Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: shfaymzhlr.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.10.2007, 17:02   #1
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Hallo zusammen,

ich hoffe ich Poste im richtigen Berreich.
Seit einigen Tagen läuft dieses Prog im Hintergrund shfaymzhlr.exe. Es befindet sich im Ordner Win/System32. Ich kann es nicht zuordnen und bei google lande ich auch keinen Treffer. Habe es auch schon mit dem Security task Manager versucht, aber auch da kann mir keiner sagen was es ist.

Vielen Dank schon mal für euere Antworten…



Logfile of HijackThis v1.99.1
Scan saved at 17:58:31, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\VM305_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Security Task Manager\TaskMan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\INr23I\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKCU\..\Run: [shfaymzhlr] c:\windows\system32\shfaymzhlr.exe shfaymzhlr
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://germanhotstuff.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5-windows-i586.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Alt 16.10.2007, 19:14   #2
KarlKarl
/// Helfer-Team
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Hi,

dann geh mal zu VirusTotal und lass dort die c:\windows\system32\shfaymzhlr.exe online scannen, Ergebnisse bitte komplett hierher kopieren.

Gruß, Karl
__________________


Alt 16.10.2007, 22:52   #3
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Ich konnte die exe Datei nicht im Ordner System32 finden, dort ist nur eine shfaymzhlr.dat,
shfaymzhlr_nav.dat und shfaymzhlr_navps.dat aufzufinden. Unter Windows/Preftech
befindet sich diese Datei SHFAYMZHLR.EXE-0FFD8CC5.pf. Das Prog oder was es auch ist befindet sich im Systemstart, habe es dort aber deaktiviert.

Ich bin nur etwas beunruhigt da sich seit einigen tagen beim öffnen des IE Fenster öffnen mit Viruswarnungen, dort werde ich aufgefordert den PC jetzt nach Viren zu durchsuchen.

.....

Datei SHFAYMZHLR.EXE-0FFD8CC5.pf empfangen 2007.10.16 23:38:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.17.0 2007.10.16 -
AntiVir 7.6.0.23 2007.10.16 -
Authentium 4.93.8 2007.10.16 -
Avast 4.7.1051.0 2007.10.15 -
AVG 7.5.0.488 2007.10.16 -
BitDefender 7.2 2007.10.16 -
CAT-QuickHeal 9.00 2007.10.16 -
ClamAV 0.91.2 2007.10.16 -
DrWeb 4.44.0.09170 2007.10.16 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5214 2007.10.16 -
Ewido 4.0 2007.10.16 -
FileAdvisor 1 2007.10.16 -
Fortinet 3.11.0.0 2007.10.16 -
F-Prot 4.3.2.48 2007.10.15 -
F-Secure 6.70.13030.0 2007.10.16 -
Ikarus T3.1.1.12 2007.10.16 -
Kaspersky 7.0.0.125 2007.10.16 -
McAfee 5142 2007.10.16 -
Microsoft 1.2908 2007.10.16 -
NOD32v2 2595 2007.10.16 -
Norman 5.80.02 2007.10.16 -
Panda 9.0.0.4 2007.10.16 -
Prevx1 V2 2007.10.16 -
Rising 19.45.12.00 2007.10.16 -
Sophos 4.22.0 2007.10.16 -
Sunbelt 2.2.907.0 2007.10.16 -
Symantec 10 2007.10.16 -
TheHacker 6.2.8.093 2007.10.16 -
VBA32 3.12.2.4 2007.10.16 -
VirusBuster 4.3.26:9 2007.10.16 -
Webwasher-Gateway 6.6.1 2007.10.16 -
weitere Informationen
File size: 40236 bytes
MD5: 3bf30ac9030bf7168572b452af63cfa6
SHA1: df0ddfcc7738ebe45c778a8e97cf5a120b5a32e4
....

Danke Dir für deine Hilfe
__________________

Alt 17.10.2007, 00:50   #4
KarlKarl
/// Helfer-Team
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Die PF-Datei ist harmlos, darin legt Windows nur Informationen ab, mit denen es in Zukunft Programme schneller starten kann, sind also Daten von Windows.

Bei den anderen Dateinamen weiß ich aber schon, was los ist, Navipromo. Dass der O4-Eintrag sichtbar ist, deutet aber an, dass die Software eben nicht mehr läuft, normalerweise versteckt die den Eintrag mit einem Rootkit, aber wir werden sehen.


Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.


Außerdem: Wir wollen uns mal den Inhalt einiger kritischer Verzeichnisse auf deinem System ansehen. Dazu arbeite bitte diese Anleitung ab.


Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun alle Logs posten.

Alt 17.10.2007, 06:02   #5
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Also ich strate mal:

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-10-17 06:24:47
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

SSDT 876F98A8 ZwAlertResumeThread
SSDT 876F83A8 ZwAlertThread
SSDT 899A7838 ZwAllocateVirtualMemory
SSDT 89B60A80 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey
SSDT 87701710 ZwCreateMutant
SSDT 8985A838 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey
SSDT 8989A650 ZwFreeVirtualMemory
SSDT 87700C10 ZwImpersonateAnonymousToken
SSDT 89A480B0 ZwImpersonateThread
SSDT 86E5E6F8 ZwMapViewOfSection
SSDT 876E8C10 ZwOpenEvent
SSDT 89847348 ZwOpenProcessToken
SSDT 87754618 ZwOpenThreadToken
SSDT 898F1008 ZwResumeThread
SSDT 8770A3A8 ZwSetContextThread
SSDT 876E7710 ZwSetInformationProcess
SSDT 876F1C10 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey
SSDT 86E89628 ZwSuspendProcess
SSDT 876F73A8 ZwSuspendThread
SSDT 89A3DCD8 ZwTerminateProcess
SSDT 876F2B18 ZwTerminateThread
SSDT 899C2DC8 ZwUnmapViewOfSection
SSDT 872C0690 ZwWriteVirtualMemory

---- Devices - GMER 1.0.13 ----

AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F745B1DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F745B1DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F745B454] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F745B1DE] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F744EF4C] fltMgr.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_READ [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_READ [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_WRITE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_POWER [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_READ [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA [


Alt 17.10.2007, 06:03   #6
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_POWER [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA [A9DED370] SYMTDI.SYS
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F745B1DE] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F745B1DE] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F745B454] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F745B1DE] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F744EF4C] fltMgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F744EF4C] fltMgr.sys

---- Registry - GMER 1.0.13 ----

Reg \Registry\USER\S-1-5-21-484763869-1454471165-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY@?? 0x9F 0x35 0xCB 0x5F ...
Reg \Registry\USER\S-1-5-21-484763869-1454471165-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY@?? 0x41 0xE0 0x42 0x8C ...

