1C30DDEC.pf
12.10.2007 16:48 83.804 ICQ.EXE-3425F561.pf
12.10.2007 16:47 44.252 UPDCLIENT.EXE-215FC96B.pf
12.10.2007 16:39 60.240 FDM.EXE-0654E435.pf
12.10.2007 16:32 13.062 LSSRVC.EXE-164808EA.pf
12.10.2007 16:32 33.944 AVGEMC.EXE-38E59DAC.pf
12.10.2007 16:32 10.526 AVGUPSVC.EXE-0DA751F2.pf
12.10.2007 16:32 24.078 ICQSESSION.EXE-06DFA1C5.pf
12.10.2007 16:29 83.150 STARTUPMANAGER.EXE-2D368FFC.pf
12.10.2007 16:29 36.994 ROCKETDOCK.EXE-0031F03B.pf
12.10.2007 16:29 71.464 SPYBOTSD.EXE-1D495A65.pf
12.10.2007 16:29 13.980 ITUNESHELPER.EXE-08906EB7.pf
12.10.2007 16:29 29.102 SOUNDMAN.EXE-19745A34.pf
12.10.2007 16:18 54.558 AVGNT.EXE-36CA4640.pf
12.10.2007 16:18 50.646 AVGUARD.EXE-3490B18B.pf
12.10.2007 16:18 36.610 UPDATE.EXE-13D57D76.pf
12.10.2007 16:17 46.246 REGSVR32.EXE-25EEFE2F.pf
12.10.2007 16:17 49.404 AVNOTIFY.EXE-22AE9451.pf
12.10.2007 16:14 14.350 NET.EXE-01A53C2F.pf
12.10.2007 16:14 14.750 NET1.EXE-029B9DB4.pf
12.10.2007 16:14 15.628 PREUPD.EXE-358AA1C1.pf
12.10.2007 16:14 62.270 AVCENTER.EXE-37584419.pf
12.10.2007 16:13 9.242 ATIPTAXX.EXE-12B5048A.pf
07.10.2007 18:20 58.732 SS3DFO.SCR-373AD36C.pf
07.10.2007 17:09 92.382 NERO.EXE-32314E31.pf
07.10.2007 17:09 95.762 NEROSTARTSMART.EXE-280EC446.pf
07.10.2007 17:08 30.328 RUNDLL32.EXE-451FC2C0.pf
07.10.2007 17:02 81.976 WINDVD.EXE-01AC55D2.pf
07.10.2007 16:54 59.050 AVSCAN.EXE-05AECC0E.pf
07.10.2007 16:07 51.554 SCREENSAVER_REA4.EXE-0C18E50C.pf
07.10.2007 16:04 88.974 DVD SHRINK 3.2.EXE-374FD762.pf
07.10.2007 16:03 1.384 ACRORD32.EXE-153330F0.pf
07.10.2007 16:03 28.764 RUNDLL32.EXE-46DAB2C2.pf
07.10.2007 15:24 14.764 DUMPREP.EXE-1B46F901.pf
07.10.2007 14:08 27.356 UPDATE.EXE-334BAC79.pf
07.10.2007 14:06 103.908 EXPLORER.EXE-082F38A9.pf
07.10.2007 13:32 120.988 MSIEXEC.EXE-2F8A8CAE.pf
07.10.2007 13:30 51.764 IKERNEL.EXE-2B93D17C.pf
07.10.2007 13:30 15.396 SET1A.TMP-059B24FC.pf
07.10.2007 13:30 62.950 RUNDLL32.EXE-16584CBB.pf
07.10.2007 13:29 58.410 AU_.EXE-19B6E373.pf
07.10.2007 13:29 21.896 UNINSTALL.EXE-05A2E15C.pf
07.10.2007 13:26 22.942 TMMONITOR.EXE-37962074.pf
07.10.2007 13:26 15.372 SET15.TMP-026323A2.pf
07.10.2007 13:26 60.782 RUNDLL32.EXE-1FEDD3D9.pf
07.10.2007 13:23 35.128 UNINSTALLMANAGER.EXE-2714C224.pf
07.10.2007 13:08 12.442 WSCNTFY.EXE-1B24F5EB.pf
07.10.2007 11:55 125.762 ITUNES.EXE-15E88941.pf
