| |
| |||||||
Log-Analyse und Auswertung: Bitte um Auswertung eines HJT LogsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
25.01.2008, 11:35
| #1 |
| |  Bitte um Auswertung eines HJT Logs Hallo, mein Scanner meldet gelegentlich "Es wurde versucht auf eine infizierte Datei zuzugreifen, Beim Öffnen der Datei "C:\System Volume Information\_restore{38338F4C-B52B-4319-89D3-259C2C4C9FBC}\RP59\A0010542.exe" wurde der Virus "Trojan-Spy.Win32.Ardamax.n" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein." Logfile of HijackThis v1.99.1 Scan saved at 11:24:28, on 25.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\G DATA InternetSecurity\Firewall\Admin.exe C:\Dokumente und Einstellungen\*****\Eigene Dateien\Joys\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://home.deu.chello.at/ssi/welcome/welcome.php?url=search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v. F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196510186031 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe Vielen Dank schon mal, Gruß rolli |
|
25.01.2008, 12:30
| #2 |
| | Bitte um Auswertung eines HJT Logs Da die Edit Funktion anscheinend nicht funktioniert poste ich es neu...
__________________Code:
ATTFilter "Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"PC Suite Tray" = ""C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"ChelloDesktop" = "C:\Programme\chello\ChelloDesktop.exe" [file not found]
"ChelloBackground" = "C:\Programme\chello\ChelloMessenger.exe" [file not found]
"GDFirewallTray" = "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]
"AVKTray" = ""C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"" ["G DATA Software AG"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\phonebrowser.dll" ["Nokia"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe" [MS], [file not found], [file not found], [file not found]
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" ["G DATA Software AG"]
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" ["G DATA Software AG"]
Group Policies {policy setting}:
--------------------------------
Note: detected settings may not have any effect.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Startup items in "Gerhard" & "All Users" startup folders:
---------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]
Explorer Bars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"
{E19ADC6E-3909-43E4-9A89-B7B676377EE3}\
"ButtonText" = "Sothink SWF Catcher"
"MenuText" = "Sothink SWF Catcher"
"Script" = "C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm" [null data]
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AVK Service, AVKService, "C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe" ["G DATA Software AG"]
AVK Wächter, AVKWCtl, "C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe" ["G DATA Software AG"]
G DATA AntiVirus Proxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"]
G DATA Personal Firewall, GDFwSvc, "C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe" ["G DATA Software AG"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
ServiceLayer, ServiceLayer, ""C:\Programme\PC Connectivity Solution\ServiceLayer.exe"" ["Nokia."]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
Print Monitors:
---------------
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
