| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
10.07.2009, 10:19
| #1 |
 |  Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 Hallo zusammen, würde gerne wissen ob jemanden dieses Problem bekannt ist!? Hatte es schonmal auf der Platte habe es auch weg bekommen jedoch trifft es nach einer gewissen zeit immer wieder auf jemand eine Idee wie man dieses Problem dauerhaft wegbekommt?! Verursacht hat dieses Problem die datei: autorun.inf und der ordner: System\Volume Information\_restore{D889BF8E-4025-477C-BE79-B888538CD794}\RP135\A0057873.inf System\Volume Information\_restore{D889BF8E-4025-477C-BE79-B888538CD794}\RP136\A0058874.exe System\Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\A0002945.inf Die Probleme wurden mit nem Virenscanner Trend Micro in quarantene verschoben! Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2402 Windows 5.1.2600 Service Pack 2 10.07.2009 11:21:58 mbam-log-2009-07-10 (11-21-58).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 111713 Laufzeit: 5 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
10.07.2009, 23:35
| #2 |
| /// Helfer-Team    | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 Hallo Rupharell
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* HijackThis starten--> "Do a system scan and save a logfile" klicken--> das erhaltene Logfile "markieren" --> "kopieren"--> hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen:: - Klicke unter Start auf Arbeitsplatz. - Klicke im Menü Extras auf Ordneroptionen. - Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen - Geschützte und Systemdateien ausblenden --> Haken entfernen - Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. - Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) - lade Dir das filelist.zip auf deinen Desktop herunter - entpacke die Zip-Datei auf deinen Desktop - starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen - kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! am besten nutze den Code-Tags für deinen Post: vor dein log schreibst du:[code] hier kommt dein logfile rein dahinter:[/code] gruß Coverflow |
|
13.07.2009, 07:50
| #3 |
| | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 Hallo....schonmal danke für die anweisung hier mal die Logs:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:43:50, on 13.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\umonit.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SAP\FrontEnd\SAPgui\saplogon.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\Programme\Trend Micro\OfficeScan Client\TmPfw.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Trend Micro\OfficeScan Client\CNTAoSMgr.exe C:\WINDOWS\TEMP\GDF38.EXE E:\Firefox3\firefox.exe C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.205.158.4:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;10.*.*.*;schenker-hafen.local;<local> R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237973396978 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***-Hafen.local O17 - HKLM\Software\..\Telephony: DomainName = ***-Hafen.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***-Hafen.local O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\TmPfw.exe O23 - Service: OfficeScan NT Proxy-Dienst (TmProxy) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe -- End of file - 7406 bytes Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: AC3F-3E9D
Verzeichnis von C:\
13.07.2009 08:50 43 filelist.txt
08.07.2009 10:39 211 boot.ini
29.06.2009 09:22 88 sapfewdll_23546124_59.err.trc
25.06.2009 11:56 21 tmuninst.ini
26.05.2009 15:51 177 sapfewdll_36784396_59.err.trc
19.01.2009 14:56 655.728 KB958644.exe