---- Files - GMER 1.0.13 ----

ADS C:\Dokumente und Einstellungen\INr23I\Favoriten\Onlineshop\BitDefender Internet Security für 54,99 :favicon

---- EOF - GMER 1.0.13 ----
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog305 = C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@??????????????

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Alt 17.10.2007, 06:04   #7
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Dann noch Rootkid Reveal ....

HKU\S-1-5-21-484763869-1454471165-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 13.10.2007 22:20 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 31.08.2007 11:24 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 31.08.2007 11:24 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 17.10.2007 06:31 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6-b170-9a65bc822c77 17.10.2007 06:28 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\F38E0E5F.TMP 17.10.2007 06:42 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\INr23I\Lokale Einstellungen\Temp\Rar$EX00.875\Eula.txt 28.07.2006 08:32 6.84 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\INr23I\Lokale Einstellungen\Temp\Rar$EX00.875\RootkitRevealer.chm 07.12.2005 15:19 99.77 KB Visible in Windows API, but not in MFT or directory index.
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\2007-10-17-1410.kc 17.10.2007 06:29 145.46 KB Visible in Windows API, but not in MFT or directory index.
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\2007-10-17-16ce.kc 17.10.2007 06:33 145.46 KB Hidden from Windows API.
C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20071016.009\vscanmsx.dat 17.10.2007 06:35 2.02 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 17.10.2007 06:32 64.00 KB Visible in Windows API, but not in MFT or directory index.

Alt 17.10.2007, 06:06   #8
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



.. und zu letzt filelist.


Mir ist da eingefallen das ich die Datei mit dem SecurityTaskManager in einen Quarantäneordner verschoben habe, ist das negativ für den Scan?

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\

17.10.2007 06:30 2.145.386.496 pagefile.sys
12.10.2007 21:49 4.219 rapport.txt
12.10.2007 21:44 413 boot.ini
08.09.2007 19:52 0 AdobeDebug.txt
07.09.2007 13:13 50 AUTOEXEC.BAT
31.08.2007 11:03 0 MSDOS.SYS
31.08.2007 11:03 0 IO.SYS
31.08.2007 11:03 0 CONFIG.SYS
28.02.2006 14:00 251.184 ntldr
28.02.2006 14:00 47.564 NTDETECT.COM
28.02.2006 14:00 4.952 bootfont.bin
11 Datei(en) 2.145.694.878 Bytes
0 Verzeichnis(se), 19.758.837.760 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\WINDOWS\system32