07.10.2007 11:51 20.418 DRWTSN32.EXE-2B4B52AC.pf
07.10.2007 11:51 37.626 DWWIN.EXE-30875ADC.pf
07.10.2007 11:51 24.552 DLLHOST.EXE-205D880D.pf
07.10.2007 11:50 57.798 SOFTWAREUPDATE.EXE-1E90DF1F.pf
07.10.2007 11:48 31.582 WORDPAD.EXE-1EFCC5C1.pf
07.10.2007 11:48 25.474 AVAST.SETUP-095C0C48.pf
07.10.2007 11:48 49.288 SETUPGER.EXE-146D0EE1.pf
07.10.2007 11:39 54.124 ACRORD32INFO.EXE-19D979CC.pf
07.10.2007 10:41 20.096 SVCHOST.EXE-3530F672.pf
07.10.2007 10:41 77.162 ICQLITE.EXE-2AEFACA7.pf
07.10.2007 10:41 14.450 AVGAMSVR.EXE-22E996D2.pf
07.10.2007 10:41 12.408 ATKKBSERVICE.EXE-24FE62ED.pf
06.10.2007 22:58 20.006 RUNDLL32.EXE-2DB761F5.pf
06.10.2007 22:58 57.048 RUNDLL32.EXE-45C6FD90.pf
06.10.2007 22:57 57.662 RUNDLL32.EXE-2F99E68C.pf
06.10.2007 22:57 65.274 RUNDLL32.EXE-45FA8CE6.pf
06.10.2007 22:57 51.594 RUNDLL32.EXE-3AEC70EA.pf
06.10.2007 22:56 48.208 RUNDLL32.EXE-36F7F933.pf
06.10.2007 22:55 21.824 RUNDLL32.EXE-39881D96.pf
06.10.2007 22:55 47.910 RUNDLL32.EXE-172C7A2E.pf
06.10.2007 22:55 50.698 RUNDLL32.EXE-3F2A3810.pf
06.10.2007 22:51 98.722 AVIDEMUX2.EXE-31566609.pf
06.10.2007 22:30 42.100 MULTIDECODER.EXE-10A8F56F.pf
06.10.2007 18:25 45.356 RUNDLL32.EXE-2D03E3D6.pf
06.10.2007 18:25 17.858 RUNDLL32.EXE-139790B3.pf
06.10.2007 17:45 45.780 RUNDLL32.EXE-4CFC921F.pf
06.10.2007 17:45 21.244 RUNDLL32.EXE-1BC3FED3.pf
06.10.2007 17:42 54.868 RUNDLL32.EXE-4A54EDF7.pf
06.10.2007 17:42 20.880 RUNDLL32.EXE-41F920D9.pf
06.10.2007 17:42 45.494 RUNDLL32.EXE-255B5267.pf
06.10.2007 16:33 51.918 RUNDLL32.EXE-49A4B85B.pf
06.10.2007 16:33 21.222 RUNDLL32.EXE-18F3BEC0.pf
06.10.2007 16:33 61.952 RUNDLL32.EXE-4B915533.pf
05.10.2007 17:55 30.280 ICQSESSION.EXE-1654B9A1.pf
30.09.2007 20:28 59.442 MSCORSVW.EXE-1BF30400.pf
30.09.2007 20:25 10.732 NGEN.EXE-38021CCC.pf
30.09.2007 20:25 36.188 REGSVCS.EXE-11A17120.pf
30.09.2007 20:25 38.942 ASPNET_REGIIS.EXE-009D6E80.pf
30.09.2007 20:25 23.826 MOFCOMP.EXE-01718E95.pf
30.09.2007 20:24 23.744 NDP20-KB917283-X86.EXE-032EBBF5.pf
30.09.2007 20:24 21.886 LODCTR.EXE-1009C3B4.pf
30.09.2007 20:24 24.332 WMIADAP.EXE-2DF425B2.pf
30.09.2007 20:23 11.124 REGTLIBV12.EXE-0E2FA54B.pf
30.09.2007 20:23 28.772 NDP20-KB922770-X86.EXE-1BC7E308.pf
30.09.2007 20:21 54.264 NDP20-KB928365-X86.EXE-330A2E76.pf
30.09.2007 16:17 16.478 RUNDLL32.EXE-11E4E4F6.pf