Code:
ATTFilter Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2 - Deutsch
Adobe Shockwave Player 11
CCleaner (remove only)
CheckDrive
Citrix Program Neighborhood ( Citrix-ICA-Client )
Client für die Windows-Rechteverwaltung mit Service Pack 2
Client für vorherige Versionen
Duplicate Music Files Finder 1.5.5
Folder Size for Windows
Hama USB Mass Storage Device
High Definition Audio - KB888111
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
JAP
Java 2 Runtime Environment, SE v1.4.2_13
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6
Java(TM) SE Runtime Environment 6 Update 1
KaLoMa 4.65
Malwarebytes' Anti-Malware
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Access 2.0 Converter
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.0.11)
Mp3tag v2.42
Nokia Connectivity Cable Driver
NVIDIA Drivers
PDFCreator
pdfforge Toolbar v1.0
Realtek High Definition Audio Driver
Rückwärtskompatibilität des Clients für die Windows-Rechteverwaltung SP2
Sanse Playlister Ver1.4
SAP Front End
Trend Micro OfficeScan Client
Tweak UI
VideoLAN VLC media player 0.8.6
WD Diagnostics
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR
|
|
13.07.2009, 16:31
| #4 |
| /// Helfer-Team | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 hi filelist.bat nicht vollständig, fehlen noch weitere Verzeichnisse: Code:
ATTFilter
C:\WINDOWS\System32
C:\WINDOWS
C:\WINDOWS\Prefetch
C:\WINDOWS\tasks
C:\WINDOWS\Temp
C:\DOCUME~1\Name\LOCALS\~1\Temp
|
|
14.07.2009, 07:03
| #5 |
| | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 so jetzt aber: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: AC3F-3E9D
Verzeichnis von C:\
14.07.2009 08:03 43 filelist.txt
08.07.2009 10:39 211 boot.ini
29.06.2009 09:22 88 sapfewdll_23546124_59.err.trc
25.06.2009 11:56 21 tmuninst.ini
26.05.2009 15:51 177 sapfewdll_36784396_59.err.trc
19.01.2009 14:56 655.728 KB958644.exe
13.08.2008 15:52 89 sapfewdll_36522252_59.err.trc
15.04.2008 09:36 88 sapfewdll_36456748_59.err.trc
13.03.2007 15:25 32 WFCNAME.INI
13.03.2007 11:41 1.577 lang.txt
20.08.2004 21:33 0 MSDOS.SYS
20.08.2004 21:33 0 IO.SYS
20.08.2004 21:33 0 CONFIG.SYS
20.08.2004 21:33 0 AUTOEXEC.BAT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
17 Datei(en) 961.754 Bytes
0 Verzeichnis(se), 970.416.128 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: AC3F-3E9D
Verzeichnis von C:\WINDOWS
14.07.2009 07:47 1.714.494 WindowsUpdate.log
14.07.2009 07:36 1.212 saplogon.ini
14.07.2009 07:34 0 0.log
14.07.2009 07:33 2.048 bootstat.dat
13.07.2009 16:55 32.438 SchedLgU.Txt
13.07.2009 09:38 795 setupapi.log
10.07.2009 12:34 216 wiadebug.log
10.07.2009 08:52 120 setupact.log
10.07.2009 08:52 0 setuperr.log
10.07.2009 08:34 50 wiaservc.log
10.07.2009 08:34 0 Sti_Trace.log
08.07.2009 10:39 227 system.ini
08.07.2009 10:39 603 win.ini
08.07.2009 07:46 13.782 cfgall.ini
25.06.2009 14:08 7.928 cfgrs_ex.ini
25.06.2009 14:08 8.859 cfgrs.ini
08.05.2009 10:34 138 SAPGRAPH.INI
20.03.2009 10:17 43 gswin32.ini
21.01.2009 12:14 32 weitere.INI
30.07.2008 14:37 201 sapgrph.ini
29.02.2008 08:54 1.142 mozver.dat
25.09.2007 07:21 0 nsreg.dat
13.06.2007 15:21 1.036.288 explorer.exe
10.04.2007 07:45 400 ODBC.INI
02.04.2007 12:18 849 orun32.ini
13.03.2007 16:18 232 hpbafd.ini
13.03.2007 15:29 65 vbaddin.ini
13.03.2007 11:07 8.192 REGLOCS.OLD
28.06.2006 14:54 16.248.320 RTHDCPL.EXE
28.06.2006 14:00 2.158.592 MicCal.exe
16.05.2006 18:04 2.879.488 SkyTel.exe
04.05.2006 16:35 9.709.568 RTLCPL.EXE
04.05.2006 16:26 2.808.832 ALCWZRD.EXE
04.05.2006 16:22 86.016 SOUNDMAN.EXE
09.03.2006 17:45 364.544 RtlUpd.exe
26.10.2005 11:11 61 smscfg.ini