17.10.2007 06:29 54.524 BMXState-{00000001-00000000-00000008-00001102-00000005-00311102}.rfx
17.10.2007 06:29 64.900 DVCState-{00000001-00000000-00000008-00001102-00000005-00311102}.rfx
17.10.2007 06:29 1.080 settings.sfm
17.10.2007 06:29 54.524 BMXStateBkp-{00000001-00000000-00000008-00001102-00000005-00311102}.rfx
17.10.2007 06:29 1.080 settingsbkup.sfm
16.10.2007 23:32 14.848 Thumbs.db
16.10.2007 00:06 390 shfaymzhlr_navps.dat
16.10.2007 00:05 6.756 shfaymzhlr.dat
15.10.2007 09:19 13.646 wpa.dbl
12.10.2007 21:49 0 tmp.txt
12.10.2007 21:49 3.126 tmp.reg
12.10.2007 12:07 276.480 djythwoo.exe
05.10.2007 00:33 268.288 dgtahb.exe
04.10.2007 22:06 274.432 sqqsva.exe
04.10.2007 19:29 317.394 shfaymzhlr_nav.dat
04.10.2007 19:29 22 nvs2.inf
04.10.2007 00:36 25.600 WS2Fix.exe
03.10.2007 14:08 10.384 jupdate-1.5.0_12-b04.log
28.09.2007 07:19 18.089.592 MRT.exe
12.09.2007 16:17 120 Log_20070912_161717_EC0.txt
12.09.2007 16:17 120 Log_20070912_161717_120.txt
12.09.2007 16:17 120 Log_20070912_161716_344.txt
12.09.2007 16:17 120 Log_20070912_161716_E8C.txt
12.09.2007 16:03 120 Log_20070912_160309_3D8.txt
12.09.2007 16:03 120 Log_20070912_160308_6FC.txt
12.09.2007 16:03 120 Log_20070912_160308_270.txt
12.09.2007 16:03 120 Log_20070912_160307_C20.txt
11.09.2007 11:48 120 Log_20070911_114823_D4C.txt
11.09.2007 11:48 120 Log_20070911_114823_D5C.txt
11.09.2007 11:48 120 Log_20070911_114822_F70.txt
11.09.2007 11:48 120 Log_20070911_114821_8C0.txt
10.09.2007 17:41 120 Log_20070910_174113_AA4.txt
10.09.2007 17:41 120 Log_20070910_174112_DD0.txt
10.09.2007 17:41 120 Log_20070910_174112_1C8.txt
10.09.2007 17:41 120 Log_20070910_174111_9A0.txt
10.09.2007 15:44 120 Log_20070910_154412_8D4.txt
10.09.2007 15:44 120 Log_20070910_154412_1C8.txt
10.09.2007 15:44 120 Log_20070910_154411_618.txt
10.09.2007 15:44 120 Log_20070910_154411_CC4.txt
10.09.2007 12:12 120 Log_20070910_121253_294.txt
10.09.2007 12:12 120 Log_20070910_121253_5DC.txt
10.09.2007 12:12 120 Log_20070910_121252_D94.txt
10.09.2007 12:12 120 Log_20070910_121251_828.txt
10.09.2007 11:38 120 Log_20070910_113850_DC4.txt
10.09.2007 11:38 120 Log_20070910_113849_A70.txt
10.09.2007 11:38 120 Log_20070910_113848_9BC.txt
10.09.2007 11:38 120 Log_20070910_113848_9AC.txt
10.09.2007 11:34 10.752 BASSMOD.dll
08.09.2007 22:10 108.144 CmdLineExt.dll
08.09.2007 19:25 116.560 FNTCACHE.DAT
08.09.2007 19:11 108.544 pxcpyi64.exe
08.09.2007 19:11 109.568 pxinsi64.exe
08.09.2007 15:53 2.278.400 TUKernel.exe
06.09.2007 00:22 289.144 VCCLSID.exe
31.08.2007 16:24 320.424 perfh007.dat
31.08.2007 16:24 314.644 perfh009.dat
31.08.2007 16:24 49.372 perfc007.dat
31.08.2007 16:24 40.972 perfc009.dat
31.08.2007 16:24 725.674 PerfStringBackup.INI
31.08.2007 12:12 128.998 TZLog.log
31.08.2007 12:00 0 h323log.txt
31.08.2007 11:42 16 coh.cache
31.08.2007 11:35 48.776 S32EVNT1.DLL
31.08.2007 11:30 13.646 wpa.bak
31.08.2007 11:27 131.421 nvapps.xml
31.08.2007 11:21 409.600 wrap_oal.dll
31.08.2007 11:21 86.016 OpenAL32.dll
31.08.2007 11:05 403 $winnt$.inf
31.08.2007 11:03 2.951 CONFIG.NT
31.08.2007 11:03 16.832 amcompat.tlb
31.08.2007 11:03 23.392 nscompat.tlb
31.08.2007 11:03 488 logonui.exe.manifest
31.08.2007 11:03 488 WindowsLogon.manifest
31.08.2007 11:03 749 sapi.cpl.manifest
31.08.2007 11:03 749 cdplayer.exe.manifest
31.08.2007 11:03 749 wuaucpl.cpl.manifest
31.08.2007 11:03 749 nwc.cpl.manifest
31.08.2007 11:03 749 ncpa.cpl.manifest
31.08.2007 11:01 21.740 emptyregdb.dat
21.08.2007 08:16 683.520 inetcomm.dll
20.08.2007 11:55 232.960 webcheck.dll
20.08.2007 11:55 1.152.000 urlmon.dll
20.08.2007 11:55 671.232 mstime.dll
20.08.2007 11:55 824.832 wininet.dll
20.08.2007 11:55 102.400 occache.dll
20.08.2007 11:55 105.984 url.dll
20.08.2007 11:55 477.696 mshtmled.dll
20.08.2007 11:55 3.584.512 mshtml.dll
20.08.2007 11:55 193.024 msrating.dll
20.08.2007 11:55 52.224 msfeedsbs.dll
20.08.2007 11:55 459.264 msfeeds.dll
20.08.2007 11:55 6.058.496 ieframe.dll
20.08.2007 11:55 44.544 iernonce.dll
20.08.2007 11:55 267.776 iertutil.dll
20.08.2007 11:55 27.648 jsproxy.dll
20.08.2007 11:55 1.824.768 inetcpl.cpl
20.08.2007 11:55 383.488 ieapfltr.dll
20.08.2007 11:55 230.400 ieaksie.dll
20.08.2007 11:55 384.512 iedkcs32.dll
20.08.2007 11:55 63.488 icardie.dll
20.08.2007 11:55 214.528 dxtrans.dll
20.08.2007 11:55 153.088 ieakeng.dll
20.08.2007 11:55 132.608 extmgr.dll
20.08.2007 11:55 124.928 advpack.dll
17.08.2007 16:23 126.976 nvrszht.dll