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F4-D5FE

Verzeichnis von C:\WINDOWS

12.10.2007 20:52 259 wiadebug.log
12.10.2007 20:45 54.156 QTFont.qfn
12.10.2007 20:45 0 0.log
12.10.2007 20:45 1.931.883 WindowsUpdate.log
12.10.2007 20:45 50 wiaservc.log
12.10.2007 20:44 2.048 bootstat.dat
12.10.2007 19:02 50 Lic.xxx
12.10.2007 19:01 136.728 ntbtlog.txt
12.10.2007 18:59 32.634 SchedLgU.Txt
12.10.2007 18:59 3.030 iis6.log
12.10.2007 18:59 1.393 imsins.log
12.10.2007 18:59 6.174 comsetup.log
12.10.2007 18:59 7.077 tsoc.log
12.10.2007 18:59 13.261 KB933729.log
12.10.2007 18:59 3.741 ntdtcsetup.log
12.10.2007 18:59 1.026 ocmsn.log
12.10.2007 18:59 927 msgsocm.log
12.10.2007 18:59 8.748 ocgen.log
12.10.2007 18:59 18.548 FaxSetup.log
12.10.2007 18:59 5.030 setupapi.log
12.10.2007 18:59 6.111 updspapi.log
12.10.2007 18:58 1.393 imsins.BAK
12.10.2007 18:58 22.721 KB939653-IE7.log
12.10.2007 18:58 10.228 KB941202.log
12.10.2007 18:58 0 setupact.log
12.10.2007 18:48 734 win.ini
07.10.2007 14:12 94 wininit.ini
28.09.2007 19:26 116 NeroDigital.ini
22.09.2007 17:14 73.216 cadkasdeinst01.exe
22.09.2007 08:38 48.760 spupdsvc.log
22.09.2007 00:03 6.145 KB929399.log
22.09.2007 00:03 5.870 KB939683.log
22.09.2007 00:02 5.611 KB936782.log
21.09.2007 16:30 1.031 wmsetup10.log
16.09.2007 18:12 4.678 KB926239.log
16.09.2007 18:12 2.966 MSCompPackV1.log
16.09.2007 18:12 10.608 wmp11.log
16.09.2007 18:10 20.815 WMFDist11.log
16.09.2007 18:10 316.640 WMSysPr9.prx
16.09.2007 18:09 0 setuperr.log
16.09.2007 18:09 1.605 Wudf01000Inst.log
16.09.2007 18:00 1.409 QTFont.for
15.09.2007 14:37 0 AS_Debug.txt
15.09.2007 13:31 1.024.899 setupapi.log.1.old
15.09.2007 08:53 299.552 WMSysPrx.prx
15.09.2007 08:53 4.161 ODBCINST.INI
15.09.2007 08:53 749 WindowsShell.Manifest
15.09.2007 08:46 231 system.ini
15.09.2007 07:51 681.238 setupapi.old
14.09.2007 19:28 2.483 ATICIM.INI
07.09.2007 23:33 180.224 UnSc1101.exe


----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F4-D5FE

Verzeichnis von C:\WINDOWS\tasks

12.10.2007 20:45 6 SA.DAT
12.10.2007 17:15 394 1-Klick-Wartung.job
06.10.2007 21:41 276 AppleSoftwareUpdate.job

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F4-D5FE

Verzeichnis von C:\WINDOWS\temp

12.10.2007 20:45 409 WGANotify.settings
12.10.2007 20:45 255 WGAErrLog.txt
12.10.2007 20:45 256 ZLT06347.TMP
12.10.2007 20:45 256 ZLT01c2c.TMP
12.10.2007 16:31 256 ZLT07286.TMP
12.10.2007 16:31 256 ZLT05a64.TMP
12.10.2007 16:10 256 ZLT014d4.TMP
12.10.2007 16:10 256 ZLT049c2.TMP