27.05.2005 01:22 10.752 hh.exe
03.05.2005 18:43 69.632 ALCMTR.EXE
20.08.2004 21:46 210.415 orun32.isu
20.08.2004 21:33 0 control.ini
20.08.2004 21:33 316.640 WMSysPr9.prx
20.08.2004 21:32 4.161 ODBCINST.INI
20.08.2004 21:30 749 WindowsShell.Manifest
20.08.2004 21:28 36 vb.ini
04.08.2004 14:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 14:00 17.062 Kaffeetasse.bmp
04.08.2004 14:00 34.818 wmprfDEU.prx
04.08.2004 14:00 48.680 winnt256.bmp
04.08.2004 14:00 48.680 winnt.bmp
04.08.2004 14:00 70.144 NOTEPAD.EXE
04.08.2004 14:00 288.768 winhlp32.exe
04.08.2004 14:00 257.568 winhelp.exe
04.08.2004 14:00 26.582 Granit.bmp
04.08.2004 14:00 65.978 Seifenblase.bmp
04.08.2004 14:00 153.600 regedit.exe
04.08.2004 14:00 26.680 F„cher.bmp
04.08.2004 14:00 1.405 msdfmap.ini
04.08.2004 14:00 17.336 Angler.bmp
04.08.2004 14:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 14:00 65.954 Pr„riewind.bmp
04.08.2004 14:00 707 _default.pif
04.08.2004 14:00 16.730 Feder.bmp
04.08.2004 14:00 80 explorer.scf
04.08.2004 14:00 15.872 TASKMAN.EXE
04.08.2004 14:00 94.800 twain.dll
04.08.2004 14:00 50.688 twain_32.dll
04.08.2004 14:00 49.680 twunk_16.exe
04.08.2004 14:00 25.600 twunk_32.exe
04.08.2004 14:00 82.944 clock.avi
04.08.2004 14:00 9.522 Zapotek.bmp
04.08.2004 14:00 2 desktop.ini
04.08.2004 14:00 18.944 vmmreg32.dll
04.08.2004 14:00 17.362 Rhododendron.bmp
23.05.2004 15:11 315.904 IsUninst.exe
28.03.2003 12:50 1.676 saplogon-alt.ini
28.03.2003 12:37 99 saproute.ini
28.03.2003 12:37 86 sapmsg.ini
28.02.2003 19:26 46.352 setdebug.exe
28.02.2003 17:35 6.550 jautoexp.dat
06.06.2002 10:34 104 sapdoccd.ini
13.12.2001 17:45 665.826 FSC Message.exe
13.12.2001 17:45 40.960 FSC Message.dll
13.12.2001 17:45 18.192 FSC Message.dat
13.12.2001 17:45 348.732 FSC Message.scr
17.11.1998 13:44 328.704 IsUn0407.exe
06.11.1996 15:05 302.592 unin0407.exe
86 Datei(en) 41.347.227 Bytes
0 Verzeichnis(se), 970.399.744 Bytes frei
----- System ---
Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: AC3F-3E9D
Verzeichnis von C:\WINDOWS\system
04.08.2004 14:00 70.368 AVICAP.DLL
04.08.2004 14:00 109.504 AVIFILE.DLL
04.08.2004 14:00 33.744 COMMDLG.DLL
04.08.2004 14:00 2.000 KEYBOARD.DRV
04.08.2004 14:00 9.936 LZEXPAND.DLL
04.08.2004 14:00 73.760 MCIAVI.DRV
04.08.2004 14:00 25.296 MCISEQ.DRV
04.08.2004 14:00 28.160 MCIWAVE.DRV
04.08.2004 14:00 69.632 MMSYSTEM.DLL
04.08.2004 14:00 1.152 MMTASK.TSK
04.08.2004 14:00 2.032 MOUSE.DRV
04.08.2004 14:00 127.104 MSVIDEO.DLL
04.08.2004 14:00 82.944 OLECLI.DLL
04.08.2004 14:00 24.064 OLESVR.DLL
04.08.2004 14:00 59.167 setup.inf
04.08.2004 14:00 5.120 SHELL.DLL
04.08.2004 14:00 1.744 SOUND.DRV
04.08.2004 14:00 5.532 stdole.tlb
04.08.2004 14:00 3.360 SYSTEM.DRV
04.08.2004 14:00 19.200 TAPI.DLL
04.08.2004 14:00 4.048 TIMER.DRV
04.08.2004 14:00 9.200 VER.DLL
04.08.2004 14:00 2.176 VGA.DRV
04.08.2004 14:00 13.600 WFWNET.DRV
04.08.2004 14:00 146.944 WINSPOOL.DRV
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 970.399.744 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: AC3F-3E9D
Geändert von Rupharell (14.07.2009 um 07:30 Uhr) |
|
14.07.2009, 07:05
| #6 |
| | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 part II: Code:
ATTFilter ----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: AC3F-3E9D
Verzeichnis von C:\WINDOWS\system32
14.07.2009 07:34 1.158 wpa.dbl
07.07.2009 13:05 908 BIN_STRSBW.SPT
07.05.2009 00:16 24.699.336 MRT.exe
27.03.2009 08:46 3.774 jupdate-1.6.0_13-b03.log
09.03.2009 06:19 144.792 javaw.exe
09.03.2009 06:19 148.888 javaws.exe
09.03.2009 06:19 144.792 java.exe
09.03.2009 06:19 410.984 deploytk.dll
09.03.2009 03:53 73.728 javacpl.cpl