hpzsnt12\Driver = "hpzsnt12.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
---------- (launch time: 2008-01-25 12:21:26)
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 82 seconds.
---------- (total run time: 128 seconds)
|
|
25.01.2008, 12:49
| #3 |
| /// TB-Ausbilder     | Bitte um Auswertung eines HJT Logs Hi,
__________________in den Logs ist erstmal kein Anzeichen von Ardamax zu finden. Arbeite aber bitte noch diese Anleitung ab: 1. Lade das filelist.zip auf deinen Desktop herunter.lg myrtille |
|
26.01.2008, 09:39
| #4 |
| | Bitte um Auswertung eines HJT Logs Hi myrtille, Vielen Dank! Code:
ATTFilter Verzeichnis von C:\
25.01.2008 16:05 1.610.612.736 pagefile.sys
01.12.2007 11:40 0 MSDOS.SYS
01.12.2007 11:40 0 IO.SYS
01.12.2007 11:40 0 AUTOEXEC.BAT
01.12.2007 11:40 0 CONFIG.SYS
01.12.2007 11:35 211 boot.ini
Verzeichnis von C:\WINDOWS\system32
25.01.2008 10:22 397.696 perfh009.dat
25.01.2008 10:22 59.916 perfc009.dat
25.01.2008 10:22 411.596 perfh007.dat
25.01.2008 10:22 72.694 perfc007.dat
25.01.2008 10:22 952.874 PerfStringBackup.INI
02.01.2008 19:21 17.642.616 MRT.exe
24.12.2007 18:19 116.560 FNTCACHE.DAT
Verzeichnis von C:\WINDOWS\Prefetch
25.01.2008 16:24 11.584 FIND.EXE-0EC32F1E.pf
25.01.2008 16:24 15.242 CMD.EXE-087B4001.pf
25.01.2008 16:18 17.074 NOTEPAD.EXE-336351A9.pf
25.01.2008 16:17 64.750 WINRAR.EXE-3588DFE8.pf
25.01.2008 16:17 73.694 ACRORD32INFO.EXE-19D979CC.pf
25.01.2008 16:17 25.334 VERCLSID.EXE-3667BD89.pf
25.01.2008 16:10 121.420 WLLOGINPROXY.EXE-33926225.pf
25.01.2008 16:10 115.894 IEXPLORE.EXE-2CA9778D.pf
25.01.2008 16:07 109.532 MSNMSGR.EXE-3ACF7E89.pf
25.01.2008 16:07 57.652 WUAUCLT.EXE-399A8E72.pf
25.01.2008 16:07 31.400 ADMIN.EXE-0F06146E.pf
25.01.2008 16:07 1.002.472 NTOSBOOT-B00DFAAD.pf
25.01.2008 12:41 41.050 NCLINSTALLER.EXE-29B54FA6.pf
25.01.2008 12:32 152.790 AVK.EXE-2AAFD14C.pf
25.01.2008 12:21 110.350 WMIPRVSE.EXE-28F301A9.pf
25.01.2008 12:21 30.102 WSCRIPT.EXE-32960AB9.pf
25.01.2008 12:05 18.952 QTTASK.EXE-2D7EEF34.pf
25.01.2008 11:42 85.632 ACRORD32.EXE-153330F0.pf
25.01.2008 11:29 97.232 AVKIS.EXE-03C3F026.pf
25.01.2008 11:24 64.556 HIJACKTHIS.EXE-2151C82B.pf
25.01.2008 11:24 65.314 SVCHOST.EXE-3530F672.pf
25.01.2008 11:22 4.410 DRVCTL.EXE-2FB66A0B.pf
25.01.2008 11:22 41.396 PCTSTRAY.EXE-19D5DE12.pf
25.01.2008 11:21 77.852 PCTSGUI.EXE-1D6925CB.pf
25.01.2008 11:21 33.378 SDLOADER.EXE-211412BD.pf
25.01.2008 11:13 34.894 RUNDLL32.EXE-1541125F.pf
25.01.2008 10:40 82.322 UPDATE.EXE-0C3CBDEF.pf
25.01.2008 10:28 31.632 AD-AWARE2007.EXE-1AE91ED3.pf
25.01.2008 10:27 29.798 AAWSERVICE.EXE-10F504AB.pf
25.01.2008 10:27 70.058 MSIEXEC.EXE-2F8A8CAE.pf
25.01.2008 10:27 53.696 AAW2007V7.0.2.3.EXE-333874DA.pf
25.01.2008 10:22 25.934 WMIADAP.EXE-2DF425B2.pf
25.01.2008 10:21 18.356 PCTSAUXS.EXE-248177B2.pf
25.01.2008 10:21 56.796 PCTSSVC.EXE-0922220E.pf
25.01.2008 10:20 26.338 RUNDLL32.EXE-1687FC74.pf
25.01.2008 10:20 40.066 IS-3MU14.TMP-09EF6FC8.pf
25.01.2008 10:20 21.708 SDSETUP.EXE-399D76C1.pf
25.01.2008 09:08 125.562 MSIMN.EXE-0B61806C.pf
25.01.2008 09:01 96.574 TEXTMESSAGEEDITOR.EXE-39773833.pf
25.01.2008 08:59 6.366 WUDFHOST.EXE-215E7549.pf
25.01.2008 08:58 126.802 WINWORD.EXE-3395695A.pf
25.01.2008 07:52 320.978 Layout.ini
25.01.2008 07:37 8.598 JAVA.EXE-0967259C.pf
25.01.2008 07:34 87.374 EXCEL.EXE-0DC93B7A.pf
24.01.2008 22:49 70.942 POWERPNT.EXE-28A8DBA4.pf