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F4-D5FE

Verzeichnis von C:\DOKUME~1\Gids\LOKALE~1\Temp

12.10.2007 20:56 125.667 filelist.txt
12.10.2007 20:46 16.384 Perflib_Perfdata_d48.dat
12.10.2007 20:46 16.384 Perflib_Perfdata_d64.dat
12.10.2007 20:45 16.384 Perflib_Perfdata_8e4.dat
12.10.2007 20:45 16.384 ~DF8BB2.tmp
12.10.2007 20:45 16.384 ~DF7883.tmp
12.10.2007 20:45 16.384 ~DF745A.tmp
12.10.2007 20:45 16.384 ~DF735A.tmp
12.10.2007 20:45 0 Perflib_Perfdata_a68.dat
12.10.2007 20:43 17.921.746 MWAV.LOG
12.10.2007 20:43 485.504 sfdb.dat
12.10.2007 20:41 2.061.694 MWAVC.LOG
12.10.2007 20:40 45.039 mwXface.log
12.10.2007 18:56 797.676 IMT1B.xml
12.10.2007 18:56 426 IMT1A.xml
12.10.2007 18:56 2.036 IMT19.xml
12.10.2007 18:55 797.676 IMT18.xml
12.10.2007 18:55 426 IMT17.xml
12.10.2007 18:55 2.036 IMT16.xml
12.10.2007 18:55 797.676 IMT15.xml
12.10.2007 18:55 426 IMT14.xml
12.10.2007 18:55 2.036 IMT13.xml
12.10.2007 18:54 16.384 ~DF8AB1.tmp
12.10.2007 18:54 16.384 ~DF89AC.tmp
12.10.2007 18:54 16.384 ~DF659A.tmp
12.10.2007 18:48 471 EUpdate.ini
12.10.2007 18:48 91 IUpdate.ini
12.10.2007 18:48 0 success.sem
12.10.2007 18:48 1.880 Download.log
12.10.2007 18:48 3.864 avp_ext.set
12.10.2007 18:48 3.864 avp.set
12.10.2007 18:48 3.864 avp_x.set
12.10.2007 18:48 8.919 update.txt
12.10.2007 18:48 42.247 unp022.avc
12.10.2007 18:48 822 remove.ini
12.10.2007 18:48 61.046 phupdn.txz
12.10.2007 18:48 37.469 krn004.avc
12.10.2007 18:48 227 httpsite.txt
12.10.2007 18:48 111 ftpsites.txt
12.10.2007 18:48 14.744 fa001.avc
12.10.2007 18:48 26.700 ext009.avc
12.10.2007 18:48 18.346 ext005c.avc
12.10.2007 18:48 84.171 dailyc.avc
12.10.2007 18:48 50.948 daily.avc
12.10.2007 18:48 2.220 daily-ex.avx
12.10.2007 18:48 6.409 daily-ec.avc
12.10.2007 18:48 53.747 base154.avc
12.10.2007 18:48 54.864 base144.avc
12.10.2007 18:48 53.495 base054c.avc
12.10.2007 18:48 27.778 avp.klb
12.10.2007 18:48 1.047 00184597.key
12.10.2007 18:48 1.016 00184596.key
12.10.2007 18:48 5.887 filelist.lst
12.10.2007 18:46 626.688 msvcr80.dll
12.10.2007 18:46 548.864 msvcp80.dll
12.10.2007 18:46 241.664 MYDB.DLL
12.10.2007 16:34 862 PrePict.htm
12.10.2007 16:32 16.384 ~DFD8BA.tmp
12.10.2007 16:28 16.384 ~DFE333.tmp
12.10.2007 16:28 16.384 ~DF81C6.tmp
12.10.2007 16:28 16.384 ~DF6F31.tmp
12.10.2007 16:13 16.384 ~DF1BA3.tmp
12.10.2007 16:13 16.384 ~DF675.tmp
12.10.2007 16:13 16.384 ~DF178.tmp
11.10.2007 10:28 34.867 fa.avc
11.10.2007 10:28 1.871 daily-ex.avc
11.10.2007 10:28 23.283 unp039.avc
11.10.2007 10:28 48.750 base013.avc
11.10.2007 10:28 48.825 unp034.avc
11.10.2007 10:28 13.584 kernel.avc
10.10.2007 19:00 56.320 reload.exe
10.10.2007 18:58 43.520 setpriv.exe
10.10.2007 18:54 167.936 esupdate.exe
10.10.2007 18:49 122.880 avpmhook.dll
10.10.2007 17:46 38.912 unregx.exe
10.10.2007 17:42 1.949.696 msvl64.dll
10.10.2007 17:33 430.656 mwavscan.com
10.10.2007 17:33 430.656 mexe.com
10.10.2007 17:29 143.360 msvlclnt.dll
10.10.2007 17:20 44.608 Getvlist.exe
09.10.2007 17:57 254.378 spydb.avs
09.10.2007 17:57 728.535 Dir.sdb
09.10.2007 17:57 254.378 spydb.old
09.10.2007 17:57 1.271.953 Cid.sdb
09.10.2007 17:57 1.373.593 File2.sdb
09.10.2007 17:57 2.097.481 File1.sdb
09.10.2007 17:57 161.770 Spyware.sdb
09.10.2007 11:42 79.039 ca.avc
09.10.2007 11:42 21.293 gen005.avc
09.10.2007 11:42 48.257 unp037.avc
09.10.2007 11:42 38.328 unp020.avc
09.10.2007 11:42 40.706 unp031.avc
09.10.2007 11:42 64.894 unp016.avc
09.10.2007 11:42 53.207 unp015.avc
09.10.2007 11:42 75.991 unp007.avc
09.10.2007 11:42 55.741 unp006.avc
09.10.2007 11:42 50.368 base150.avc
09.10.2007 11:42 23.526 unp000.avc
09.10.2007 11:42 50.363 base142.avc
09.10.2007 11:42 47.952 base139.avc
09.10.2007 11:42 49.821 base082.avc
09.10.2007 11:42 49.237 base088.avc
09.10.2007 11:42 52.973 base095.avc
09.10.2007 11:42 49.254 base073.avc
09.10.2007 11:42 50.527 base081.avc
09.10.2007 11:42 49.605 base058.avc
09.10.2007 11:42 50.134 base056.avc
09.10.2007 11:42 49.114 base055.avc
09.10.2007 11:42 49.350 base046.avc
09.10.2007 11:42 50.729 base051.avc