17.08.2007 16:23 225.280 nvrszhc.dll
17.08.2007 16:23 258.048 nvrstr.dll
17.08.2007 16:23 253.952 nvrssv.dll
17.08.2007 16:23 258.048 nvrssl.dll
17.08.2007 16:23 258.048 nvrssk.dll
17.08.2007 16:23 2.441.216 nvwssr.dll
17.08.2007 16:23 270.336 nvrsru.dll
17.08.2007 16:23 266.240 nvrsptb.dll
17.08.2007 16:23 274.432 nvrspt.dll
17.08.2007 16:23 253.952 nvrspl.dll
17.08.2007 16:23 253.952 nvrsno.dll
17.08.2007 16:23 274.432 nvrsnl.dll
17.08.2007 16:23 262.144 nvrsko.dll
17.08.2007 16:23 266.240 nvrsja.dll
17.08.2007 16:23 278.528 nvrsit.dll
17.08.2007 16:23 258.048 nvrshu.dll
17.08.2007 16:23 327.680 nvrshe.dll
17.08.2007 16:23 282.624 nvrsfr.dll
17.08.2007 16:23 249.856 nvrsfi.dll
17.08.2007 16:23 274.432 nvrsesm.dll
17.08.2007 16:23 282.624 nvrses.dll
17.08.2007 16:23 245.760 nvrseng.dll
17.08.2007 16:23 282.624 nvrsel.dll
17.08.2007 16:23 278.528 nvrsde.dll
17.08.2007 16:23 253.952 nvrsda.dll
17.08.2007 16:23 249.856 nvrscs.dll
17.08.2007 16:23 212.992 nvwrsja.dll
17.08.2007 16:23 196.608 nvwrsko.dll
17.08.2007 16:23 1.626.112 nwiz.exe
17.08.2007 16:23 327.680 nvrsar.dll
17.08.2007 16:23 6.746.112 nvoglnt.dll
17.08.2007 16:23 286.720 nvwrseng.dll
17.08.2007 16:23 286.720 nvnt4cpl.dll
17.08.2007 16:23 167.936 nvwrszht.dll
17.08.2007 16:23 1.150.976 nvmobls.dll
17.08.2007 16:23 81.920 nvmctray.dll
17.08.2007 16:23 458.752 nvmccssr.dll
17.08.2007 16:23 188.416 nvmccss.dll
17.08.2007 16:23 45.056 nvmccsrs.dll
17.08.2007 16:23 229.376 nvmccs.dll
17.08.2007 16:23 1.478.656 nview.dll
17.08.2007 16:23 3.166.208 nvgamesr.dll
17.08.2007 16:23 3.334.144 nvgames.dll
17.08.2007 16:23 307.200 nvexpbar.dll
17.08.2007 16:23 1.339.392 nvdspsch.exe
17.08.2007 16:23 5.509.120 nvdispsr.dll
17.08.2007 16:23 6.344.704 nvdisps.dll
17.08.2007 16:23 17.463 nvdisp.nvu
17.08.2007 16:23 1.073.152 nvcpluir.dll
17.08.2007 16:23 753.664 nvcplui.exe
17.08.2007 16:23 8.478.720 nvcpl.dll
17.08.2007 16:23 413.696 nvcpl.cpl
17.08.2007 16:23 147.456 nvcolor.exe
17.08.2007 16:23 36.864 nvcodins.dll
17.08.2007 16:23 36.864 nvcod.dll
17.08.2007 16:23 335.872 nvwrses.dll
17.08.2007 16:23 299.008 nvwrsno.dll
17.08.2007 16:23 294.912 nvwrspl.dll
17.08.2007 16:23 442.368 nvappbar.exe
17.08.2007 16:23 360.448 nvapi.dll
17.08.2007 16:23 5.860.736 nv4_disp.dll
17.08.2007 16:23 323.584 nvwrspt.dll
17.08.2007 16:23 319.488 nvwrsptb.dll
17.08.2007 16:23 327.680 nvwrsesm.dll
17.08.2007 16:23 425.984 keystone.exe
17.08.2007 16:23 315.392 nvwrsru.dll
17.08.2007 16:23 303.104 nvwrsfi.dll
17.08.2007 16:23 163.840 nvwrszhc.dll
17.08.2007 16:23 466.944 nvshell.dll
17.08.2007 16:23 303.104 nvwrstr.dll
17.08.2007 16:23 73.728 nvtuicpl.cpl
17.08.2007 16:23 327.680 nvwrsfr.dll
17.08.2007 16:23 356.352 nvudisp.exe
17.08.2007 16:23 3.551.232 nvvitvs.dll
17.08.2007 16:23 3.629.056 nvvitvsr.dll
17.08.2007 16:23 81.920 nvwddi.dll
17.08.2007 16:23 1.703.936 nvwdmcpl.dll
17.08.2007 16:23 1.019.904 nvwimg.dll
17.08.2007 16:23 282.624 nvwrsar.dll
17.08.2007 16:23 286.720 nvwrscs.dll
17.08.2007 16:23 294.912 nvwrssv.dll
17.08.2007 16:23 294.912 nvwrsda.dll
17.08.2007 16:23 311.296 nvwrsde.dll
17.08.2007 16:23 2.371.584 nvwss.dll
17.08.2007 16:23 2.854.912 nvmoblsr.dll
17.08.2007 16:23 299.008 nvwrssk.dll
17.08.2007 16:23 278.528 nvwrshe.dll
17.08.2007 16:23 335.872 nvwrsel.dll
17.08.2007 16:23 315.392 nvwrshu.dll
17.08.2007 16:23 319.488 nvwrsnl.dll
17.08.2007 16:23 323.584 nvwrsit.dll
17.08.2007 16:23 303.104 nvwrssl.dll
17.08.2007 16:23 155.716 nvsvc32.exe
17.08.2007 12:19 13.824 ieudinit.exe
17.08.2007 12:19 63.488 ie4uinit.exe
17.08.2007 09:34 161.792 ieakui.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
18.07.2007 14:42 60.416 tzchange.exe
09.07.2007 15:11 584.192 rpcrt4.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
15.06.2007 10:13 474.624 shlwapi.dll
15.06.2007 10:13 1.498.112 shdocvw.dll
15.06.2007 10:13 1.056.256 danim.dll
15.06.2007 10:13 152.064 cdfview.dll
15.06.2007 10:13 1.022.976 browseui.dll
14.06.2007 03:56 373.760 xpsp3res.dll
31.05.2007 19:30 266.088 xactengine2_8.dll
31.05.2007 19:29 18.280 x3daudio1_2.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 16:45 1.124.720 D3DCompiler_34.dll
16.05.2007 16:45 443.752 d3dx10_34.dll
16.05.2007 16:45 3.497.832 d3dx9_34.dll
15.05.2007 19:06 71.208 PhysXLoader.dll
08.05.2007 15:03 1.275.392 msxml4.dll
02.05.2007 04:01 127.078 javaws.exe
02.05.2007 04:01 49.265 jpicpl32.cpl
02.05.2007 02:23 53.346 javaw.exe
02.05.2007 02:22 49.248 java.exe