24.01.2008 12:19 18.640 BUNDESTROJANER.EXE-2A7C1AB5.pf
24.01.2008 12:19 17.536 SNDVOL32.EXE-383480B7.pf
24.01.2008 12:16 62.260 WMPLAYER.EXE-09969339.pf
24.01.2008 11:04 54.994 WMPLAYER.EXE-0996933B.pf
24.01.2008 08:48 17.896 HPZENG12.EXE-07E42CEC.pf
24.01.2008 08:48 22.192 HPZSTC12.EXE-2A807C2C.pf
24.01.2008 08:48 10.404 HPZIPM12.EXE-145E7369.pf
23.01.2008 15:05 19.590 LOGONUI.EXE-0AF22957.pf
23.01.2008 14:06 17.962 NETSTAT.EXE-2B2B4428.pf
23.01.2008 14:01 23.296 AU_.EXE-011FDF21.pf
23.01.2008 14:01 13.182 UNINSTALL.EXE-1CCCA8CC.pf
23.01.2008 14:01 55.438 RUNDLL32.EXE-13404D23.pf
23.01.2008 14:01 13.230 UNINSTALL.EXE-2C892FB2.pf
23.01.2008 14:00 15.892 REGSVR32.EXE-25EEFE2F.pf
23.01.2008 13:59 13.846 CLIENT.EXE-243320BF.pf
23.01.2008 13:58 9.732 WSCNTFY.EXE-1B24F5EB.pf
23.01.2008 12:43 44.690 FILEZILLA.EXE-21588CD1.pf
23.01.2008 12:06 17.552 AKV.EXE-088E00F6.pf
23.01.2008 12:06 29.350 HTV.EXE-1B1C7BEE.pf
23.01.2008 11:28 51.134 HELPSVC.EXE-2878DDA2.pf
23.01.2008 11:26 69.526 DFRGNTFS.EXE-269967DF.pf
23.01.2008 11:26 16.098 DEFRAG.EXE-273F131E.pf
23.01.2008 11:14 91.874 MSCORSVW.EXE-1BF30400.pf
23.01.2008 09:35 8.920 NGEN.EXE-38021CCC.pf
23.01.2008 09:34 29.460 ASPNET_REGIIS.EXE-009D6E80.pf
23.01.2008 09:34 23.778 MOFCOMP.EXE-01718E95.pf
23.01.2008 09:34 9.930 REGTLIBV12.EXE-0E2FA54B.pf
23.01.2008 09:32 61.720 SETUP.EXE-2A65B3F0.pf
22.01.2008 09:08 93.006 SETUP_WM.EXE-19AC5A9B.pf
19.01.2008 18:30 60.260 RUNDLL32.EXE-2E5AF1D7.pf
Verzeichnis von C:\WINDOWS
25.01.2008 16:06 1.940.673 WindowsUpdate.log
25.01.2008 16:05 50 wiaservc.log
25.01.2008 16:05 0 0.log
25.01.2008 16:05 159 wiadebug.log
25.01.2008 16:05 2.048 bootstat.dat
25.01.2008 12:42 32.626 SchedLgU.Txt
25.01.2008 12:42 960.303 setupapi.log
24.01.2008 11:13 116 NeroDigital.ini
22.01.2008 09:10 52.141 wmsetup.log
19.01.2008 18:30 624 win.ini
15.01.2008 16:33 348.160 eSellerateEngine.dll
15.01.2008 15:39 67.202 KB925902.log
15.01.2008 15:39 85.451 updspapi.log
14.01.2008 10:49 46.754 KB890859.log
09.01.2008 15:54 249.856 Setup1.exe
09.01.2008 15:54 73.216 ST6UNST.EXE
09.01.2008 09:26 109.425 iis6.log
09.01.2008 09:26 241.886 comsetup.log
09.01.2008 09:26 269.412 tsoc.log
09.01.2008 09:26 38.706 ocmsn.log
09.01.2008 09:26 145.663 ntdtcsetup.log
09.01.2008 09:26 11.431 KB941644.log
09.01.2008 09:26 1.355 imsins.log
09.01.2008 09:26 344.142 ocgen.log
09.01.2008 09:26 35.120 msgsocm.log
09.01.2008 09:26 690.301 FaxSetup.log
09.01.2008 09:26 11.534 KB943485.log
09.01.2008 09:26 1.355 imsins.BAK
08.01.2008 21:36 177.839 setupact.log
08.01.2008 21:29 22.696 DPINST.LOG
Verzeichnis von C:\WINDOWS\tasks
25.01.2008 16:05 6 SA.DAT
|
|
26.01.2008, 09:40
| #5 |
| | Bitte um Auswertung eines HJT LogsCode:
ATTFilter Verzeichnis von C:\WINDOWS\temp
25.01.2008 16:06 0 JETB2A6.tmp
25.01.2008 16:06 0 JETB1DB.tmp
25.01.2008 16:06 0 JETB1AC.tmp
25.01.2008 16:06 0 JET99A0.tmp
25.01.2008 11:23 0 JETAEBE.tmp
25.01.2008 11:23 0 JETAE9F.tmp
25.01.2008 11:23 0 JETAE70.tmp
25.01.2008 11:23 0 JET91F0.tmp
25.01.2008 07:33 0 JETA19F.tmp
25.01.2008 07:33 0 JET9D2B.tmp
25.01.2008 07:33 0 JET9C31.tmp
25.01.2008 07:32 0 JET8DF9.tmp
24.01.2008 22:49 410 cteng_index.dat
24.01.2008 17:12 0 JET8FB0.tmp
24.01.2008 17:12 0 JET8B1B.tmp
24.01.2008 17:12 0 JET888A.tmp
24.01.2008 17:12 0 JET8260.tmp
24.01.2008 16:18 0 JET9D89.tmp
24.01.2008 16:18 0 JET9971.tmp
24.01.2008 16:18 0 JET9877.tmp