09.10.2007 11:42 49.495 base029.avc
09.10.2007 11:42 47.119 base028.avc
09.10.2007 11:42 47.736 base038.avc
09.10.2007 11:42 50.160 base023.avc
09.10.2007 11:42 46.280 base027.avc
09.10.2007 11:42 49.086 base021.avc
09.10.2007 11:42 49.095 base018.avc
09.10.2007 11:42 48.519 base017.avc
09.10.2007 11:42 48.622 base010.avc
09.10.2007 11:42 50.044 base045c.avc
09.10.2007 11:42 43.401 krnengn.avc
09.10.2007 11:42 119.284 krnunp.avc
08.10.2007 21:00 204.935 phupdn.txt
08.10.2007 20:46 18.427 global.daz
05.10.2007 10:03 48.943 unp030.avc
05.10.2007 10:03 49.509 unp027.avc
05.10.2007 10:03 40.004 unp026.avc
05.10.2007 10:03 63.799 unp023.avc
05.10.2007 10:03 61.564 unp019.avc
05.10.2007 10:03 53.936 unp003.avc
05.10.2007 10:03 25.758 unp004.avc
05.10.2007 10:03 51.264 unp005.avc
05.10.2007 10:03 68.103 unp002.avc
05.10.2007 10:03 49.964 base153.avc
05.10.2007 10:03 50.103 base141.avc
05.10.2007 10:03 48.302 base014.avc
05.10.2007 10:03 50.444 base053c.avc
05.10.2007 10:03 50.000 base020c.avc
05.10.2007 10:03 50.098 base052c.avc
03.10.2007 12:33 90.996 Chinese.Age
03.10.2007 12:33 110.439 Icelandic.Age
03.10.2007 12:33 115.349 Polish.Age
03.10.2007 12:33 112.207 Finnish.Age
03.10.2007 12:33 116.504 French.Age
03.10.2007 12:33 115.397 Spanish.Age
03.10.2007 12:33 116.118 Spanishl.Age
03.10.2007 12:33 111.149 Romanian.Age
03.10.2007 12:33 124.130 Portuguese.Age
03.10.2007 12:33 122.760 Italian.Age
03.10.2007 12:33 125.547 German.Age
03.10.2007 12:33 125.547 language.ini
03.10.2007 10:17 48.583 unp038.avc
03.10.2007 10:17 48.701 unp033.avc
03.10.2007 10:17 42.214 unp032.avc
03.10.2007 10:17 52.451 unp011.avc
03.10.2007 10:17 46.589 unp001.avc
03.10.2007 10:17 50.002 base127.avc
03.10.2007 10:17 49.630 base068.avc
03.10.2007 10:17 49.994 base039c.avc
03.10.2007 10:17 103.182 krn005.avc
01.10.2007 17:55 50.365 base038c.avc
01.10.2007 17:55 50.529 base037c.avc
28.09.2007 10:04 55.805 unp014.avc
28.09.2007 10:04 50.576 base146.avc
28.09.2007 10:04 49.550 base031.avc
28.09.2007 10:04 48.988 base030.avc
28.09.2007 10:04 49.260 base022.avc
28.09.2007 10:04 48.258 base015.avc
25.09.2007 11:50 50.222 base152.avc
25.09.2007 11:50 49.814 ext004c.avc
25.09.2007 11:50 50.271 base051c.avc
25.09.2007 11:50 50.049 base049c.avc
25.09.2007 11:50 49.981 base050c.avc
21.09.2007 17:08 11.209 English.con
21.09.2007 14:17 4.225 Chinese.dow
21.09.2007 14:17 5.326 Icelandic.dow
21.09.2007 14:17 5.595 Finnish.dow
21.09.2007 14:17 6.227 Polish.dow
21.09.2007 14:17 6.105 French.dow
21.09.2007 14:17 5.757 Spanish.dow
21.09.2007 14:17 6.124 Spanishl.dow
21.09.2007 14:17 5.659 Romanian.dow
21.09.2007 14:17 6.048 Portuguese.dow
21.09.2007 14:17 5.681 Italian.dow
21.09.2007 14:17 5.812 Download.lan
21.09.2007 14:17 5.812 German.dow
20.09.2007 15:51 500.736 Download.exe
20.09.2007 15:51 5.316 English.dow
19.09.2007 15:14 49.931 base110.avc
17.09.2007 18:53 48.406 base016.avc
17.09.2007 18:31 15.148 German.con
17.09.2007 18:31 15.148 config.lan
17.09.2007 09:43 50.068 base151.avc
16.09.2007 17:22 50.286 base006c.avc
16.09.2007 12:17 732 esupd.ini
14.09.2007 17:18 51.867 English.Age
13.09.2007 20:29 385.024 MDownload.exe
13.09.2007 10:03 50.325 base012c.avc
11.09.2007 11:49 44.526 base048c.avc
07.09.2007 13:05 48.418 ext002c.avc
07.09.2007 13:05 50.057 base046c.avc
07.09.2007 13:05 49.974 base047c.avc
05.09.2007 09:54 65.394 unp035.avc
05.09.2007 09:54 48.871 base091.avc
05.09.2007 09:54 49.107 base059.avc
05.09.2007 09:54 49.223 base037.avc
05.09.2007 09:54 48.882 base011.avc
05.09.2007 09:54 50.070 base044c.avc
05.09.2007 09:54 32.013 krnexe.avc
04.09.2007 17:30 14.400 faristream.ppl
04.09.2007 17:30 14.912 farbuffer.ppl
04.09.2007 17:29 135.168 ScanningProcess.exe
04.09.2007 17:29 65.536 ikave.dll
04.09.2007 17:28 274.432 kave.dll
03.09.2007 12:28 49.035 base149.avc
03.09.2007 12:28 49.886 base040c.avc
03.09.2007 12:28 50.048 base041c.avc
03.09.2007 12:28 50.067 base043c.avc
03.09.2007 12:28 49.807 base042c.avc
03.09.2007 12:28 11.542 ocr.avc
03.09.2007 09:48 1.132 01FA0F93.key