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 14:09 391.536 iedkcs32.dll
08.03.2009 04:41 5.937.152 mshtml.dll
08.03.2009 04:39 11.063.808 ieframe.dll
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 914.944 wininet.dll
08.03.2009 04:34 1.206.784 urlmon.dll
08.03.2009 04:34 1.469.440 inetcpl.cpl
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:34 109.568 occache.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 25.600 jsproxy.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 173.056 ie4uinit.exe
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 594.432 msfeeds.dll
08.03.2009 04:32 1.985.024 iertutil.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 183.808 iepeers.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 55.296 msfeedsbs.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
12.02.2009 22:20 6.873 IE8Eula.rtf
09.02.2009 09:01 837.174 TZLog.log
06.02.2009 21:07 3.698.584 ieapfltr.dat
22.01.2009 14:15 404.548 perfh009.dat
22.01.2009 14:15 63.576 perfc009.dat
22.01.2009 14:15 76.530 perfc007.dat
22.01.2009 14:15 419.978 perfh007.dat
22.01.2009 14:15 937.960 PerfStringBackup.INI
16.01.2009 09:27 18.816 SAVRKBootTasks.sys
07.01.2009 18:21 121.856 xmllite.dll
07.01.2009 18:20 24.576 nlsdl.dll
07.01.2009 18:20 23.552 normaliz.dll
07.01.2009 18:20 60.294 normnfkd.nls
07.01.2009 18:20 66.384 normnfkc.nls
07.01.2009 18:20 26.112 idndl.dll
07.01.2009 18:20 59.342 normidna.nls
07.01.2009 18:20 39.284 normnfd.nls
07.01.2009 18:20 45.794 normnfc.nls
07.01.2009 18:20 26.144 spupdsvc.exe
07.01.2009 18:20 18.464 spmsg.dll
07.01.2009 18:20 8.798 icrav03.rat
07.01.2009 18:20 265.720 msdbg2.dll
21.12.2008 00:30 133.120 extmgr.dll
17.11.2008 11:40 243.920 FNTCACHE.DAT
23.10.2008 14:59 283.648 gdi32.dll
22.10.2008 11:47 62.976 tzchange.exe
16.10.2008 15:13 1.809.944 wuaueng.dll
16.10.2008 15:12 202.776 wuweb.dll
16.10.2008 15:12 323.608 wucltui.dll
16.10.2008 15:12 213.528 wuaucpl.cpl
16.10.2008 15:12 561.688 wuapi.dll
16.10.2008 15:09 43.544 wups2.dll
16.10.2008 15:09 92.696 cdm.dll
16.10.2008 15:09 51.224 wuauclt.exe
16.10.2008 15:08 34.328 wups.dll
16.10.2008 15:08 31.768 wucltui.dll.mui
16.10.2008 15:08 27.672 wuapi.dll.mui
16.10.2008 15:08 27.672 wuaucpl.cpl.mui
16.10.2008 15:07 18.968 wuaueng.dll.mui
15.10.2008 18:57 332.800 netapi32.dll
03.10.2008 12:15 247.326 strmdll.dll
15.09.2008 17:37 1.846.144 win32k.sys
04.09.2008 18:43 1.106.944 msxml3.dll
14.08.2008 15:35 2.145.280 ntoskrnl.exe
14.08.2008 15:35 2.023.424 ntkrnlpa.exe
21.07.2008 07:29 6.945 jupdate-1.6.0_07-b06.log
07.07.2008 22:30 253.952 es.dll
24.06.2008 18:22 74.240 mscms.dll
24.06.2008 18:12 295.936 wmpeffects.dll
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll
18.06.2008 06:03 2.458.112 WMVCore.dll
18.06.2008 06:03 938.496 WMNetmgr.dll
18.06.2008 02:09 100.864 logagent.exe
07.05.2008 07:14 1.293.312 quartz.dll
02.05.2008 10:59 1.419.232 wdfcoinstaller01005.dll
02.05.2008 10:58 733.696 nmwcdcocls.dll
02.05.2008 10:58 148.992 nsesetup.dll
02.05.2008 10:58 90.624 nmwcdcls.dll
11.04.2008 20:50 683.520 inetcomm.dll
25.03.2008 06:51 187.168 msjint40.dll
25.03.2008 06:51 621.344 mswstr10.dll
25.03.2008 06:50 355.104 msxbde40.dll
25.03.2008 06:50 838.432 mswdat10.dll
25.03.2008 06:50 264.992 mstext40.dll
25.03.2008 06:50 559.904 msrepl40.dll
25.03.2008 06:50 322.336 msrd3x40.dll
25.03.2008 06:50 432.928 msrd2x40.dll
25.03.2008 06:50 355.104 mspbde40.dll
25.03.2008 06:50 219.936 msltus40.dll
25.03.2008 06:50 248.608 msjtes40.dll
25.03.2008 06:50 60.192 msjter40.dll
25.03.2008 06:50 355.112 msjetoledb40.dll
25.03.2008 06:50 1.516.568 msjet40.dll