24.01.2008 16:18 0 JET8976.tmp
24.01.2008 14:52 36.020 cteng_1_2_141201177055.dat
24.01.2008 14:52 64.364 cteng_1_1_141201177066.dat
24.01.2008 14:47 0 JET99AF.tmp
24.01.2008 14:47 0 JET9905.tmp
24.01.2008 14:47 0 JET9819.tmp
24.01.2008 14:46 0 JET8B78.tmp
24.01.2008 09:52 173.884 cteng_1_2_71201161071.dat
24.01.2008 09:52 165.808 cteng_1_2_51201158007.dat
24.01.2008 09:52 57.564 cteng_1_2_41201152830.dat
24.01.2008 09:52 87.864 cteng_1_2_181201145453.dat
24.01.2008 09:52 67.876 cteng_1_2_171201157105.dat
24.01.2008 09:52 83.880 cteng_1_2_161201153138.dat
24.01.2008 09:52 76.684 cteng_1_1_91201061447.dat
24.01.2008 09:52 69.952 cteng_1_1_81201111636.dat
24.01.2008 09:52 55.592 cteng_1_1_71201161073.dat
24.01.2008 09:52 67.516 cteng_1_1_41201154403.dat
24.01.2008 09:52 73.628 cteng_1_1_121201145503.dat
24.01.2008 09:52 67.244 cteng_1_1_111201111636.dat
24.01.2008 09:52 62.568 cteng_1_1_101201156204.dat
24.01.2008 08:44 0 JET9422.tmp
24.01.2008 08:44 0 JET8E66.tmp
24.01.2008 08:44 0 JET8D4D.tmp
24.01.2008 08:44 0 JET8792.tmp
23.01.2008 21:59 0 JET949F.tmp
23.01.2008 21:59 0 JET8FAF.tmp
23.01.2008 21:59 0 JET8E87.tmp
23.01.2008 21:59 0 JET8379.tmp
23.01.2008 19:38 0 JET95AA.tmp
23.01.2008 19:38 0 JET9366.tmp
23.01.2008 19:38 0 JET921E.tmp
23.01.2008 19:38 0 JET825F.tmp
23.01.2008 16:16 0 JET955B.tmp
23.01.2008 16:16 0 JET9318.tmp
23.01.2008 16:16 0 JET91A1.tmp
23.01.2008 16:16 0 JET903B.tmp
23.01.2008 10:03 0 JETC69D.tmp
23.01.2008 08:44 0 JETA9DC.tmp
23.01.2008 08:44 4.096 JETA97F.tmp
23.01.2008 08:44 262.144 JETA94F.tmp
23.01.2008 08:44 4.096 JET8D2D.tmp
22.01.2008 20:23 0 JET9D5B.tmp
22.01.2008 20:23 0 JET9A4E.tmp
22.01.2008 20:23 0 JET9839.tmp
22.01.2008 20:23 0 JET8425.tmp
22.01.2008 14:14 0 JETB006.tmp
22.01.2008 14:14 0 JETAFA8.tmp
22.01.2008 14:14 0 JETAF89.tmp
22.01.2008 14:14 0 JET92CA.tmp
22.01.2008 08:43 0 JET98F4.tmp
22.01.2008 08:43 0 JET982A.tmp
22.01.2008 08:43 0 JET9730.tmp
22.01.2008 08:43 0 JET836A.tmp
21.01.2008 18:38 48.896 cteng_1_2_151200897909.dat
21.01.2008 16:59 0 JET9CEC.tmp
21.01.2008 16:59 0 JET9C9E.tmp
21.01.2008 16:59 0 JET9C7E.tmp
21.01.2008 16:59 0 JET8699.tmp
21.01.2008 15:19 0 JET9462.tmp
21.01.2008 15:19 0 JET8E58.tmp
21.01.2008 15:19 0 JET8D3D.tmp
21.01.2008 15:19 0 JET85CA.tmp
21.01.2008 08:59 0 JETA037.tmp
21.01.2008 08:59 0 JET9FDA.tmp
21.01.2008 08:59 0 JET9FBC.tmp
21.01.2008 08:58 0 JET890A.tmp
20.01.2008 20:49 0 JET8B1A.tmp
20.01.2008 20:49 0 JET8721.tmp
20.01.2008 20:49 0 JET854E.tmp
20.01.2008 20:49 0 JET7D2E.tmp
20.01.2008 20:05 0 JETA2D8.tmp
20.01.2008 20:05 0 JETA141.tmp
20.01.2008 20:05 0 JETA0D4.tmp
20.01.2008 20:05 0 JET8698.tmp
20.01.2008 08:59 182.252 cteng_1_2_131200814206.dat
20.01.2008 08:47 0 JETA056.tmp
20.01.2008 08:47 0 JET9FF9.tmp
20.01.2008 08:47 0 JET9FD9.tmp
20.01.2008 08:47 0 JET8B96.tmp
19.01.2008 15:36 0 JET9B66.tmp
19.01.2008 15:36 0 JET9A1E.tmp
19.01.2008 15:36 0 JET98E5.tmp
19.01.2008 15:36 0 JET8CA0.tmp
19.01.2008 08:48 0 JETA086.tmp
19.01.2008 08:48 0 JET9F2E.tmp
19.01.2008 08:48 0 JET9D88.tmp
19.01.2008 08:48 0 JET8BB8.tmp
18.01.2008 15:52 0 JETA5B5.tmp
18.01.2008 15:52 0 JETA589.tmp
18.01.2008 15:52 0 JETA568.tmp
18.01.2008 15:52 0 JET8E19.tmp
18.01.2008 08:40 0 JET9F7E.tmp
18.01.2008 08:40 0 JET9F4D.tmp
18.01.2008 08:40 0 JET9F3D.tmp
18.01.2008 08:40 0 JET8ABB.tmp
17.01.2008 18:39 197.472 cteng_1_2_31200591308.dat