2386 Datei(en) 564.097.766 Bytes
0 Verzeichnis(se), 19.764.170.752 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\WINDOWS\Prefetch

17.10.2007 06:51 11.726 FIND.EXE-0EC32F1E.pf
17.10.2007 06:51 38.980 CMD.EXE-087B4001.pf
17.10.2007 06:51 17.858 VERCLSID.EXE-3667BD89.pf
17.10.2007 06:51 18.576 LUCALLBACKPROXY.EXE-0B5F632D.pf
17.10.2007 06:51 32.280 AUPDATE.EXE-089630E1.pf
17.10.2007 06:51 113.876 LUCOMS~1.EXE-02DB5950.pf
17.10.2007 06:49 83.348 IEXPLORE.EXE-2CA9778D.pf
17.10.2007 06:49 18.204 FBOXUPD.EXE-201EA6D5.pf
17.10.2007 06:47 15.956 NOTEPAD.EXE-336351A9.pf
17.10.2007 06:43 5.886 CHCP.COM-18156052.pf
17.10.2007 06:32 52.726 WMIPRVSE.EXE-28F301A9.pf
17.10.2007 06:32 155.550 WUAUCLT.EXE-399A8E72.pf
17.10.2007 06:32 15.210 WXLNMDGA.EXE-08C8E8A9.pf
17.10.2007 06:32 16.778 ROOTKITREVEALER.EXE-106A7F3B.pf
17.10.2007 06:32 66.810 WINRAR.EXE-3588DFE8.pf
17.10.2007 06:32 42.964 UNSECAPP.EXE-1A95A33B.pf
17.10.2007 06:32 30.948 STCENTER.EXE-2DCE9FDD.pf
17.10.2007 06:32 41.232 CTXFISPI.EXE-13A6C573.pf
17.10.2007 06:32 21.112 FWEBPROT.EXE-039316ED.pf
17.10.2007 06:32 14.676 CTFMON.EXE-0E17969B.pf
17.10.2007 06:32 16.910 VM305_STI.EXE-370FE4A0.pf
17.10.2007 06:32 29.130 PIFSVC.EXE-29FA40EF.pf
17.10.2007 06:32 1.616.936 NTOSBOOT-B00DFAAD.pf
17.10.2007 06:32 7.320 INSTLSP.EXE-20F3E0E7.pf
17.10.2007 06:32 11.256 AMD_DC_OPT.EXE-1534D999.pf
17.10.2007 06:28 66.512 CATCHME.EXE-06333948.pf
17.10.2007 06:26 35.834 TU_LOGONUI.EXE-381C5638.pf
17.10.2007 06:21 32.334 GMER.EXE-0D25762F.pf
17.10.2007 06:16 32.986 GMER.EXE-34C0DFE9.pf
17.10.2007 06:16 37.734 NAVSTUB.EXE-06760F0E.pf
17.10.2007 06:14 34.872 GMER.EXE-34215F5D.pf
17.10.2007 06:07 20.942 RUNDLL32.EXE-2E5AF1D7.pf
17.10.2007 02:01 30.718 SSAUTORN.EXE-26BC4D68.pf
17.10.2007 01:25 18.806 TASKMGR.EXE-20256C55.pf
16.10.2007 23:47 32.718 MSCONFIG.EXE-35E4DAE9.pf
16.10.2007 23:42 72.306 WINWORD.EXE-3395695A.pf
16.10.2007 23:37 14.466 RUNDLL32.EXE-36E3222E.pf
16.10.2007 21:53 34.862 RUNDLL32.EXE-37A7C420.pf
16.10.2007 18:24 82.316 TWOWORLDS.EXE-0EF2EF91.pf
16.10.2007 18:17 38.956 RUNDLL32.EXE-2BF3472E.pf
16.10.2007 18:16 17.424 CCLEANER.EXE-065E2F3F.pf
16.10.2007 18:07 109.172 COH32.EXE-1453A4B6.pf
16.10.2007 18:06 142.798 NAVW32.EXE-2944DF24.pf
16.10.2007 18:03 24.228 CCSETUP201.EXE-117B8E06.pf
16.10.2007 17:58 14.636 HIJACKTHIS.EXE-28A24CBD.pf
16.10.2007 17:45 104.404 OUTLOOK.EXE-21C6162B.pf
16.10.2007 17:42 58.530 TASKMAN.EXE-02283313.pf
16.10.2007 17:42 14.986 SYMLCSVC.EXE-04DC2DC5.pf
16.10.2007 17:42 20.144 ALG.EXE-0F138680.pf
16.10.2007 17:42 18.068 IMAPI.EXE-0BF740A4.pf
16.10.2007 17:42 11.560 SYMLCSV1.EXE-20BD3332.pf
16.10.2007 17:42 22.104 RUNDLL32.EXE-35A483DA.pf
16.10.2007 12:32 51.754 NMIndexStoreSvr.exe-1DBCF9FD.pf
16.10.2007 12:32 15.466 NMINDEXINGSERVICE.EXE-19799BA6.pf
16.10.2007 09:59 6.508 LOGON.SCR-151EFAEA.pf
16.10.2007 09:45 53.212 HELPSVC.EXE-2878DDA2.pf
16.10.2007 08:50 375.084 Layout.ini
16.10.2007 07:57 27.404 RUNDLL32.EXE-1340EF7F.pf
16.10.2007 07:57 29.762 DLLML.EXE-0D28DCD9.pf
16.10.2007 07:57 16.196 NVRAIDSERVICE.EXE-1C06C75A.pf
16.10.2007 07:57 17.232 USERINIT.EXE-30B18140.pf
16.10.2007 07:57 88.714 CCAPP.EXE-2EA3695D.pf
16.10.2007 07:57 132.304 EXPLORER.EXE-082F38A9.pf
16.10.2007 07:57 27.720 NWIZ.EXE-2D0F9FBC.pf
16.10.2007 07:57 22.910 RUNDLL32.EXE-415F88EC.pf
15.10.2007 19:34 20.872 RUNDLL32.EXE-2A94BB85.pf
15.10.2007 19:25 14.328 TWO_WORLDS_SERVICE_RELEASE_1.-33FB5801.pf
15.10.2007 19:24 6.552 DXDLLREG.EXE-0C87AD0E.pf
15.10.2007 19:24 26.414 MSIEXEC.EXE-2F8A8CAE.pf
15.10.2007 19:24 22.596 VCREDI~3.EXE-20C4380F.pf
15.10.2007 19:24 10.382 VCREDI~4.EXE-2971D815.pf
15.10.2007 19:23 7.912 DXSETUP.EXE-1EF5D69E.pf
15.10.2007 19:23 11.718 PHYSX_~2.EXE-2F9D3204.pf
15.10.2007 19:10 12.584 RUNDLL32.EXE-451FC2C0.pf
15.10.2007 19:10 14.608 SETUP.EXE-393E66AE.pf
15.10.2007 19:10 12.784 AUTORUN.EXE-055703AF.pf
15.10.2007 19:10 40.236 SHFAYMZHLR.EXE-0FFD8CC5.pf
15.10.2007 19:10 14.806 OSCHECK.EXE-28DA21EB.pf
15.10.2007 13:20 72.702 DFRGNTFS.EXE-269967DF.pf
15.10.2007 13:20 16.518 DEFRAG.EXE-273F131E.pf
15.10.2007 11:42 66.122 INTEGRATOR.EXE-3967D297.pf
15.10.2007 11:31 84.854 REGISTRYCLEANER.EXE-17B6D63B.pf
15.10.2007 11:31 54.544 REGISTRYDEFRAG.EXE-3B4122CA.pf
15.10.2007 11:24 83.648 AD-AWARE2007.EXE-1AE91ED3.pf
15.10.2007 10:10 78.772 NAPSTER.EXE-2B6A5F0E.pf
15.10.2007 09:48 71.716 MSNMSGR.EXE-091111D0.pf
86 Datei(en) 5.249.598 Bytes
0 Verzeichnis(se), 19.764.207.616 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\WINDOWS

17.10.2007 06:31 0 0.log
17.10.2007 06:31 1.382.553 WindowsUpdate.log
17.10.2007 06:31 159 wiadebug.log
17.10.2007 06:31 50 wiaservc.log
17.10.2007 06:31 2.048 bootstat.dat
17.10.2007 06:29 23.278 SchedLgU.Txt
17.10.2007 06:21 250 gmer.ini
17.10.2007 06:14 80 gmer_uninstall.cmd
17.10.2007 06:14 585.791 gmer.dll
16.10.2007 18:24 69 NeroDigital.ini
12.10.2007 21:44 227 system.ini
12.10.2007 21:44 631 win.ini
04.10.2007 19:28 961.185 pack.epk
02.10.2007 23:08 151 PhotoSnapViewer.INI
08.09.2007 19:12 316.640 WMSysPr9.prx
08.09.2007 19:11 4.161 ODBCINST.INI
08.09.2007 15:45 20 rgsavpaint.rgk
31.08.2007 16:00 400 ODBC.INI
31.08.2007 12:02 0 AS_Debug.txt
31.08.2007 12:02 27.575 Ascd_tmp.ini
31.08.2007 11:57 0 Sti_Trace.log
31.08.2007 11:06 8.192 REGLOCS.OLD
31.08.2007 11:03 0 control.ini
31.08.2007 11:03 749 WindowsShell.Manifest
31.08.2007 11:01 37 vbaddin.ini
31.08.2007 11:01 36 vb.ini
15.08.2007 11:45 524.288 opuc.dll
29.06.2007 09:38 581.632 gmer.exe
27.06.2007 19:05 972.072 UNNeroMediaHome.exe
26.06.2007 14:12 972.072 UNNeroVision.exe
13.06.2007 15:21 1.036.288 explorer.exe

