Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antivirus Xp 2008 - Logfiles

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.08.2008, 12:20   #1
Finn
 
Antivirus Xp 2008 - Logfiles - Standard

Antivirus Xp 2008 - Logfiles



Guten Morgen,
gestern habe ich festestellen müssen, dass ich mir diesen Antivirus Xp 2008 eingefangen habe
Habe erstmal Malewarebytes durchlaufen lassen und dachte damit sei die Sache erledigt.
Leider stellte ich heute morgen fest, dass bei meinen beiden E-Mail Adressen alle Mail gelöscht wurde. Habe mir dann ein HijackThis Log Online auswerten lassen und alles gefixt, was HijackThis irgendwie als schädlich erkannte.
Dann habe ich alle Passwörter geändert und mache nun einen Online Scan mit Kaspersky.
Trozdem möchte ich nochmal die Log's von HijackThis und Malwarebytes posten und darum bitten, dass sie sich jemand ansieht, damit nicht doch noch irgendwas übrig bleibt.

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1065
Windows 5.1.2600 Service Pack 2

13:55:59 18.08.2008
mbam-log-08-18-2008 (13-55-59).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 144538
Laufzeit: 1 hour(s), 5 minute(s), 13 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 57

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphcrfdj0er4a.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcrfdj0er4a (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc88.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc89.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc91.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Eigene Dateien\HDD2\Unknown\Dc89\Unbekannt\Dc92.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HZQOSR6\winvsnet[1].exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP67\A0008717.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP67\A0008756.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CF8CFC64-DB77-40B2-8027-2050579EE865}\RP68\A0009664.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\WINDOWS\Rmlubg\asappsrv.dll (Adware.CommAd) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc88.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc89.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc91.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\HDD2\Unknown\Dc89\Unbekannt\Dc92.avi (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\explore.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\svchost32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\internet.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cpan.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\ctfmon32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\ctrlpan.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\directx32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\dnsrelay.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\editpad.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\Explorer32.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\funniest.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\funny.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\gfmnaaa.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\helpcvs.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\inetinf.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\msconfd.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\msspi.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\mswsc10.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\mswsc20.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\qttasks.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\quicken.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll32.vbe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\searchword.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\sistem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\svcinit.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\time.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\win32e.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcrfdj0er4a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcrfdj0er4a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Temp\wavvsnet.exe (Trojan.Agent) -> Quarantined and deleted successfully.





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:27, on 19.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\MMKeybd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ 6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Office Keyboard] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ 6\ICQ.exe" silent
O4 - HKCU\..\Run: [Hoae] "C:\PROGRA~1\STEM32~1\notepad.exe" -vt yazb
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207505133125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207505127000
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB7D7259-D46D-4F82-B6F9-AA6918251A0D}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6015 bytes

Wäre wirklich prima wenn mir jemand helfen könnte

Alt 19.08.2008, 13:43   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivirus Xp 2008 - Logfiles - Cool

Antivirus Xp 2008 - Logfiles



Hallo und

Zitat:
Leider stellte ich heute morgen fest, dass bei meinen beiden E-Mail Adressen alle Mail gelöscht wurde.
Von wo? Aufm POP3-Server gelöscht oder aus Deinem Mailprogramm heraus?

Code:
ATTFilter
O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing)
         
Mit HijackThis fixen!

Mach einen Durchlauf mit Combofix, wenn das durch ist auch ein neues mit HijackThis und poste beide:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________

__________________

Alt 19.08.2008, 13:51   #3
Finn
 
Antivirus Xp 2008 - Logfiles - Standard

Antivirus Xp 2008 - Logfiles



Die Email's wurden vom Server gelöscht, ein Mailprogramm hab ich nicht.

O20 - Winlogon Notify: mlJCVlMc - mlJCVlMc.dll (file missing) Hab ist gefixt

Combofix werd ich sofort nach dem Kaspersky scan ausführen, den will ich nicht abbrechen weil der grad bei 89% ist

Vielen dank für die Hilfe!