25.03.2008 06:50 326.432 msexcl40.dll
25.03.2008 06:50 518.944 msexch40.dll
20.03.2008 19:06 1.480.232 LegitCheckControl.dll
13.03.2008 08:46 6.641 jupdate-1.6.0_05-b13.log
26.02.2008 13:59 294.912 msctf.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
04.12.2007 20:40 550.912 oleaut32.dll
07.11.2007 11:27 729.600 lsasrv.dll
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 18:42 8.501.248 shell32.dll
25.10.2007 09:28 222.720 wmasf.dll
12.10.2007 08:14 5.686 jupdate-1.6.0_03-b05.log
12.09.2007 09:03 5.214 jupdate-1.6.0_02-b06.log
02.08.2007 09:03 9.320 jupdate-1.4.2_13-b06.log
09.07.2007 15:16 582.656 rpcrt4.dll
06.07.2007 14:49 138.240 mqad.dll
06.07.2007 14:49 16.896 mqise.dll
06.07.2007 14:49 95.744 mqsec.dll
06.07.2007 14:49 177.152 mqrt.dll
06.07.2007 14:49 660.992 mqqm.dll
06.07.2007 14:49 533.504 mqutil.dll
06.07.2007 14:49 48.640 mqupgrd.dll
06.07.2007 14:49 47.104 mqdscli.dll
12.06.2007 00:51 10.834.944 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 07:51 16.832 amcompat.tlb
25.04.2007 07:51 23.392 nscompat.tlb
18.04.2007 18:13 2.854.400 msi.dll
18.04.2007 10:45 4.254 jupdate-1.6.0_01-b06.log
16.04.2007 17:53 1.058.304 kernel32.dll
14.04.2007 17:52 65.536 HcAnch32.ocx
13.04.2007 04:21 271.360 mscoree.dll
02.04.2007 07:58 546.304 hhctrl.ocx
27.03.2007 15:33 81.191 nvapps.xml
18.03.2007 21:16 147.456 HcStatusbar.ocx
17.03.2007 15:44 293.376 winsrv.dll
13.03.2007 11:41 146.650 BuzzingBee.wav
13.03.2007 11:41 940.794 LoopyMusic.wav
13.03.2007 11:39 36.969 $winnt$.inf
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
05.03.2007 13:34 676.224 OGACheckControl.DLL
27.02.2007 18:31 544.256 janGraphics.dll
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:00 236.928 WgaLogon.dll
05.02.2007 22:18 185.856 upnphost.dll
04.01.2007 16:02 474.624 shlwapi.dll
04.01.2007 16:02 1.498.112 shdocvw.dll
04.01.2007 16:01 1.056.256 danim.dll
04.01.2007 16:01 152.064 cdfview.dll
04.01.2007 16:01 1.022.976 browseui.dll
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 20:17 334.336 wiaservc.dll
11.12.2006 15:45 116.736 aaclient.dll
11.12.2006 15:45 36.352 tsgqec.dll
11.12.2006 15:45 1.866.240 mstscax.dll
11.12.2006 15:45 288.768 rhttpaa.dll
04.12.2006 17:21 414.720 msscp.dll
29.11.2006 16:58 209.408 DWRCS.EXE
29.11.2006 15:18 71.680 DWRCST.EXE
29.11.2006 15:16 75.776 DWRCShell64.dll
29.11.2006 15:16 229.376 DWRCSET.DLL
29.11.2006 15:16 69.632 DWRCShell.dll
29.11.2006 15:16 53.248 DWRCK.DLL
27.11.2006 16:54 539.136 msftedit.dll
27.11.2006 16:54 433.152 riched20.dll
20.11.2006 23:23 45.056 HcMaxMin.ocx
07.11.2006 10:06 600.576 mstsc.exe
06.11.2006 11:35 531.568 RmActivate_isv.exe
06.11.2006 11:35 523.376 RmActivate.exe
06.11.2006 11:35 518.768 SecProc.dll
06.11.2006 11:35 519.280 SecProc_isv.dll
06.11.2006 11:35 358.000 RmActivate_ssp.exe
06.11.2006 11:35 354.416 RmActivate_ssp_isv.exe
06.11.2006 11:35 192.624 SecProc_ssp_isv.dll
06.11.2006 11:35 323.696 msdrm.dll
06.11.2006 11:35 192.624 SecProc_ssp.dll
03.11.2006 10:02 8.282.112 wmploc.dll
03.11.2006 09:56 99.840 wmpshell.dll
03.11.2006 09:55 275.968 wmerror.dll
03.11.2006 09:54 8.192 asferror.dll
02.11.2006 11:51 43.008 wpdshextres.dll
01.11.2006 21:17 927.504 mfc40u.dll
20.10.2006 03:39 715.776 sxs.dll
18.10.2006 21:58 8.704 uwdf.exe
18.10.2006 21:58 8.704 wdfmgr.exe
18.10.2006 21:47 4.096 WMVADVE.DLL
18.10.2006 21:47 35.840 wpdconns.dll
18.10.2006 21:47 154.624 wpdmtp.dll
18.10.2006 21:47 1.329.152 WMSPDMOE.dll
18.10.2006 21:47 63.488 wpdmtpus.dll
18.10.2006 21:47 2.603.008 WpdShext.dll
18.10.2006 21:47 656.896 WMVXENCD.dll
18.10.2006 21:47 133.632 WPDShServiceObj.dll
18.10.2006 21:47 356.352 wpdsp.dll