Geändert von choasfreak (12.10.2007 um 21:04 Uhr)

Alt 12.10.2007, 21:05   #7
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Und zu Silentrunners:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RocketDock" = ""C:\Programme\RocketDock\RocketDock.exe"" [null data]
"WinSweep" = "C:\Programme\WinSweep\WinSweep.Exe /AUTO" [null data]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"iTunesG15" = "C:\Dokumente und Einstellungen\Gids\Eigene Dateien\G15\iTunes\iTunesG15.exe" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"" [null data]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"(Default)" = "(empty string)" [file not found]
"Launch LGDCore" = ""C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"Launch LCDMon" = ""C:\Programme\Logitech\G-series Software\LCDMon.exe"" ["Logitech Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "C:\Programme\Free Download Manager\iefdmcks.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

Weia, soviel unverständliches Zeuch... *gg*

Alt 13.10.2007, 00:09   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Zitat:
aber wenn ich dann im normalen Windows-Modus das in die Eingabeaufforderung eingebe, findet er nix...


Zitat:
Hab mir die Protokoll-Datei von escan gespeichert, nützt Dir das auch was?
Lies dir dochmal die escan-Anleitung durch, da steht was von FIND.BAT!
Silentrunners-Logfile ist unvollständig! Bitte vollständig posten!
und ich fürchte das filelist wird nicht ausreichen. Führ mal bitte dieses script aus (rechtsklick, Ziel speichern auf Desktop, doppelklicken) und mail mir dir Datei "listing.txt" (liegt aufm Desktop) oder lad es z.B. bei rapidshare hoch und verlink es hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.10.2007, 13:40   #9
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RocketDock" = ""C:\Programme\RocketDock\RocketDock.exe"" [null data]
"WinSweep" = "C:\Programme\WinSweep\WinSweep.Exe /AUTO" [null data]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"iTunesG15" = "C:\Dokumente und Einstellungen\Gids\Eigene Dateien\G15\iTunes\iTunesG15.exe" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"" [null data]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"(Default)" = "(empty string)" [file not found]
"Launch LGDCore" = ""C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"Launch LCDMon" = ""C:\Programme\Logitech\G-series Software\LCDMon.exe"" ["Logitech Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "C:\Programme\Free Download Manager\iefdmcks.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
MyPhoneExplorer\(Default) = "{2D30AAA2-9084-4686-B8B9-B9B62EEFFD4E}"
-> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"
\InProcServer32\(Default) = "C:\Programme\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"
-> {HKLM...CLSID} = "UnlockerShellExtension"
\InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Gids\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\RESIDE~1.SCR" (Resident Evil Extinction.scr) ["ScreenTime Media"]


Startup items in "Gids" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"X-Micro WLAN 11g USB Adapter" -> shortcut to: "C:\Programme\X-Micro WLAN 11g USB Adapter\ZDWlan.exe" [empty string]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E915E62E-41DA-40D0-8106-3438B4D24394}" = "WinSweep Toolbar"
-> {HKLM...CLSID} = "&WINSWEEP Toolbar"
\InProcServer32\(Default) = "C:\Programme\WinSweep\SurfBar.dll" ["Software-Entwicklung Frank-Oliver Dzewas"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
ATK Keyboard Service, ATKKeyboardService, "C:\WINDOWS\ATKKBService.exe" ["ASUSTeK COMPUTER INC."]
AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor iP2200\Driver = "CNMLM74.DLL" ["CANON INC."]