Edit: So hier der Log von Combofix

ComboFix 08-08-18.04 - Finn 2008-08-19 14:11:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1626 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Finn\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Finn\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET\s?oolsv.exe
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RM33EP5L\interclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RM33EP5L\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Dokumente und Einstellungen\Finn\UserData
C:\Dokumente und Einstellungen\Finn\UserData\7IHO4VQJ\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\index.dat
C:\Dokumente und Einstellungen\Finn\UserData\SAICLH84\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\ZN4AAQ36\oWindowsUpdate[1].xml
C:\Programme\stem32~1
C:\Programme\stem32~1\??stem32\
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\system32\hljwugsf.bin
C:\WINDOWS\system32\jfrfdnig.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\WxxGNnnn.ini
C:\WINDOWS\system32\WxxGNnnn.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-19 11:46 . 2008-08-19 11:46 <DIR> d-------- C:\Programme\Trend Micro
2008-08-18 14:12 . 2008-08-18 14:12 <DIR> d-------- C:\Programme\Sun
2008-08-18 12:31 . 2008-08-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-18 12:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-18 11:53 . 2008-08-18 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 11:53 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Thunderbird
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Talkback
2008-08-11 11:52 . 2008-08-15 20:38 <DIR> d-------- C:\Programme\Winamp Remote
2008-08-10 23:59 . 2008-04-05 12:48 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Vorlagen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Startmen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Netzwerkumgebung
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Lokale Einstellungen
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Favoriten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Eigene Dateien
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Druckumgebung
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2\Anwendungsdaten\Windows Desktop Search
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\D2\Anwendungsdaten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2
2008-08-10 23:26 . 2008-08-19 00:35 <DIR> d-------- C:\Programme\Diablo II
2008-08-02 21:25 . 2008-08-02 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-27 09:39 . 2008-07-27 09:39 268 --ah----- C:\sqmdata00.sqm
2008-07-27 09:39 . 2008-07-27 09:39 244 --ah----- C:\sqmnoopt00.sqm
2008-07-26 12:35 . 2008-07-26 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Windows Search
2008-07-26 11:56 . 2008-07-26 11:56 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-26 11:56 . 2008-08-18 13:07 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-26 11:56 . 2008-03-07 18:56 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-26 11:56 . 2008-03-07 18:56 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-26 10:48 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-26 10:45 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-07-26 10:45 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-07-23 23:53 . 2008-08-17 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Hamachi
2008-07-23 23:52 . 2008-07-23 23:53 <DIR> d-------- C:\Programme\Hamachi
2008-07-23 23:52 . 2008-08-16 00:03 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-21 20:36 . 2008-08-18 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-21 20:35 . 2008-07-26 18:48 <DIR> d-------- C:\Programme\Security Task Manager

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 12:18 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Skype
2008-08-19 09:38 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\skypePM
2008-08-18 22:34 --------- d-----w C:\Programme\Warcraft III
2008-08-18 14:48 --------- d-----w C:\Programme\ICQLite
2008-08-18 14:17 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Apple Computer
2008-08-18 12:12 --------- d-----w C:\Programme\Java
2008-08-18 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 23:05 --------- d-----w C:\Programme\Diablo II Spiel 1
2008-08-11 09:54 --------- d-----w C:\Programme\Winamp
2008-08-11 09:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Winamp
2008-08-10 21:36 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2008-08-10 21:36 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-08-02 19:09 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\AdobeUM
2008-07-26 22:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\ICQ
2008-07-26 09:55 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-21 18:41 --------- d-----w C:\Programme\DNA
2008-07-21 18:36 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\DNA
2008-07-21 18:25 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-21 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 19:58 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\teamspeak2
2008-07-20 14:42 --------- d-----w C:\Programme\ICQ6
2008-07-16 19:49 --------- d-----w C:\Programme\iTunes
2008-07-16 19:48 --------- d-----w C:\Programme\iPod
2008-07-16 19:45 --------- d-----w C:\Programme\QuickTime
2008-07-16 19:36 --------- d-----w C:\Programme\Safari
2008-07-03 17:28 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-03 16:13 --------- d-----w C:\Programme\Avira
2008-07-03 16:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-03 14:45 --------- d-----w C:\Programme\Enigma Software Group
2008-07-03 14:16 --------- d-----w C:\Programme\SpyZooka
2008-07-03 13:16 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-03 13:16 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-24 19:44 --------- d-----w C:\Programme\Guitar Pro 5
2008-06-24 19:43 --------- d-----w C:\Programme\Valve
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-05 21:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-07-29 14:24 472 --sha-r C:\WINDOWS\Rmlubg\lA5Rv0.vbs
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"ICQ"="C:\Programme\ICQ 6\ICQ.exe" [2008-04-01 12:40 172280]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Office Keyboard"="C:\WINDOWS\MMKeybd.exe" [2004-11-03 12:32 425984]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 19:44 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-10 10:51 289064]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\ICQ 6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Warcraft III\\War3.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:6112
"6113:TCP"= 6113:TCP:6113
"6114:TCP"= 6114:TCP:6114
"6115:TCP"= 6115:TCP:6115
"6116:TCP"= 6116:TCP:6116
"6117:TCP"= 6117:TCP:6117
"6118:TCP"= 6118:TCP:6118
"6119:TCP"= 6119:TCP:6119
"6112:UDP"= 6112:UDP:6112
"6113:UDP"= 6113:UDP:6113
"6114:UDP"= 6114:UDP:6114
"6115:UDP"= 6115:UDP:6115
"6116:UDP"= 6116:UDP:6116
"6117:UDP"= 6117:UDP:6117
"6118:UDP"= 6118:UDP:6118
"6119:UDP"= 6119:UDP:6119