17.01.2008 15:51 0 JETA5A6.tmp
17.01.2008 15:51 0 JETA588.tmp
17.01.2008 15:51 0 JETA567.tmp
17.01.2008 15:51 0 JET8DF8.tmp
17.01.2008 12:00 0 JETA26A.tmp
17.01.2008 12:00 0 JETA21D.tmp
17.01.2008 12:00 0 JETA1DD.tmp
17.01.2008 12:00 0 JET86C5.tmp
17.01.2008 11:09 0 JET9EC0.tmp
17.01.2008 11:09 0 JET9E72.tmp
17.01.2008 11:09 0 JET9E53.tmp
17.01.2008 11:09 0 JET8C03.tmp
17.01.2008 08:50 0 JETA6EF.tmp
17.01.2008 08:50 0 JETA6BF.tmp
17.01.2008 08:50 0 JETA6AF.tmp
17.01.2008 08:50 0 JET8AAD.tmp
16.01.2008 15:16 0 JET9849.tmp
16.01.2008 15:16 0 JET96F3.tmp
16.01.2008 15:16 0 JET94AE.tmp
16.01.2008 15:16 0 JET8DC9.tmp
16.01.2008 09:07 0 JETA587.tmp
16.01.2008 09:07 0 JETA559.tmp
16.01.2008 09:07 0 JETA548.tmp
16.01.2008 09:06 0 JET8D6C.tmp
15.01.2008 15:41 0 JET8E76.tmp
15.01.2008 15:41 0 JET8CF0.tmp
15.01.2008 15:41 0 JET8BE4.tmp
15.01.2008 15:41 0 JET8166.tmp
15.01.2008 15:34 0 JETB267.tmp
15.01.2008 15:34 0 JETB239.tmp
15.01.2008 15:34 0 JETB229.tmp
15.01.2008 15:33 0 JET99DF.tmp
15.01.2008 09:03 0 JET9A4D.tmp
15.01.2008 09:03 0 JET9898.tmp
15.01.2008 09:03 0 JET9700.tmp
15.01.2008 09:03 0 JET950C.tmp
14.01.2008 15:36 0 JETAB91.tmp
14.01.2008 15:36 4.096 JETA99D.tmp
14.01.2008 15:36 274.432 JETA7D8.tmp
14.01.2008 15:35 4.096 JET90D6.tmp
14.01.2008 11:27 0 JET9645.tmp
14.01.2008 11:27 0 JET954A.tmp
14.01.2008 11:27 0 JET9421.tmp
14.01.2008 11:27 0 JET88BA.tmp
14.01.2008 10:35 0 JET9F0E.tmp
14.01.2008 10:35 0 JET9A7A.tmp
14.01.2008 10:35 0 JET9952.tmp
14.01.2008 10:35 0 JET8F80.tmp
14.01.2008 10:31 0 JET1061.tmp
14.01.2008 10:29 0 JETA171.tmp
14.01.2008 10:29 0 JET9F7D.tmp
14.01.2008 10:29 0 JET9DD6.tmp
14.01.2008 10:29 0 JET9848.tmp
14.01.2008 09:09 0 JET9328.tmp
14.01.2008 09:09 0 JET8F93.tmp
14.01.2008 09:09 0 JET8E86.tmp
14.01.2008 09:09 0 JET8A2F.tmp
14.01.2008 09:06 0 JET9E34.tmp
14.01.2008 09:06 0 JET9C6E.tmp
14.01.2008 09:06 0 JET9C5F.tmp
14.01.2008 09:06 0 JET8925.tmp
13.01.2008 17:23 0 JET972F.tmp
13.01.2008 17:23 0 JET929B.tmp
13.01.2008 17:23 0 JET920F.tmp
13.01.2008 17:23 0 JET88F6.tmp
13.01.2008 09:40 0 JET9C40.tmp
13.01.2008 09:40 0 JET9BF2.tmp
13.01.2008 09:40 0 JET9BC3.tmp
13.01.2008 09:39 0 JET8675.tmp
12.01.2008 16:41 0 JET9FBB.tmp
12.01.2008 16:41 0 JET9F7C.tmp
12.01.2008 16:41 0 JET9F6C.tmp
12.01.2008 16:41 0 JET89C1.tmp
12.01.2008 09:04 0 JET96F2.tmp
12.01.2008 09:04 0 JET95B8.tmp
12.01.2008 09:04 0 JET94BF.tmp
12.01.2008 09:03 0 JET8879.tmp
11.01.2008 18:30 0 JET9357.tmp
11.01.2008 18:30 0 JET924E.tmp
11.01.2008 18:30 0 JET9153.tmp
11.01.2008 18:30 0 JET802E.tmp
11.01.2008 17:40 0 JET8E65.tmp
11.01.2008 17:40 0 JET8BF4.tmp
11.01.2008 17:40 0 JET8AEB.tmp
11.01.2008 17:40 0 JET84EF.tmp
11.01.2008 14:52 0 JET9C9D.tmp
11.01.2008 14:52 0 JET9C4F.tmp
11.01.2008 14:52 0 JET9C30.tmp
11.01.2008 14:52 0 JET8407.tmp
11.01.2008 08:47 0 JETA2C8.tmp
11.01.2008 08:47 0 JETA0E3.tmp
11.01.2008 08:47 0 JET9FBA.tmp
11.01.2008 08:47 0 JET904B.tmp
10.01.2008 18:33 0 JETA307.tmp
10.01.2008 18:33 0 JETA2D7.tmp
10.01.2008 18:33 0 JETA2A8.tmp
10.01.2008 18:33 0 JET8E18.tmp
10.01.2008 15:42 0 JETA74C.tmp
10.01.2008 15:42 0 JETA70D.tmp
10.01.2008 15:42 0 JETA6EE.tmp
10.01.2008 15:42 0 JET90E7.tmp
10.01.2008 10:14 0 JETA97E.tmp
10.01.2008 10:14 0 JETA865.tmp
10.01.2008 10:14 0 JETA76B.tmp
10.01.2008 10:14 0 JET9BF1.tmp
09.01.2008 20:25 0 JETA2B8.tmp
09.01.2008 20:25 0 JETA170.tmp
09.01.2008 20:25 0 JETA0D3.tmp