18.10.2006 21:47 629.760 wpd_ci.dll
18.10.2006 21:47 603.648 WMSPDMOD.dll
18.10.2006 21:47 4.096 wmsdmoe2.dll
18.10.2006 21:47 1.543.680 WMVDECOD.dll
18.10.2006 21:47 4.096 wmsdmod.dll
18.10.2006 21:47 4.096 wmvdmod.dll
18.10.2006 21:47 4.096 wmvdmoe2.dll
18.10.2006 21:47 767.488 WMVSENCD.dll
18.10.2006 21:47 1.382.912 WMVSDECD.dll
18.10.2006 21:47 4.096 WMVADVD.dll
18.10.2006 21:47 1.574.912 WMVENCOD.dll
18.10.2006 21:47 613.376 wmpmde.dll
18.10.2006 21:47 204.288 wmpsrcwp.dll
18.10.2006 21:47 1.661.440 wmpencen.dll
18.10.2006 21:47 348.672 wmdrmnet.dll
18.10.2006 21:47 535.040 wmdrmsdk.dll
18.10.2006 21:47 314.880 wmpdxm.dll
18.10.2006 21:47 157.184 wmidx.dll
18.10.2006 21:47 242.688 wmpasf.dll
18.10.2006 21:47 130.048 wmpps.dll
18.10.2006 21:47 429.056 wmdrmdev.dll
18.10.2006 21:47 33.792 wmdmlog.dll
18.10.2006 21:47 1.117.696 WMADMOE.dll
18.10.2006 21:47 757.248 WMADMOD.dll
18.10.2006 21:47 4.096 wdfapi.dll
18.10.2006 21:47 211.456 qasf.dll
18.10.2006 21:47 199.168 PortableDeviceWMDRM.dll
18.10.2006 21:47 132.096 PortableDeviceWiaCompat.dll
18.10.2006 21:47 166.912 PortableDeviceTypes.dll
18.10.2006 21:47 101.888 PortableDeviceClassExtension.dll
18.10.2006 21:47 284.160 PortableDeviceApi.dll
18.10.2006 21:47 37.376 wmdmps.dll
18.10.2006 21:47 27.136 mspmsnsv.dll
18.10.2006 21:47 175.616 mspmsp.dll
18.10.2006 21:47 179.712 msnetobj.dll
18.10.2006 21:47 321.536 mswmdm.dll
18.10.2006 21:47 4.096 MP4SDMOD.dll
18.10.2006 21:47 259.072 MP43DECD.dll
18.10.2006 21:47 212.992 MFPLAT.dll
18.10.2006 21:47 259.072 MPG4DECD.dll
18.10.2006 21:47 4.096 MPG4DMOD.dll
18.10.2006 21:47 4.096 MP43DMOD.dll
18.10.2006 21:47 317.440 MP4SDECD.dll
18.10.2006 21:47 11.264 LAPRXY.dll
18.10.2006 21:47 991.744 drmv2clt.dll
18.10.2006 21:47 542.720 blackbox.dll
18.10.2006 21:47 229.376 cewmdm.dll
18.10.2006 21:47 276.992 audiodev.dll
18.10.2006 20:05 232.448 l3codecp.acm
18.10.2006 20:00 249.856 drmupgds.exe
18.10.2006 20:00 17.408 wpdshextautoplay.exe
16.10.2006 18:15 126.976 oledlg.dll
14.10.2006 10:13 981.760 mfc42u.dll
13.10.2006 14:35 146.432 nwprovau.dll
13.10.2006 14:35 65.536 nwwks.dll
13.10.2006 14:35 64.000 nwapi32.dll
11.10.2006 18:24 313.344 p2pgraph.dll
11.10.2006 18:24 116.224 p2pnetsh.dll
11.10.2006 18:24 104.960 p2pgasvc.dll
11.10.2006 18:24 153.088 p2p.dll
11.10.2006 18:24 58.880 pnrpnsp.dll
11.10.2006 18:24 553.984 p2psvc.dll
02.10.2006 15:28 312.128 msdelta.dll
28.09.2006 20:13 95.344 WUDFCoinstaller.dll
28.09.2006 18:56 146.432 WudfHost.exe
28.09.2006 18:56 316.416 WUDFx.dll
28.09.2006 18:56 165.376 WudfPlatform.dll
28.09.2006 18:56 55.808 WudfSvc.dll
23.09.2006 13:12 82.428 IE7Eula.rtf
08.09.2006 13:16 503.808 AudioGenie2.ocx
01.09.2006 08:44 1.988 ticrf.rat
25.08.2006 17:46 617.472 comctl32.dll
24.08.2006 14:17 500.278 dxmasf.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
17.08.2006 14:28 132.096 wkssvc.dll
16.08.2006 13:58 100.352 6to4svc.dll
11.08.2006 22:45 2.953.216 nvvitvsr.dll
11.08.2006 22:45 2.904.064 nvvitvs.dll
11.08.2006 22:45 2.859.008 nvmoblsr.dll
11.08.2006 22:45 888.832 nvmobls.dll
11.08.2006 22:45 458.752 nvmccssr.dll
11.08.2006 22:45 188.416 nvmccss.dll
11.08.2006 22:45 1.236.992 nvwss.dll
11.08.2006 22:45 2.928.640 nvgamesr.dll
11.08.2006 22:45 3.039.232 nvgames.dll
11.08.2006 22:45 5.251.072 nvdispsr.dll
11.08.2006 22:45 5.611.520 nvdisps.dll
11.08.2006 22:45 45.056 nvmccsrs.dll
11.08.2006 22:45 229.376 nvmccs.dll
11.08.2006 22:45 581.632 nvhwvid.dll
11.08.2006 22:44 147.456 nvcolor.exe
11.08.2006 22:43 196.608 nvapi.dll
11.08.2006 22:43 81.920 nvwddi.dll
11.08.2006 22:43 86.016 nvmctray.dll
11.08.2006 22:43 7.630.848 nvcpl.dll