S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
.
Inhalt des "geplante Tasks" Ordners

2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-Hoae - C:\PROGRA~1\STEM32~1\notepad.exe
HKCU-Run-MsnMsgr - C:\Programme\Windows Live\Messenger\MsnMsgr.Exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Mozilla\Firefox\Profiles\97dizcy0.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 14:18:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 14:22:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-19 12:22:06

Pre-Run: 13 Verzeichnis(se), 125,489,385,472 Bytes frei
Post-Run: 17 Verzeichnis(se), 125,681,229,824 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

212
__________________

Geändert von Finn (19.08.2008 um 14:26 Uhr)

Alt 19.08.2008, 15:35   #4
Finn
 
Antivirus Xp 2008 - Logfiles - Standard

Antivirus Xp 2008 - Logfiles



Ups erstmal Sorry für den Doppelpost.. einfach erstmal denken vorm post

Hier ComboFix:

Code:
ATTFilter
ComboFix 08-08-18.04 - Finn 2008-08-19 14:11:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1626 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Finn\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Finn\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\CROSOF~1.NET\s? oolsv.exe
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\#SharedObjects\RM33EP5L\interclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\#SharedObjects\RM33EP5L\interclick.com\ud.s ol
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\macromedia.com\support\flashplayer\sys\#int erclick.com
C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\macromedia\Flas h Player\macromedia.com\support\flashplayer\sys\#int erclick.com\settings.sol
C:\Dokumente und Einstellungen\Finn\UserData
C:\Dokumente und Einstellungen\Finn\UserData\7IHO4VQJ\oWindowsUpdat e[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\index.dat
C:\Dokumente und Einstellungen\Finn\UserData\SAICLH84\oWindowsUpdat e[1].xml
C:\Dokumente und Einstellungen\Finn\UserData\ZN4AAQ36\oWindowsUpdat e[1].xml
C:\Programme\stem32~1
C:\Programme\stem32~1\??stem32\
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\system32\hljwugsf.bin
C:\WINDOWS\system32\jfrfdnig.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\WxxGNnnn.ini
C:\WINDOWS\system32\WxxGNnnn.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-19 11:58 . 2008-08-19 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-19 11:46 . 2008-08-19 11:46 <DIR> d-------- C:\Programme\Trend Micro
2008-08-18 14:12 . 2008-08-18 14:12 <DIR> d-------- C:\Programme\Sun
2008-08-18 12:31 . 2008-08-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-18 12:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-18 11:53 . 2008-08-18 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-18 11:53 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 11:53 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Thunderbird
2008-08-18 01:35 . 2008-08-18 01:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Talkback
2008-08-11 11:52 . 2008-08-15 20:38 <DIR> d-------- C:\Programme\Winamp Remote
2008-08-10 23:59 . 2008-04-05 12:48 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Vorlagen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Startmen
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Netzwerkumgebung
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Lokale Einstellungen
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Favoriten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr------- C:\Dokumente und Einstellungen\D2\Eigene Dateien
2008-08-10 23:59 . 2008-04-05 13:44 <DIR> d--h----- C:\Dokumente und Einstellungen\D2\Druckumgebung
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2\Anwendungsdaten\Windows Desktop Search
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\D2\Anwendungsdaten
2008-08-10 23:59 . 2008-08-10 23:59 <DIR> d-------- C:\Dokumente und Einstellungen\D2
2008-08-10 23:26 . 2008-08-19 00:35 <DIR> d-------- C:\Programme\Diablo II
2008-08-02 21:25 . 2008-08-02 21:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-27 09:39 . 2008-07-27 09:39 268 --ah----- C:\sqmdata00.sqm
2008-07-27 09:39 . 2008-07-27 09:39 244 --ah----- C:\sqmnoopt00.sqm
2008-07-26 12:35 . 2008-07-26 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Windows Search
2008-07-26 11:56 . 2008-07-26 11:56 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-26 11:56 . 2008-08-18 13:07 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-26 11:56 . 2008-03-07 18:56 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-26 11:56 . 2008-03-07 18:56 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-26 10:48 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-26 10:45 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-07-26 10:45 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-07-23 23:53 . 2008-08-17 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Hamachi
2008-07-23 23:52 . 2008-07-23 23:53 <DIR> d-------- C:\Programme\Hamachi
2008-07-23 23:52 . 2008-08-16 00:03 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-21 20:36 . 2008-08-18 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-21 20:35 . 2008-07-26 18:48 <DIR> d-------- C:\Programme\Security Task Manager