09.01.2008 20:25 0 JET978C.tmp
09.01.2008 17:25 0 JET9F1E.tmp
09.01.2008 17:25 0 JET9DF6.tmp
09.01.2008 17:25 0 JET9CEB.tmp
09.01.2008 17:25 0 JET91EF.tmp
09.01.2008 15:37 0 JET9C20.tmp
09.01.2008 15:37 0 JET9B07.tmp
09.01.2008 15:37 0 JET9A1D.tmp
09.01.2008 15:37 0 JET951B.tmp
09.01.2008 09:28 0 JET8CB1.tmp
09.01.2008 09:28 0 JET8A3F.tmp
09.01.2008 09:28 0 JET8909.tmp
09.01.2008 09:28 0 JET8398.tmp
09.01.2008 09:08 0 JETA901.tmp
09.01.2008 09:08 0 JETA7F8.tmp
09.01.2008 09:08 0 JETA690.tmp
09.01.2008 09:08 0 JET97EB.tmp
08.01.2008 21:36 11.847 wudf_update.log
08.01.2008 21:36 596 hpzcoi07.log
08.01.2008 21:36 596 hpzcoi06.log
08.01.2008 21:11 0 JETA0A5.tmp
08.01.2008 21:11 0 JETA085.tmp
08.01.2008 21:11 0 JETA066.tmp
08.01.2008 21:11 0 JET87EE.tmp
08.01.2008 18:10 0 JET8FBC.tmp
08.01.2008 18:10 0 JET8E85.tmp
08.01.2008 18:10 0 JET8D7C.tmp
08.01.2008 18:10 0 JET81B4.tmp
08.01.2008 15:34 0 JET9904.tmp
08.01.2008 15:34 0 JET98D5.tmp
08.01.2008 15:34 0 JET97EA.tmp
08.01.2008 15:34 0 JET8667.tmp
08.01.2008 12:10 0 JET9B65.tmp
08.01.2008 12:10 0 JET9B36.tmp
08.01.2008 12:10 0 JET9B27.tmp
08.01.2008 12:10 0 JET8889.tmp
08.01.2008 08:36 0 JET8CC0.tmp
08.01.2008 08:36 0 JET8BB7.tmp
08.01.2008 08:36 0 JET8AAC.tmp
08.01.2008 08:36 0 JET7DDA.tmp
07.01.2008 20:01 0 JET8165.tmp
07.01.2008 20:01 0 JET802D.tmp
07.01.2008 20:01 0 JET7ED5.tmp
07.01.2008 20:01 0 JET7DBB.tmp
07.01.2008 13:36 0 JET96D1.tmp
07.01.2008 13:36 0 JET9685.tmp
07.01.2008 13:36 253.952 JET9664.tmp
07.01.2008 13:36 4.096 JET833A.tmp
07.01.2008 09:16 0 JET9838.tmp
07.01.2008 09:16 0 JET9809.tmp
07.01.2008 09:16 0 JET97DB.tmp
07.01.2008 09:16 0 JET8406.tmp
06.01.2008 20:54 0 JET8D7B.tmp
06.01.2008 20:54 0 JET8C43.tmp
06.01.2008 20:54 0 JET8B19.tmp
06.01.2008 20:54 0 JET7F63.tmp
06.01.2008 14:54 0 JET9E14.tmp
06.01.2008 14:54 0 JET9DF5.tmp
06.01.2008 14:54 0 JET9DE5.tmp
06.01.2008 14:54 0 JET8145.tmp
06.01.2008 08:42 0 JET8714.tmp
06.01.2008 08:42 0 JET859C.tmp
06.01.2008 08:42 0 JET8415.tmp
06.01.2008 08:42 0 JET7E67.tmp
06.01.2008 07:33 0 JET91C0.tmp
06.01.2008 07:33 0 JET9191.tmp
06.01.2008 07:33 0 JET90F6.tmp
06.01.2008 07:33 0 JET7CD1.tmp
05.01.2008 18:28 0 JET8DA9.tmp
05.01.2008 18:28 0 JET8D8B.tmp
05.01.2008 18:28 0 JET8D5D.tmp
05.01.2008 18:28 0 JET7B0E.tmp
05.01.2008 15:30 0 JET8955.tmp
05.01.2008 15:30 0 JET883B.tmp
05.01.2008 15:30 0 JET8705.tmp
05.01.2008 15:30 0 JET7D12.tmp
05.01.2008 09:18 0 JET884B.tmp
05.01.2008 09:18 0 JET8713.tmp
05.01.2008 09:18 0 JET85F8.tmp
05.01.2008 09:18 0 JET7D40.tmp
04.01.2008 19:23 0 JET922D.tmp
04.01.2008 19:23 0 JET90E6.tmp
04.01.2008 19:23 0 JET8FCF.tmp
04.01.2008 19:23 0 JET7E19.tmp
04.01.2008 16:10 0 JET7B7A.tmp
04.01.2008 16:10 0 JET7937.tmp
04.01.2008 16:10 0 JET783D.tmp
04.01.2008 16:10 0 JET7426.tmp
04.01.2008 16:07 0 JET805C.tmp
04.01.2008 16:07 0 JET7EA8.tmp
04.01.2008 16:07 0 JET7D11.tmp
04.01.2008 16:07 0 JET7946.tmp
04.01.2008 16:04 0 JET949E.tmp
04.01.2008 16:04 0 JET9451.tmp
04.01.2008 16:04 0 JET9441.tmp
04.01.2008 16:04 0 JET80D8.tmp
04.01.2008 08:55 0 JET8908.tmp
04.01.2008 08:55 0 JET8791.tmp
04.01.2008 08:55 0 JET853D.tmp
04.01.2008 08:55 0 JET7E29.tmp
04.01.2008 07:52 0 JET8FE0.tmp
04.01.2008 07:52 0 JET8FAE.tmp
04.01.2008 07:52 0 JET8F92.tmp
04.01.2008 07:52 0 JET7CC1.tmp
03.01.2008 21:53 0 JET948F.tmp
03.01.2008 21:53 0 JET9470.tmp
03.01.2008 21:53 0 JET9450.tmp