11.08.2006 22:43 1.470.464 nview.dll
11.08.2006 22:43 1.519.616 nwiz.exe
11.08.2006 22:43 442.368 nvappbar.exe
11.08.2006 22:43 466.944 nvshell.dll
11.08.2006 22:43 73.728 nvtuicpl.cpl
11.08.2006 22:43 1.339.392 nvdspsch.exe
11.08.2006 22:43 286.720 nvnt4cpl.dll
11.08.2006 22:43 425.984 keystone.exe
11.08.2006 22:43 1.662.976 nvwdmcpl.dll
11.08.2006 22:43 1.019.904 nvwimg.dll
11.08.2006 22:42 5.636.096 nvoglnt.dll
11.08.2006 22:42 4.496.128 nv4_disp.dll
11.08.2006 22:42 155.715 nvsvc32.exe
11.08.2006 22:42 16.960 nvdisp.nvu
11.08.2006 22:42 208.896 nvudisp.exe
11.08.2006 22:42 35.840 nvcodins.dll
11.08.2006 22:42 35.840 nvcod.dll
21.07.2006 15:38 22.160 igxpxs32.vp
21.07.2006 15:16 192.512 igfxCoIn_v4642.dll
21.07.2006 15:16 397.312 igxpun.exe
21.07.2006 14:12 2.053.120 igxpdx32.dll
21.07.2006 14:12 348.880 igmedkrn.dll
21.07.2006 14:11 48.128 igxprd32.dll
21.07.2006 14:11 140.800 igxpgd32.dll
21.07.2006 14:11 1.294.784 igxpdv32.dll
21.07.2006 12:21 1.204.224 ig4dev32.dll
21.07.2006 12:18 2.416.640 ig4icd32.dll
21.07.2006 11:50 147.456 igfxrtha.lrc
21.07.2006 11:50 155.648 igfxrtrk.lrc
21.07.2006 11:50 163.840 igfxrrus.lrc
21.07.2006 11:50 155.648 igfxrsve.lrc
21.07.2006 11:50 155.648 igfxrnor.lrc
21.07.2006 11:50 159.744 igfxrplk.lrc
21.07.2006 11:50 163.840 igfxrptg.lrc
21.07.2006 11:50 163.840 igfxrptb.lrc
21.07.2006 11:50 114.688 igfxrkor.lrc
21.07.2006 11:50 114.688 igfxrjpn.lrc
21.07.2006 11:50 172.032 igfxrita.lrc
21.07.2006 11:50 172.032 igfxrnld.lrc
21.07.2006 11:50 167.936 igfxrfra.lrc
21.07.2006 11:50 139.264 igfxrheb.lrc
21.07.2006 11:50 163.840 igfxrhun.lrc
21.07.2006 11:50 172.032 igfxresp.lrc
21.07.2006 11:50 159.744 igfxrfin.lrc
21.07.2006 11:50 176.128 igfxrell.lrc
21.07.2006 11:50 176.128 igfxrdeu.lrc
21.07.2006 11:50 159.744 igfxrcsy.lrc
21.07.2006 11:50 176.128 igfxres.dll
21.07.2006 11:50 155.648 igfxrdan.lrc
21.07.2006 11:50 98.304 igfxrchs.lrc
21.07.2006 11:50 94.208 igfxrcht.lrc
21.07.2006 11:50 143.360 igfxrara.lrc
21.07.2006 11:50 23.552 igfxexps.dll
21.07.2006 11:50 118.784 igfxext.exe
21.07.2006 11:50 86.016 hkcmd.exe
21.07.2006 11:49 450.560 igfxcfg.exe
21.07.2006 11:48 94.208 igfxcpl.cpl
21.07.2006 11:48 98.304 igfxtray.exe
21.07.2006 11:47 106.496 igfxzoom.exe
21.07.2006 11:47 3.276.800 igfxress.dll
21.07.2006 11:47 81.920 igfxpers.exe
21.07.2006 11:46 98.304 igfxdo.dll
21.07.2006 11:46 155.648 igfxpph.dll
21.07.2006 11:46 41.984 igfxsrvc.dll
21.07.2006 11:46 188.416 igfxsrvc.exe
21.07.2006 11:46 155.648 igfxrenu.lrc
21.07.2006 11:45 81.920 hccutils.dll
21.07.2006 11:45 147.456 igfxdev.dll
21.07.2006 11:35 58.704 igxpxk32.vp
21.07.2006 11:35 929 igxpxa32.vp
21.07.2006 11:35 524.850 igxpxa32.cpa
21.07.2006 10:29 72.704 hlink.dll
26.06.2006 19:40 8.192 rasadhlp.dll
22.06.2006 12:47 181.248 rasmans.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
|
|
14.07.2009, 07:29
| #7 |
| | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-14 08:29:38
Windows 5.1.2600 Service Pack 2
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \FileSystem\Fastfat \Fat TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] emgvaciv <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xmlhc <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@DisplayName Image Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Description Unterst?tzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen f?r Computer in einer Dom?ne.
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@DisplayName Universal Installer
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Description Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@DisplayName Image Shell