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-08-19 12:18 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Skype
2008-08-19 09:38 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\skypePM
2008-08-18 22:34 --------- d-----w C:\Programme\Warcraft III
2008-08-18 14:48 --------- d-----w C:\Programme\ICQLite
2008-08-18 14:17 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Apple Computer
2008-08-18 12:12 --------- d-----w C:\Programme\Java
2008-08-18 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 23:05 --------- d-----w C:\Programme\Diablo II Spiel 1
2008-08-11 09:54 --------- d-----w C:\Programme\Winamp
2008-08-11 09:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Winamp
2008-08-10 21:36 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2008-08-10 21:36 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-08-02 19:09 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\AdobeUM
2008-07-26 22:51 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\ICQ
2008-07-26 09:55 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-21 18:41 --------- d-----w C:\Programme\DNA
2008-07-21 18:36 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\DNA
2008-07-21 18:25 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-21 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 19:58 --------- d-----w C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\teamspeak2
2008-07-20 14:42 --------- d-----w C:\Programme\ICQ6
2008-07-16 19:49 --------- d-----w C:\Programme\iTunes
2008-07-16 19:48 --------- d-----w C:\Programme\iPod
2008-07-16 19:45 --------- d-----w C:\Programme\QuickTime
2008-07-16 19:36 --------- d-----w C:\Programme\Safari
2008-07-03 17:28 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-03 16:13 --------- d-----w C:\Programme\Avira
2008-07-03 16:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-03 14:45 --------- d-----w C:\Programme\Enigma Software Group
2008-07-03 14:16 --------- d-----w C:\Programme\SpyZooka
2008-07-03 13:16 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-03 13:16 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-06-24 19:44 --------- d-----w C:\Programme\Guitar Pro 5
2008-06-24 19:43 --------- d-----w C:\Programme\Valve
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-05 21:50 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-07-29 14:24 472 --sha-r C:\WINDOWS\Rmlubg\lA5Rv0.vbs
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"ICQ"="C:\Programme\ICQ 6\ICQ.exe" [2008-04-01 12:40 172280]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 7\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray. dll" [2007-12-05 01:41 81920]
"Office Keyboard"="C:\WINDOWS\MMKeybd.exe" [2004-11-03 12:32 425984]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 19:44 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-07-10 10:51 289064]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\ICQ 6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Warcraft III\\War3.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:6112
"6113:TCP"= 6113:TCP:6113
"6114:TCP"= 6114:TCP:6114
"6115:TCP"= 6115:TCP:6115
"6116:TCP"= 6116:TCP:6116
"6117:TCP"= 6117:TCP:6117
"6118:TCP"= 6118:TCP:6118
"6119:TCP"= 6119:TCP:6119
"6112:UDP"= 6112:UDP:6112
"6113:UDP"= 6113:UDP:6113
"6114:UDP"= 6114:UDP:6114
"6115:UDP"= 6115:UDP:6115
"6116:UDP"= 6116:UDP:6116
"6117:UDP"= 6117:UDP:6117
"6118:UDP"= 6118:UDP:6118
"6119:UDP"= 6119:UDP:6119