03.01.2008 21:53 0 JET7F24.tmp
03.01.2008 16:18 0 JET8BD5.tmp
03.01.2008 16:18 0 JET8AEA.tmp
03.01.2008 16:18 0 JET8975.tmp
03.01.2008 16:18 0 JET79F2.tmp
03.01.2008 12:15 0 JET9183.tmp
03.01.2008 12:15 0 JET9163.tmp
03.01.2008 12:15 0 JET9115.tmp
03.01.2008 12:15 0 JET7CE1.tmp
03.01.2008 08:53 0 JET807A.tmp
03.01.2008 08:53 0 JET7ED4.tmp
03.01.2008 08:53 0 JET7D4F.tmp
03.01.2008 08:53 0 JET7C35.tmp
02.01.2008 11:52 180.224 JET8F40.tmp
02.01.2008 11:52 8.192 JET8EC2.tmp
02.01.2008 11:52 262.144 JET8DE8.tmp
02.01.2008 11:52 4.096 JET7EF4.tmp
02.01.2008 08:53 0 JET90E5.tmp
02.01.2008 08:53 0 JET9098.tmp
02.01.2008 08:53 0 JET907A.tmp
02.01.2008 08:53 0 JET7DFA.tmp
01.01.2008 16:03 0 JET9385.tmp
01.01.2008 16:03 0 JET8E57.tmp
01.01.2008 16:03 0 JET8CEF.tmp
01.01.2008 16:03 0 JET81A4.tmp
01.01.2008 12:06 0 JET9BD2.tmp
01.01.2008 12:06 0 JET953B.tmp
01.01.2008 12:06 0 JET93B5.tmp
01.01.2008 12:06 0 JET8E07.tmp
01.01.2008 09:32 0 JET9684.tmp
01.01.2008 09:32 0 JET8FCE.tmp
01.01.2008 09:32 0 JET8D1D.tmp
01.01.2008 09:32 0 JET84FF.tmp
31.12.2007 22:03 0 JET9376.tmp
31.12.2007 22:03 0 JET8FCD.tmp
31.12.2007 22:03 0 JET8EA4.tmp
31.12.2007 22:03 0 JET8481.tmp
31.12.2007 16:47 0 JET8A8D.tmp
31.12.2007 16:47 0 JET85DA.tmp
31.12.2007 16:47 0 JET8453.tmp
31.12.2007 16:47 0 JET8405.tmp
31.12.2007 09:40 444.724 cteng_1_1_131199082605.dat
31.12.2007 09:24 0 JET90C7.tmp
31.12.2007 09:24 0 JET9089.tmp
31.12.2007 09:24 225.280 JET9079.tmp
31.12.2007 09:24 4.096 JET7F34.tmp
30.12.2007 15:38 0 JET8697.tmp
30.12.2007 15:38 0 JET80E8.tmp
30.12.2007 15:38 0 JET7FDE.tmp
30.12.2007 15:38 0 JET7F62.tmp
30.12.2007 09:14 0 JET9105.tmp
30.12.2007 09:14 0 JET8FDF.tmp
30.12.2007 09:14 0 JET8E84.tmp
30.12.2007 09:14 0 JET803C.tmp
29.12.2007 16:57 0 JET8CEE.tmp
29.12.2007 16:57 0 JET8907.tmp
29.12.2007 16:57 0 JET880C.tmp
29.12.2007 16:57 0 JET7D10.tmp
29.12.2007 12:41 0 JET82CC.tmp
29.12.2007 12:41 0 JET80F7.tmp
29.12.2007 12:41 0 JET7FAF.tmp
29.12.2007 12:41 0 JET7F33.tmp
29.12.2007 09:19 0 JET854D.tmp
29.12.2007 09:19 0 JET8444.tmp
29.12.2007 09:19 0 JET8280.tmp
29.12.2007 09:19 0 JET8116.tmp
28.12.2007 15:59 0 JET8CB0.tmp
28.12.2007 15:59 8.192 JET8B38.tmp
28.12.2007 15:59 290.816 JET8A9C.tmp
28.12.2007 15:59 4.096 JET7ACD.tmp
28.12.2007 09:16 0 JET8FDE.tmp
28.12.2007 09:16 0 JET8F03.tmp
28.12.2007 09:16 0 JET8DF7.tmp
28.12.2007 09:16 0 JET7D5D.tmp
27.12.2007 16:18 0 JET8378.tmp
27.12.2007 16:18 0 JET824F.tmp
27.12.2007 16:18 0 JET81F1.tmp
27.12.2007 16:18 0 JET7CE0.tmp
27.12.2007 11:45 0 JET8732.tmp
27.12.2007 11:45 0 JET8627.tmp
27.12.2007 11:45 0 JET83B7.tmp
27.12.2007 11:45 0 JET7E28.tmp
27.12.2007 09:00 0 JET900B.tmp
27.12.2007 09:00 0 JET8FEC.tmp
27.12.2007 09:00 0 JET8FCC.tmp
27.12.2007 09:00 0 JET7D0F.tmp
27.12.2007 07:45 0 JET829D.tmp
27.12.2007 07:45 0 JET8195.tmp
27.12.2007 07:45 0 JET802C.tmp
27.12.2007 07:45 0 JET7EC6.tmp
26.12.2007 16:32 0 JETC16B.tmp
26.12.2007 16:32 0 JETBFC5.tmp
26.12.2007 16:32 290.816 JETBEDB.tmp
26.12.2007 16:31 4.096 JETBA66.tmp
26.12.2007 11:17 0 JET8ED2.tmp
26.12.2007 11:17 0 JET8A8C.tmp
26.12.2007 11:17 0 JET89A2.tmp
26.12.2007 11:17 0 JET82FB.tmp
26.12.2007 09:43 0 JET8DBA.tmp
26.12.2007 09:43 0 JET8974.tmp
26.12.2007 09:43 0 JET8742.tmp
26.12.2007 09:43 0 JET827F.tmp
25.12.2007 20:47 0 JET9182.tmp
25.12.2007 20:47 0 JET9144.tmp
25.12.2007 20:47 0 JET90B6.tmp
25.12.2007 20:47 0 JET806B.tmp