87 Datei(en) 24.994.460 Bytes
0 Verzeichnis(se), 19.763.023.872 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\WINDOWS\tasks

17.10.2007 06:31 6 SA.DAT
15.10.2007 20:00 660 Norton Internet Security - Systemprfung ausfhren - INr23I.job
12.10.2007 18:58 398 1-Klick-Wartung.job
28.02.2006 14:00 65 desktop.ini
4 Datei(en) 1.129 Bytes
0 Verzeichnis(se), 19.762.106.368 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\WINDOWS\temp

04.10.2007 19:29 10 msksetup.log
04.10.2007 19:28 961.126 NSIS_install_msgskinner.exe
31.08.2007 11:40 1.659 Norton_SPALOG_8_31_2007_772984.txt
31.08.2007 11:40 12.476 IDSinst.LOG
01.06.2005 03:02 65.536 CTPBSeq.exe
5 Datei(en) 1.040.807 Bytes
0 Verzeichnis(se), 19.761.254.400 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8045-855D

Verzeichnis von C:\DOKUME~1\INr23I\LOKALE~1\Temp

17.10.2007 06:51 130.255 filelist.txt
17.10.2007 06:31 32.768 ~DFDC45.tmp
17.10.2007 06:31 192 osCheck Vista Migration 2007-10-17 06h31m11s.log
17.10.2007 06:27 32.768 ~DFCDE3.tmp
17.10.2007 06:27 192 osCheck Vista Migration 2007-10-17 06h27m37s.log
16.10.2007 17:41 32.768 ~DF4934.tmp
16.10.2007 17:41 192 osCheck Vista Migration 2007-10-16 17h41m17s.log
16.10.2007 00:05 49.152 ~DF786A.tmp
15.10.2007 19:09 32.768 ~DF4ACC.tmp
15.10.2007 19:09 192 osCheck Vista Migration 2007-10-15 19h09m15s.log
15.10.2007 12:13 10.235.000 cra6.tmp
15.10.2007 12:13 10.235.000 cra5.tmp
15.10.2007 11:35 32.768 ~DF2C81.tmp
15.10.2007 11:35 192 osCheck Vista Migration 2007-10-15 11h35m35s.log
15.10.2007 10:43 32.768 ~DFAB4D.tmp
15.10.2007 09:36 32.768 ~DFFF88.tmp
15.10.2007 09:36 192 osCheck Vista Migration 2007-10-15 09h36m22s.log
15.10.2007 09:34 16.384 ~DFDA3B.tmp
15.10.2007 09:20 32.768 ~DFF2EC.tmp
15.10.2007 09:20 192 osCheck Vista Migration 2007-10-15 09h20m13s.log
13.10.2007 22:20 13.592 temp.ani
13.10.2007 22:20 212.992 drm_dyndata_7340007.dll
13.10.2007 22:14 32.768 ~DFD8A4.tmp
13.10.2007 22:14 192 osCheck Vista Migration 2007-10-13 22h14m35s.log
13.10.2007 14:32 16.384 ~DFEF18.tmp
13.10.2007 11:55 192 osCheck Vista Migration 2007-10-13 11h55m13s.log
12.10.2007 22:04 32.768 ~DFED6A.tmp
12.10.2007 22:04 192 osCheck Vista Migration 2007-10-12 22h04m29s.log
12.10.2007 20:50 416 java_install_reg.log
12.10.2007 20:47 114.688 ~DFAC71.tmp
12.10.2007 12:12 4.897 jusched.log
12.10.2007 12:07 32.768 ~DF529A.tmp
12.10.2007 12:07 192 osCheck Vista Migration 2007-10-12 12h07m36s.log
27.04.2007 03:13 14.204.468 setup_background.wav
02.04.2007 12:00 16.384 UNINST.EXE
23.08.2006 11:13 70.240 uni7.tmp
36 Datei(en) 35.682.412 Bytes
0 Verzeichnis(se), 19.764.199.424 Bytes frei

Geändert von Nr23 (17.10.2007 um 06:32 Uhr)

Alt 17.10.2007, 07:26   #9
KarlKarl
/// Helfer-Team
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Schon ok, dass die Datei weg ist. Deshalb ist der Mist nicht mehr aktiv. Weitere dazugehörige Dateien sind, die ebenfalls löschen:
Code:
ATTFilter
C:\WINDOWS\system32\shfaymzhlr_navps.dat
C:\WINDOWS\system32\shfaymzhlr.dat
C:\WINDOWS\system32\shfaymzhlr_nav.dat
         
Dann fallen diese Dateien auf, die bitte bei VirusTotal scannen lassen:
Code:
ATTFilter
C:\WINDOWS\system32\djythwoo.exe
C:\WINDOWS\system32\dgtahb.exe
C:\WINDOWS\system32\sqqsva.exe
         

Alt 17.10.2007, 14:56   #10
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Ich dank Dir Karl.
Bei dem scanen der Dateien kam folgendes heraus:


Datei sqqsva.exe
Ergebnis: 1/31 (3.23%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.17.1 2007.10.17 -
AntiVir 7.6.0.23 2007.10.17 -
Authentium 4.93.8 2007.10.17 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.17 -
BitDefender 7.2 2007.10.17 -
CAT-QuickHeal 9.00 2007.10.16 -
ClamAV 0.91.2 2007.10.16 -
DrWeb 4.44.0.09170 2007.10.17 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5216 2007.10.17 -
Ewido 4.0 2007.10.17 -
FileAdvisor 1 2007.10.17 -
Fortinet 3.11.0.0 2007.10.17 -
F-Prot 4.3.2.48 2007.10.17 -
F-Secure 6.70.13030.0 2007.10.17 -
Ikarus T3.1.1.12 2007.10.17 -
Kaspersky 7.0.0.125 2007.10.17 -
McAfee 5142 2007.10.16 -
Microsoft 1.2908 2007.10.16 -
NOD32v2 2597 2007.10.17 a variant of Win32/Adware.NaviPromo
Norman 5.80.02 2007.10.17 -
Panda 9.0.0.4 2007.10.16 -
Prevx1 V2 2007.10.17 -
Rising 19.45.22.00 2007.10.17 -
Sophos 4.22.0 2007.10.17 -
Sunbelt 2.2.907.0 2007.10.16 -
Symantec 10 2007.10.17 -
TheHacker 6.2.8.096 2007.10.17 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.16 -
weitere Informationen
File size: 274432 bytes
MD5: bad887425048699ad03f396ca69fb0d6
SHA1: 3f3814dc036ea8b51e770e423404a841cf895e0c
packers: Malware_Prot.U


Datei dgtahb.exe
Ergebnis: 1/31 (3.23%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.17.1 2007.10.17 -
AntiVir 7.6.0.23 2007.10.17 -
Authentium 4.93.8 2007.10.17 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.17 -
BitDefender 7.2 2007.10.17 -
CAT-QuickHeal 9.00 2007.10.16 -
ClamAV 0.91.2 2007.10.16 -
DrWeb 4.44.0.09170 2007.10.17 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5216 2007.10.17 -
Ewido 4.0 2007.10.17 -
FileAdvisor 1 2007.10.17 -
Fortinet 3.11.0.0 2007.10.17 -
F-Prot 4.3.2.48 2007.10.17 -
F-Secure 6.70.13030.0 2007.10.17 -
Ikarus T3.1.1.12 2007.10.17 -
Kaspersky 7.0.0.125 2007.10.17 -
McAfee 5142 2007.10.16 -
Microsoft 1.2908 2007.10.16 -
NOD32v2 2597 2007.10.17 a variant of Win32/Adware.NaviPromo
Norman 5.80.02 2007.10.17 -
Panda 9.0.0.4 2007.10.16 -
Prevx1 V2 2007.10.17 -
Rising 19.45.22.00 2007.10.17 -
Sophos 4.22.0 2007.10.17 -
Sunbelt 2.2.907.0 2007.10.16 -
Symantec 10 2007.10.17 -
TheHacker 6.2.8.096 2007.10.17 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.17 -
weitere Informationen
File size: 268288 bytes
MD5: 547389afc0d3ded7b06118567f9c2004
SHA1: 961767a1feb58282a78b15df254f77cdf6485baf


Datei djythwoo.exe
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.17.1 2007.10.17 -
AntiVir 7.6.0.23 2007.10.17 -
Authentium 4.93.8 2007.10.17 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.17 -
BitDefender 7.2 2007.10.17 -
CAT-QuickHeal 9.00 2007.10.16 -
ClamAV 0.91.2 2007.10.16 -
DrWeb 4.44.0.09170 2007.10.17 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5216 2007.10.17 -
Ewido 4.0 2007.10.17 -
FileAdvisor 1 2007.10.17 -
Fortinet 3.11.0.0 2007.10.17 -
F-Prot 4.3.2.48 2007.10.17 -
F-Secure 6.70.13030.0 2007.10.17 -
Ikarus T3.1.1.12 2007.10.17 -
Kaspersky 7.0.0.125 2007.10.17 -
McAfee 5142 2007.10.16 -
Microsoft 1.2908 2007.10.16 -
NOD32v2 2597 2007.10.17 -
Norman 5.80.02 2007.10.17 -
Panda 9.0.0.4 2007.10.16 -
Prevx1 V2 2007.10.17 -
Rising 19.45.22.00 2007.10.17 -
Sophos 4.22.0 2007.10.17 -
Sunbelt 2.2.907.0 2007.10.16 -
Symantec 10 2007.10.17 -
TheHacker 6.2.8.096 2007.10.17 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.17 -
Webwasher-Gateway 6.6.1 2007.10.17 -
weitere Informationen
File size: 276480 bytes
MD5: d39fafcb438628948c4ae25cd86439c9
SHA1: acd06bc867cf76fa6c21f432fd8c8422954b7678
packers: Malware_Prot.U



Reicht es wenn ich die Dateien lösche oder brauche ich ein Programm dafür?


Ich dachte immer mein System ist gut geschützt, verdammtes Norton


Edit:

Vielleicht bin ich ja jetzt ein bisschen Paranoid, habe gerade einen Interessanten Post gelesen
Und irgendwie kommen mir die Symptome bekannt vor, könnte es sich bei mir auch um Zlob handeln?

Geändert von Nr23 (17.10.2007 um 15:18 Uhr)

Alt 17.10.2007, 17:35   #11
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Ich glaube jetzt ist es an der Zeit in Panik auszubrechen!
Habe mal rein aus Interesse escan laufen lassen und folgendes gefunden:
Code:
ATTFilter
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL 
    
eScan Version: 9.4.7 
Sprache: German 
Virus-Datenbank Datum: 10/17/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with aureate Spyware/Adware (privacy policy.lnk)! Action taken: Keine Aktion vorgenommen. 
 System found infected with aureate Spyware/Adware (privacy policy.lnk)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with spywaresecure Corrupted Adware/Spyware (C:\WINDOWS\pack.epk)! Action taken: Keine Aktion vorgenommen. 
 System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\messengerskinner.exe//PE_Patch.UPX//UPX//EXE-file//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\175725.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\176275.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\180241.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\MessengerSkinner\uninst.exe//stream//data0005//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\Temp\NSIS_install_msgskinner.exe//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\system32\process.exe 
 Offending file found: C:\WINDOWS\system32\swreg.exe 
 Offending file found: C:\WINDOWS\system32\swsc.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Startmenü\programme\messengerskinner\privacy policy.lnk 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Startmenü\Programme\messengerskinner\privacy policy.lnk 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe 
 Offending file found: C:\WINDOWS\pack.epk 
 Offending file found: C:\WINDOWS\icons 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKCU\Software\livesvc !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\System Volume Information\_restore{DC0684E7-82F7-429B-B0AA-62762159D75E}\RP54\A0003361.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 88920 
 Gefundene Viren: 24 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 6 
 Dauer des Scans bisher: 00:35:09 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 18:28:42,15 
Batchende: 18:28:44,46
         


Was mache ich jetzt?
PS: Ach bitte sag mir nich das ich das OS neu aufsetzten muss!!!