S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
.
Inhalt des "geplante Tasks" Ordners

2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-Hoae - C:\PROGRA~1\STEM32~1\notepad.exe
HKCU-Run-MsnMsgr - C:\Programme\Windows Live\Messenger\MsnMsgr.Exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Finn\Anwendungsdaten\Mozilla\Firefox \Profiles\97dizcy0.default\
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 14:18:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2008-08-19 14:22:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-19 12:22:06

Pre-Run: 13 Verzeichnis(se), 125,489,385,472 Bytes frei
Post-Run: 17 Verzeichnis(se), 125,681,229,824 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn

212
         
Und hier auch nochmal HiJackThis
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:18, on 19.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\MMKeybd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ 6\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Office Keyboard] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ 6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207505133125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207505127000
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5599 bytes
         

Alt 19.08.2008, 20:27   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivirus Xp 2008 - Logfiles - Standard

Antivirus Xp 2008 - Logfiles



Mach nochmal Durchläufe mit Silentrunners und Blacklight (beides in meiner Signatur). Poste wieder die Logs mit Codetags umschlossen.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\DIIUnin.pif
C:\WINDOWS\DIIUnin.exe
C:\WINDOWS\Rmlubg\lA5Rv0.vbs
         

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.08.2008, 20:46   #6
Finn
 
Antivirus Xp 2008 - Logfiles - Standard

Antivirus Xp 2008 - Logfiles



DllUnin.pif
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	-
Authentium	5.1.0.4	2008.08.19	-
Avast	4.8.1195.0	2008.08.19	-
AVG	8.0.0.161	2008.08.19	-
BitDefender	7.2	2008.08.19	-
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.19	-
eSafe	7.0.17.0	2008.08.19	-
eTrust-Vet	31.6.6036	2008.08.19	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.19	-
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.19	-
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.19	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.19	-
NOD32v2	3368	2008.08.19	-
Norman	5.80.02	2008.08.19	-
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.19	-
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.19	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.19	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	-
weitere Informationen
File size: 2829 bytes
MD5...: b67b23a2b0dab45b6232658219da7a1b
SHA1..: b0fbd63169966a0be2461ff67d5fca5bd098b42f
SHA256: 48e25c0536a5821f7972483516480bb629c3f657e24fc77e8fec165616b1dd43
SHA512: f6c19c1508b3b31ae098b9e3a05f047be6c6d4949e61c7dee42454c055c8a479
32fce68ad8e856f3f60be574daca677b233e011709cbd4e1156bd98c21c27e46
PEiD..: -
PEInfo: -
         
DllUnin.exe
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	-
Authentium	5.1.0.4	2008.08.19	-
Avast	4.8.1195.0	2008.08.19	-
AVG	8.0.0.161	2008.08.19	-
BitDefender	7.2	2008.08.19	-
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.19	-
eSafe	7.0.17.0	2008.08.19	-
eTrust-Vet	31.6.6036	2008.08.19	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.18	-
F-Secure	7.60.13501.0	2008.08.19	-
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.19	-
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.19	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.19	-
NOD32v2	3368	2008.08.19	-
Norman	5.80.02	2008.08.19	-
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.19	-
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.19	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.19	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	-
weitere Informationen
File size: 102400 bytes
MD5...: 9033a5d45a5c81fa3605e4c5057f4df5
SHA1..: a5d25d1ab4f32426084095473f73d2d67f5dfbed
SHA256: 86c0fa8981fd1ef0b518ca8a2cc485028eb40b6b59373803a59befd25d4478f1
SHA512: 1331d22f2b68d02c868f40d129b5fa887720e4667041ccc0719396a2d0ffd28d
eebf02b06c3d859705a8f4788b76965231d43609fbc6b8ebcf9bc7a7b4c8c7c6
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40a387
timedatestamp.....: 0x393398f0 (Tue May 30 10:33:20 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1145a 0x12000 6.48 474602b23386b2425b37cc0066061b44
.rdata 0x13000 0x1e9a 0x2000 5.58 96627e1b6ca29cdaab147f8e68eb6ac1
.data 0x15000 0x10096f8 0x2000 3.41 dc0907e98abe200bc29404e802013458
.rsrc 0x101f000 0x1680 0x2000 2.62 b077762b8d43a2b8ae5f4ac7a7fe0b8d