---------- (launch time: 2007-10-12 21:02:27)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 48 seconds, including 8 seconds for message boxes)

Alt 13.10.2007, 14:07   #10
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Die find.bat habe ich also jetztim abgesicherten Modus durchlaufen lassen, 2mal ist sie stehen geblieben und hat nicht weitergemacht, das dritte mal hat sich cmd dann geschlossen, aber kein notepad ist aufgeangen, lediglich eine Datei mit dem Namen {HKLM...CLSID} wurde erstellt, und er findet dann im "normalen Modus" von WindowsXp in der Eingabeaufforderung wieder nichts...was mache ich falsch? Hätte ich etwa escan vorher nochmal durchlaufen lassen sollen? MfG und Thankx, Chris

Alt 14.10.2007, 20:58   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Im silentrunners ist mir erstmal nichts aufgefallen. Aber im listing sah ich diese verdächtigen Dateien:

Code:
ATTFilter
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\Launchhk.dll
C:\WINDOWS\QTFont.qfn
         
Werte sie mal bei Virustotal aus und poste Ergebnisse.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.10.2007, 22:48   #12
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Hi, also zu C:\WINDOWS\system32\amcompat.tlb:

atei amcompat.tlb empfangen 2007.10.14 22:19:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.14 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.14 -
BitDefender 7.2 2007.10.14 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.14 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.14 -
Fortinet 3.11.0.0 2007.10.14 -
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.14 -
Ikarus T3.1.1.12 2007.10.14 -
Kaspersky 7.0.0.125 2007.10.14 -
McAfee 5140 2007.10.12 -
Microsoft 1.2908 2007.10.14 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 -
Panda 9.0.0.4 2007.10.14 -
Prevx1 V2 2007.10.14 -
Rising 19.44.62.00 2007.10.14 -
Sophos 4.22.0 2007.10.14 -
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.14 -
TheHacker 6.2.8.089 2007.10.13 -
VBA32 3.12.2.4 2007.10.14 -
VirusBuster 4.3.26:9 2007.10.14 -
Webwasher-Gateway 6.0.1 2007.10.14 -
weitere Informationen
File size: 16832 bytes
MD5: 6d6f4b1886e91eb37abccad19c561ee0
SHA1: bd61b462419e5cdf7e9c2d457cc529fc15610812

-----------------------------------------------------

Zu C:\WINDOWS\system32\nscompat.tlb:

Datei nscompat.tlb empfangen 2007.10.14 22:26:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.14 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.14 -
BitDefender 7.2 2007.10.14 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.14 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.14 -
Fortinet 3.11.0.0 2007.10.14 -
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.14 -
Ikarus T3.1.1.12 2007.10.14 -
Kaspersky 7.0.0.125 2007.10.14 -
McAfee 5140 2007.10.12 -
Microsoft 1.2908 2007.10.14 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 -
Panda 9.0.0.4 2007.10.14 -
Prevx1 V2 2007.10.14 -
Rising 19.44.62.00 2007.10.14 -
Sophos 4.22.0 2007.10.14 -
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.14 -
TheHacker 6.2.8.089 2007.10.13 -
VBA32 3.12.2.4 2007.10.14 -
VirusBuster 4.3.26:9 2007.10.14 -
Webwasher-Gateway 6.0.1 2007.10.14 -
weitere Informationen
File size: 23392 bytes
MD5: a32b14be5edae794fce1a9e970827509
SHA1: 80539593beddf90c348139d01e25d4687e0249cf

------------------------------------------------------------

Zu C:\WINDOWS\system32\Launchhk.dll

Datei Launchhk.dll empfangen 2007.10.14 22:30:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.14 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.14 -
BitDefender 7.2 2007.10.14 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.14 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.14 -
Fortinet 3.11.0.0 2007.10.14 -
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.14 -
Ikarus T3.1.1.12 2007.10.14 -
Kaspersky 7.0.0.125 2007.10.14 -
McAfee 5140 2007.10.12 -
Microsoft 1.2908 2007.10.14 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 -
Panda 9.0.0.4 2007.10.14 -
Prevx1 V2 2007.10.14 -
Rising 19.44.62.00 2007.10.14 -
Sophos 4.22.0 2007.10.14 -
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.14 -
TheHacker 6.2.8.089 2007.10.13 -
VBA32 3.12.2.4 2007.10.14 -
VirusBuster 4.3.26:9 2007.10.14 -
Webwasher-Gateway 6.0.1 2007.10.14 -
weitere Informationen
File size: 53248 bytes
MD5: d60376ac18514c0fcdc206be49d7f329
SHA1: 0d76e6defab3085db387413911704c5145a752b1

---------------------------------------------------------------

Und zu C:\WINDOWS\QTFont.qfn:

Datei QTFont.qfn empfangen 2007.10.14 22:39:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.14 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.14 -
BitDefender 7.2 2007.10.14 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.14 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.14 -
Fortinet 3.11.0.0 2007.10.14 -
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.14 -
Ikarus T3.1.1.12 2007.10.14 -
Kaspersky 7.0.0.125 2007.10.14 -
McAfee 5140 2007.10.12 -
Microsoft 1.2908 2007.10.14 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 -
Panda 9.0.0.4 2007.10.14 -
Prevx1 V2 2007.10.14 -
Rising 19.44.62.00 2007.10.14 -
Sophos 4.22.0 2007.10.14 -
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.14 -
TheHacker 6.2.8.089 2007.10.13 -
VBA32 3.12.2.4 2007.10.14 -
VirusBuster 4.3.26:9 2007.10.14 -
Webwasher-Gateway 6.0.1 2007.10.14 -
weitere Informationen
File size: 54156 bytes
MD5: dba91cd5a3a68302967c03213e52bde8
SHA1: 8188a5832590c810b08ee3a2f1567afcdd094108