25.12.2007 15:09 0 JET8FDD.tmp
25.12.2007 15:09 0 JET8F6E.tmp
25.12.2007 15:09 0 JET8F32.tmp
25.12.2007 15:09 0 JET7DAB.tmp
25.12.2007 09:46 0 JET857C.tmp
25.12.2007 09:46 0 JET808B.tmp
25.12.2007 09:46 0 JET7F61.tmp
25.12.2007 09:46 0 JET7A21.tmp
25.12.2007 09:37 0 JETAF79.tmp
25.12.2007 09:37 0 JETAEFC.tmp
25.12.2007 09:37 0 JETAE8F.tmp
25.12.2007 09:37 0 JET8BB6.tmp
25.12.2007 08:25 0 JET8ADA.tmp
25.12.2007 08:25 0 JET8712.tmp
25.12.2007 08:25 0 JET8618.tmp
25.12.2007 08:25 0 JET7D02.tmp
Verzeichnis von C:\DOKUME~1\*****\LOKALE~1\Temp
25.01.2008 16:24 161.486 filelist.txt
25.01.2008 16:10 1.749 jusched.log
25.01.2008 16:07 512 ~DFC126.tmp
25.01.2008 16:07 229.376 ~DFC10F.tmp
25.01.2008 16:07 229.376 ~DF9DFD.tmp
25.01.2008 16:07 512 ~DF9E13.tmp
25.01.2008 16:06 107 STS11.tmp
25.01.2008 16:05 1.285 MARB.tmp
25.01.2008 12:41 607.282 hpodvd09.log
25.01.2008 11:42 2.288 java_install_reg.log
25.01.2008 11:23 107 STS10.tmp
25.01.2008 11:23 1.285 MARA.tmp
25.01.2008 10:21 73.203 Setup Log 2008-01-25 #001.txt
25.01.2008 07:32 107 STSF.tmp
25.01.2008 07:32 1.285 MAR9.tmp
24.01.2008 17:12 107 STSC.tmp
24.01.2008 17:12 1.285 MAR8.tmp
24.01.2008 16:18 107 STSB.tmp
24.01.2008 16:18 1.285 MAR7.tmp
24.01.2008 14:46 107 STSA.tmp
24.01.2008 14:46 1.285 MAR6.tmp
24.01.2008 12:20 4.972 ~sl122039~.mid
24.01.2008 12:17 1.430 wmplog01.sqm
24.01.2008 11:13 1.430 wmplog00.sqm
24.01.2008 08:49 107 STS47.tmp
24.01.2008 08:48 47.122 DIO44.tmp
24.01.2008 08:44 1.285 MAR5.tmp
23.01.2008 21:59 107 STS7.tmp
23.01.2008 21:59 1.285 MAR4.tmp
23.01.2008 20:25 107 STS4F.tmp
23.01.2008 20:21 47.122 DIO43.tmp
23.01.2008 20:21 47.122 DIO41.tmp
23.01.2008 19:38 1.285 MAR3.tmp
23.01.2008 17:04 107 STS56.tmp
23.01.2008 17:02 47.122 DIO53.tmp
23.01.2008 17:02 47.122 DIO52.tmp
23.01.2008 16:15 1.285 MAR2.tmp
23.01.2008 11:01 541.646 @1A6.tmp
23.01.2008 10:09 959.376 @140.tmp
23.01.2008 09:35 1.602 uxeventlog.txt
23.01.2008 09:35 66.094 dd_dotnetfx20install.txt
23.01.2008 09:35 12.090.836 dd_NET_Framework20_Setup3759.txt
23.01.2008 09:34 5.158 ASPNETSetup_00000.log
23.01.2008 09:32 21.448 dd_depcheck_NETFX20_EXP_35.txt
23.01.2008 09:32 2 dd_dotnetfx20error.txt
23.01.2008 08:44 107 STS4.tmp
23.01.2008 08:44 1.285 MAR1.tmp
21.01.2008 16:40 108 D653F3EC.TMP
|
|
26.01.2008, 15:06
| #6 |
| /// TB-Ausbilder | Bitte um Auswertung eines HJT Logs Hi, die Logs sehen soweit gut aus. Ardamax wird allerdings eigentlich auch gut erkannt, sodass ein Befall recht unwahrscheinlich war. Sicherheitshalber würde ich dir noch empfehlen einen Rootkitscanner drüberlaufen zu lassen, ich erwarte allerdings keine bösen Überraschungen. Benutze dafür zb Blacklight . Um die Meldung zu löschen, solltest du einfach die Systemwiederherstellung deaktivieren. Unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren" setzen. Den Rechner runterfahren und beim nächsten Neustartkannst du den Haken wieder rausnehmen. Damit sollten sämtliche Wiederherstellungspunkte gelöscht werden. lg myrtille |
|
| Themen zu Bitte um Auswertung eines HJT Logs |
| ad-aware, adobe, antivirus, bho, datei gelöscht, dll, einstellungen, excel, explorer, firewall, g data, hijack, hijackthis, infizierte, infizierte datei, internet, internet explorer, nvidia, pdf, quara, rundll, scan, security, software, solution, spyware, system, userinit.exe, virus, windows, windows xp |
Hybrid-Darstellung