( 6 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> KERNEL32.dll: DeleteFileA, lstrcmpiA, CloseHandle, CreateFileA, GetFileAttributesA, FindFirstFileA, GetFileSize, WriteFile, ReadFile, GetModuleHandleA, GetVersionExA, GetCurrentProcess, GetSystemDirectoryA, MoveFileA, SetFilePointer, OpenEventA, GetModuleFileNameA, InitializeCriticalSection, DeleteCriticalSection, TlsSetValue, SetUnhandledExceptionFilter, TlsAlloc, TlsFree, InterlockedDecrement, TlsGetValue, InterlockedIncrement, FindNextFileA, SetEndOfFile, VirtualQuery, IsBadReadPtr, GetCurrentThread, ReadProcessMemory, IsBadWritePtr, FlushFileBuffers, FindClose, GetLocalTime, FreeLibrary, GetProcAddress, LoadLibraryA, HeapFree, GetProcessHeap, TerminateProcess, GetExitCodeProcess, GetVersion, OutputDebugStringA, HeapAlloc, VirtualAlloc, VirtualFree, GetSystemInfo, RemoveDirectoryA, GetCPInfo, CreateDirectoryA, GetCurrentDirectoryA, GetOEMCP, SetCurrentDirectoryA, SetLastError, lstrlenA, lstrcmpA, lstrcpyA, lstrcatA, ExitProcess, GetLastError, FormatMessageA, GetStringTypeA, GetStringTypeW, RaiseException, LeaveCriticalSection, EnterCriticalSection, GetACP, LCMapStringW, LCMapStringA, SetStdHandle, HeapSize, HeapReAlloc, MultiByteToWideChar, HeapCreate, HeapDestroy, RtlUnwind, GetStdHandle, SetHandleCount, GetFileType, GetEnvironmentStrings, WideCharToMultiByte, GetEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, FreeEnvironmentStringsW, GetStartupInfoA, GetCommandLineA
> USER32.dll: ReleaseDC, GetWindowRect, RegisterWindowMessageA, GetDC, ExitWindowsEx, SetDlgItemTextA, DialogBoxParamA, wvsprintfA, wsprintfA, PostMessageA, SetFocus, ShowWindow, BringWindowToTop, SetCursor, SetActiveWindow, SetForegroundWindow, CheckDlgButton, IsWindow, IsWindowVisible, FindWindowA, GetDlgItem, EnableWindow, SetWindowPos, LoadCursorA, LoadStringA, MessageBoxA, EndDialog
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegEnumValueA, RegOpenKeyExA, RegCreateKeyExA, RegFlushKey, RegCloseKey, RegSetValueExA, RegDeleteKeyA, RegDeleteValueA, RegQueryValueExA, RegEnumKeyA, RegQueryInfoKeyA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, GetUserNameA
> SHELL32.dll: ShellExecuteA

( 0 exports )
         