Edit:
Ich versuche jetzt mal mit SmitfraudFix die Sachen unter Kontrolle zu bekommen.

Geändert von Nr23 (17.10.2007 um 18:11 Uhr)

Alt 17.10.2007, 18:33   #12
KarlKarl
/// Helfer-Team
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Immer die Ruhe bewahren

Bei den online gescannten Dateien wäre es sehr gut, dass Du von ihnen vor dem löschen ein Backup machst, indem Du sie in ein Zip packst. Dort können sie nichts böses tun, jedenfalls nicht solange Du sie nicht wieder rausholst. Das könnte was ganz neues sein, die sollten wir den Scannerherstellern zukommen lassen.

Besuche die Seite The Spykiller - Index und eröffne dort einen neuen Thread mit "New Topic", Du musst dafür nicht registriert sein. Fülle das Formular aus und gib im Beitrag dabei einen Link auf diesen Thread im Trojaner-Board an. Kopiere die vorhandenen Scanresultate für die Dateien. Mit "Durchsuchen ..." suche nun folgende Datei/en und lade sie als Anhang hoch.
  • Das Zip mit den archivierten Dateien
Danach klicke auf "Post". Die hochgeladenen Dateien wirst Du dort nachher nicht sehen können, da nur Benutzer mit einer besonderen Erlaubnis sie sehen und runterladen können. Poste bitte einen Link auf deinen Thread bei Spykiller hier. Danke.

Wegen dem Escan kann ich dich beruhigen, der Hauptteil der Meldungen sind die typischen Escanfehlalarme, es geht um Bestandteile des Smitfraudfix, die er nicht leiden kann. Anscheinend hast Du den schon früher eingesetzt. Lass ihn jetzt ruhig nochmal laufen, kopiere aber seine Logs hierher, damit wir sehen können, was er getan hat.

Weitere Escanmeldungen sind wegen dem "Tune up styler", ich wußte bisher nicht, dass der wie viele kostenlose Programme die Adware Whenu enthält. Das ist deine Entscheidung, diese Adware ist der Preis dafür, das Programm zu benutzen. Ich empfehle Deinstallation.

Dann geht es um Messengerskinner, anscheined ist der die Quelle der Navipromo-Infektion gewesen, den auf jeden Fall deinstallieren, Navipromo ist schon einen Grad schlimmer als Whenu.

Ein paar weitere Scans werden wohl noch erforderlich werden, es sieht aber nicht danach aus, dass Du neu installieren müsstest.

Alt 17.10.2007, 19:01   #13
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Also,
habe die Dateien auf der Seite hinterlassen:

1.dgtahb.rar
2.sqqsva.rar
3.shfaymzhlr.rar
4.djythwoo.rar

Link: Spykiller

Soll ich den link auch in das Forum Posten?!

Starte gleich eScan neu und Posten dann das Protokoll …

Edit:

Messenger Skinner lest sich nicht mehr deinstallieren, stürzt ab beim versuch es über Systemsteuerung/Software zu löschen.

Alt 17.10.2007, 20:18   #14
Nr23
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Leider kann ich nicht mehr Editieren, also Poste ich die Scans neu.
Hier noch mal die Logfile von eScan:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL 
    
eScan Version: 9.4.7 
Sprache: German 
Virus-Datenbank Datum: 10/17/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with spywaresecure Corrupted Adware/Spyware (C:\WINDOWS\pack.epk)! Action taken: Keine Aktion vorgenommen. 
 System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\messengerskinner.exe//PE_Patch.UPX//UPX//EXE-file//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\175725.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\176275.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\Tune up styler\180241.exe//WiseSFX Dropper//WISE0016.BIN markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{DC0684E7-82F7-429B-B0AA-62762159D75E}\RP103\A0008977.exe//stream//data0005//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\Temp\NSIS_install_msgskinner.exe//stream//data0006//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.NaviPromo.bu". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\process.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\reboot.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\swreg.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Desktop\smitfraudfix\smitfraudfix\swsc.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\process.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\reboot.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swreg.exe 
 Offending file found: C:\Dokumente und Einstellungen\INr23I\Eigene Dateien\smitfraudfix\swsc.exe 
 Offending file found: C:\WINDOWS\pack.epk 
 Offending file found: C:\WINDOWS\icons 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKCU\Software\livesvc !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\System Volume Information\_restore{DC0684E7-82F7-429B-B0AA-62762159D75E}\RP54\A0003361.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 87826 
 Gefundene Viren: 27 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 8 
 Dauer des Scans bisher: 00:43:36 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 21:05:06,89 
Batchende: 21:05:08,60
         
und das Logfile von SmitfraudFix
Code:
ATTFilter
SmitFraudFix v2.240

Scan done at 21:05:44,82, 17.10.2007
Run from C:\Dokumente und Einstellungen\INr23I\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt FOUND !
C:\WINDOWS\system32\systems.txt FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\INr23I


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\INr23I\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\INr23I\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{68828077-3CD3-43DF-B5EC-F974F71BFEF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{68828077-3CD3-43DF-B5EC-F974F71BFEF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         
Wie bekomme ich den Mist jetzt wieder los?

Alt 18.10.2007, 01:04   #15
KarlKarl
/// Helfer-Team
 
shfaymzhlr.exe - Standard

shfaymzhlr.exe



Ein Tip: Vor jedem neuen Escan die mwav.log löschen, sonst hängt der die neuen Meldungen einfach nur an und es sieht immer schlimmer aus. Man kann es auch nicht von Hand aussortieren, da dieses Auswertungsskript die Einträge mit Datum und Zeit des Scans vom Anfang der Zeilen löscht.

Dann setz noch mal ein aktuelles HijackThis rein.

Antwort

Themen zu shfaymzhlr.exe
ad-aware, adobe, bho, browser, dsl, excel, explorer, google, gservice, hijack, hijackthis, internet, internet explorer, internet security, monitor, nvidia, pdf, photoshop, programme, rundll, security, software, symantec, temp, unknown file in winsock lsp, usb, windows, windows xp




Zum Thema shfaymzhlr.exe - Hallo zusammen, ich hoffe ich Poste im richtigen Berreich. Seit einigen Tagen läuft dieses Prog im Hintergrund shfaymzhlr.exe. Es befindet sich im Ordner Win/System32. Ich kann es nicht zuordnen und - shfaymzhlr.exe...
Archiv
Du betrachtest: shfaymzhlr.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.