---------------------------------------------------------------------

Nichts also... Was soll ich denn nun wegen dem escan-Log und der find.bat machen? Nochmal escan durchlaufen lassen und direkt danach die find.bat drüberjagen??? Danke für die Hilfe! Chris

Alt 14.10.2007, 23:04   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Okey soweit. Aber um escan solltest du dich mal noch etwas genauer kümmern:

Zitat:
9. Die Auswertedatei find.bat durch Doppelklick starten.
10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.
Einfach escan wie in der Anleitung durchlaufen lassen. Dann sollte die find.bat auch normal funktionieren und ein "gefiltertes" Logfile erzeugen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.10.2007, 16:45   #14
choasfreak
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Habe escan jetzt genau wie beschrieben durchlaufen lassen, anschließend die find.bat gestartet (beides im abgesicherten Modus), und es funktioniert trotzdem nicht! Könnte aber auch nen ganz einfachen Grund haben: Ich gehe über WLAN ins Netz, muß ich da die Anleitung für mit oder ohne Router befolgen? Ich hab zweiteres gemacht...

Alt 16.10.2007, 21:19   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte Log auswerten, Virusverdacht. - Standard

Bitte Log auswerten, Virusverdacht.



Wenn du über WLAN ins Netz gehst, hastdu idR einen Router. Nur bei Alice-DSL kanns es da anders sein...das solltest du aber wissen, welche Hardware du hast.
Nichtsdestotrotz sollte das aber bei der Ausführung von der Find.bat egal sein.

Sonst such einfach mal nach einer mwav.log (müsste irgendwo im temppfad liegen), pack diese und lad diese z.B. bei rapidshare hoch und verlink das hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Bitte Log auswerten, Virusverdacht.
antivir, auswerten, avg, avira, bho, computer, e-mail, einstellungen, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, launch, log auswerten, mozilla, mozilla firefox, outlook express, problem, s-1-5-18, server, software, system, trend micro, tuneup utilities, usb, virus, virusverdacht, windows, windows xp, wlan



Ähnliche Themen: Bitte Log auswerten, Virusverdacht.


  1. Laptop ist langsam und störanfällig. Virusverdacht
    Plagegeister aller Art und deren Bekämpfung - 17.03.2015 (17)
  2. Virusverdacht! Firewall war aus! Komische Nachrichten!
    Plagegeister aller Art und deren Bekämpfung - 17.07.2013 (24)
  3. PC sehr langsam - Virusverdacht
    Log-Analyse und Auswertung - 23.03.2012 (10)
  4. Flackernder/Schwarzer Bildschirm, Virusverdacht
    Plagegeister aller Art und deren Bekämpfung - 13.04.2010 (0)
  5. scan mit hijackThis wegen Virusverdacht!
    Log-Analyse und Auswertung - 29.03.2010 (24)
  6. Virusverdacht csrss.exe
    Log-Analyse und Auswertung - 27.03.2010 (3)
  7. Scan aufgrund Virusverdacht !
    Log-Analyse und Auswertung - 24.03.2010 (1)
  8. Logfileauswertung Virusverdacht
    Log-Analyse und Auswertung - 02.01.2010 (1)
  9. virusverdacht
    Plagegeister aller Art und deren Bekämpfung - 06.12.2009 (1)
  10. Virusverdacht
    Log-Analyse und Auswertung - 17.06.2009 (12)
  11. Virusverdacht (about blank)
    Log-Analyse und Auswertung - 10.06.2009 (3)
  12. Virusverdacht
    Plagegeister aller Art und deren Bekämpfung - 27.06.2008 (9)
  13. Trojaner - Bitte bitte Logfile auswerten!
    Log-Analyse und Auswertung - 30.11.2007 (2)
  14. Bitte log auswerten!
    Log-Analyse und Auswertung - 28.07.2005 (1)
  15. Bitte, bitte log auswerten. Ich brauch Hilfe!
    Log-Analyse und Auswertung - 21.07.2005 (13)
  16. Virusverdacht
    Plagegeister aller Art und deren Bekämpfung - 10.06.2005 (8)
  17. Bitte auswerten!
    Log-Analyse und Auswertung - 12.01.2005 (2)

Zum Thema Bitte Log auswerten, Virusverdacht. - Hi, in letzter Zeit ging bei mir eines meiner Laufwerke immer von alleine auf, weswegen ich erstmal AV hab durchlaufen lassen. Könntet ihr bitte mal schauen, ob ihr in der - Bitte Log auswerten, Virusverdacht....
Archiv
Du betrachtest: Bitte Log auswerten, Virusverdacht. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.