Wenn ich C:\WINDOWS\Rmlubg\lA5Rv0.vbs hochladen möchte sagt er, dass die Datei schon analysiert wurde die Ergebnis war folgendes:
Code:
ATTFilter
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.8.13.0 	2008.08.14 	-
AntiVir 	7.8.1.19 	2008.08.13 	ADSPY/Isearch
Authentium 	5.1.0.4 	2008.08.14 	-
Avast 	4.8.1195.0 	2008.08.13 	VBS:Malware-gen
AVG 	8.0.0.161 	2008.08.13 	-
BitDefender 	7.2 	2008.08.14 	Adware.Isearch.D
CAT-QuickHeal 	9.50 	2008.08.13 	-
ClamAV 	0.93.1 	2008.08.14 	-
DrWeb 	4.44.0.09170 	2008.08.14 	-
eSafe 	7.0.17.0 	2008.08.13 	Spyware.Gen
eTrust-Vet 	31.6.6031 	2008.08.13 	-
Ewido 	4.0 	2008.08.13 	Trojan.Small
F-Prot 	4.4.4.56 	2008.08.13 	-
F-Secure 	7.60.13501.0 	2008.08.14 	-
Fortinet 	3.14.0.0 	2008.08.13 	Adware/Isearch
GData 	2.0.7306.1023 	2008.08.14 	VBS:Malware-gen
Ikarus 	T3.1.1.34.0 	2008.08.14 	AdWare.Isearch
K7AntiVirus 	7.10.413 	2008.08.13 	-
Kaspersky 	7.0.0.125 	2008.08.14 	-
McAfee 	5360 	2008.08.13 	potentially unwanted program Adware-Isearch
Microsoft 	1.3807 	2008.08.14 	Adware:Win32/CMDService
NOD32v2 	3353 	2008.08.13 	-
Norman 	5.80.02 	2008.08.13 	VBS/CommAd.A
Panda 	9.0.0.4 	2008.08.13 	Adware/CommAd
PCTools 	4.4.2.0 	2008.08.13 	-
Prevx1 	V2 	2008.08.14 	Malicious Software
Rising 	20.57.22.00 	2008.08.13 	-
Sophos 	4.32.0 	2008.08.14 	CommAd
Sunbelt 	3.1.1542.1 	2008.08.13 	-
Symantec 	10 	2008.08.14 	Spyware.ISearch
TheHacker 	6.3.0.3.046 	2008.08.13 	-
TrendMicro 	8.700.0.1004 	2008.08.14 	-
VBA32 	3.12.8.3 	2008.08.13 	-
ViRobot 	2008.8.13.1335 	2008.08.13 	-
VirusBuster 	4.5.11.0 	2008.08.13 	-
Webwasher-Gateway 	6.6.2 	2008.08.14 	Ad-Spyware.Isearch
weitere Informationen
File size: 472 bytes
MD5...: 387edbb90a5275d1b464eb31f3162c40
SHA1..: 40c7e89572e2bee9f8bd24a0163c500205d0cfb8
SHA256: a9468209ba2d2acd4f443c47d0df768f0ae235fb2a9b0bb8195f5635d73028d6
SHA512: 6b90d5b951170b0b116302461d22c96143a555ff9b9c85fd4bd9ae6f3558193a
b6d2066f32cdda30f8ba8707ac5fbc8d01bc264ab5529fb729f4e4ee79cdc587
PEiD..: -
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=387EDBB9D80A527501D100B464EB3100F3162C40
         
Blacklight findet nix.
Hoffe das ist der Log:
Code:
ATTFilter
08/19/08 20:32:46 [Info]: BlackLight Engine 1.0.70 initialized
08/19/08 20:32:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/19/08 20:32:46 [Note]: 7019 4
08/19/08 20:32:46 [Note]: 7005 0
08/19/08 20:32:50 [Note]: 7006 0
08/19/08 20:32:50 [Note]: 7011 1292
08/19/08 20:32:50 [Note]: 7035 0
08/19/08 20:32:50 [Note]: 7026 0
08/19/08 20:32:50 [Note]: 7026 0
08/19/08 20:32:51 [Note]: FSRAW library version 1.7.1024
08/19/08 20:40:34 [Note]: 2000 1012
08/19/08 20:43:16 [Note]: 7007 0
         
Das hat Silentrunners ausgespuckt:
Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"ICQ" = ""C:\Programme\ICQ 6\ICQ.exe" silent" ["ICQ, Inc."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"Office Keyboard" = "C:\WINDOWS\MMKeybd.exe" ["Netropa Corp."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {HKLM...CLSID} = "iTunes"
                   \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\
<<!>> ("msapsspc.dllschannel.dlldigest.dllmsnsspc.dll" [file not found]) "SecurityProviders" = "msapsspc.dllschannel.dlldigest.dllmsnsspc.dll"

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Finn\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

iTunesBurnCDOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.BurnCD"
"InvokeVerb" = "burn"
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayBurn "%L"" ["Apple Inc."]

iTunesImportSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ImportSongsOnCD"
"InvokeVerb" = "import"
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayImportSongs "%L"" ["Apple Inc."]

iTunesPlaySongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.PlaySongsOnCD"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /playCD "%L"" ["Apple Inc."]

iTunesShowSongsOnArrival\
"Provider" = "iTunes"
"InvokeProgID" = "iTunes.ShowSongsOnCD"
"InvokeVerb" = "showsongs"
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = ""C:\Programme\iTunes\iTunes.exe" /AutoPlayShowSongs "%L"" ["Apple Inc."]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
  -> {HKLM...CLSID} = (no title provided)
                   \LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]


Startup items in "Finn" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}


---------- (launch time: 2008-08-19 20:44:59)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 43 seconds, including 18 seconds for message boxes)
         

Alt 20.08.2008, 17:45   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antivirus Xp 2008 - Logfiles - Cool

Antivirus Xp 2008 - Logfiles



Code:
ATTFilter
C:\WINDOWS\Rmlubg
         
Diesen Ordner löschen.
Ansonsten sieht alles soweit eigentlich okay aus. Sind denn noch irgendwelche Auffälligkeiten am PC?

Aktualisiere mal bei Gelegenheit auf das Service Pack 3. Spiel auch ne neue Version vom AdobeReader ein.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.08.2008, 19:39   #8
Finn
 
Antivirus Xp 2008 - Logfiles - Standard

Antivirus Xp 2008 - Logfiles



Ordner ist gelöscht, mir fällt auch nix besonderes mehr auf.
Beim E-Mail Konto hat sich auch keiner mehr eingelogt

Servicepack wird gleich gemacht und der Reader auch aktualisiert.

Vielen vielen dank für die Hilfe, das war echt super! :aplaus:

Antwort

Themen zu Antivirus Xp 2008 - Logfiles
.dll, 1.tmp, adobe, antivirus, auswerten, avira, bho, content.ie5, desktop, e-mail, einstellungen, explorer, fake.dropped.malware, firefox, heulen, hijack, hijack.displayproperties, hijack.wallpaper, hijackthis, hijackthis log, hkus\s-1-5-18, icq 6, internet, internet explorer, logfile, malware.trace, monitor, mozilla, mozilla firefox, notepad.exe, prima, quara, registrierungsschlüssel, rogue.multiple, rundll, scan, software, svchost, system, trojan.downloader, trojan.dropper, windows xp



Ähnliche Themen: Antivirus Xp 2008 - Logfiles


  1. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 11.12.2008 (4)
  2. xp antivirus 2008
    Log-Analyse und Auswertung - 03.10.2008 (2)
  3. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  4. antivirus xp 2008 und smart antivirus 2009
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (11)
  5. Antivirus 2008
    Log-Analyse und Auswertung - 14.09.2008 (15)
  6. Antivirus 2008
    Plagegeister aller Art und deren Bekämpfung - 10.09.2008 (1)
  7. Antivirus XP 2008 again
    Plagegeister aller Art und deren Bekämpfung - 05.09.2008 (14)
  8. Logfiles mit "XP-Antivirus 2008"
    Plagegeister aller Art und deren Bekämpfung - 02.09.2008 (5)
  9. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (16)
  10. Antivirus xp 2008
    Plagegeister aller Art und deren Bekämpfung - 30.08.2008 (18)
  11. Antivirus-2008
    Log-Analyse und Auswertung - 26.08.2008 (3)
  12. antivirus 2008
    Log-Analyse und Auswertung - 11.08.2008 (2)
  13. Antivirus XP 2008
    Mülltonne - 11.08.2008 (0)
  14. Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (6)
  15. Antivirus 2008 XP (nicht "Antivirus XP 2008"!)
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (1)
  16. XP Antivirus 2008
    Log-Analyse und Auswertung - 10.08.2008 (14)
  17. Antivirus XP 2008
    Mülltonne - 04.08.2008 (0)

Zum Thema Antivirus Xp 2008 - Logfiles - Guten Morgen, gestern habe ich festestellen müssen, dass ich mir diesen Antivirus Xp 2008 eingefangen habe Habe erstmal Malewarebytes durchlaufen lassen und dachte damit sei die Sache erledigt. Leider stellte - Antivirus Xp 2008 - Logfiles...
Archiv
Du betrachtest: Antivirus Xp 2008 - Logfiles auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.