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Description Unterst?tzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen f?r Computer in einer Dom?ne.
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@DisplayName Universal Installer
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@Description Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
---- EOF - GMER 1.0.15 ----
|
|
14.07.2009, 18:05
| #8 | |
| /// Helfer-Team | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 hi 1. Wichtig!: Zitat:
Geh auf den Reiter "Services". Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete". Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell 2. Dann lass` "gmer" erneut scannen Scanner wieder einschalten, bevor Du ins Netz gehst! und poste den Bericht. |
|
15.07.2009, 07:43
| #9 |
| | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 so hier die neue logfile! Die anderen Logs sind OK? Den scanner krieg ich leider nicht ausgeschaltet! Auf dem Reiter Services konnte ich nur DISABLE machen aber das hat er bei AUTO gelassen! SVCHOST...darf man diese datei überhaupt löschen? Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-15 08:39:30
Windows 5.1.2600 Service Pack 2
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \FileSystem\Fastfat \Fat TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] emgvaciv <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xmlhc <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@DisplayName Image Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv@Description Unterst?tzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen f?r Computer in einer Dom?ne.
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\emgvaciv\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@DisplayName Universal Installer
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc@Description Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\xmlhc\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@DisplayName Image Shell
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv@Description Unterst?tzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen f?r Computer in einer Dom?ne.
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\emgvaciv\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@DisplayName Universal Installer
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc@Description Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\xmlhc\Parameters@ServiceDll C:\WINDOWS\system32\mlcehtu.dll
---- EOF - GMER 1.0.15 ----
|
|
15.07.2009, 16:17
| #10 | ||
| /// Helfer-Team | Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 hi Zitat:
- C:\Windows\System32\svchost.exe - nein! Code:
ATTFilter Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
Wichtig: Die Datei "svchost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei svchost.exe um einen Virus, Spyware, Trojaner oder Worm! Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden 2. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code:
ATTFilter Drivers to disable:
emgvaciv
xmlhc
Drivers to delete:
emgvaciv
xmlhc
→ die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein 3. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten): Zitat:
poste erneut: Trend Micro HijackThis-Logfile |
|
| Themen zu Externe Festplatte infiziert WORM_VB.DTL / MAL_OTORUN1 |
| anti-malware, autorun.inf, datei, dateien, externe festplatte, festplatte, hallo zusammen, immer wieder, infiziert, information, micro, ordner, platte, problem, probleme, registrierungsschlüssel, scan, scanner, service, system, trend, version, virenscan, virenscanner, worm, _restore |
Hybrid-Darstellung
