Trojaner-Board - Virus.Win32.Virut.q!IK

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus.Win32.Virut.q!IK (https://www.trojaner-board.de/71359-virus-win32-virut-q-ik.html)

Virus.Win32.Virut.q!IK

Hallo

Ich bräuchte Hilfe bezüglich des von a-squared gefundenen Virus.Win32.Virut.q!IK.
Dieser wurde vom Programm in Quarantäne gesetzt, lässt sich aber nicht löschen.
Nach dem Scan waren noch mehrere Dateien infiziert laut a-squared, ebenfalls nicht löschbar, aber jetzt sind sie weg. Also Dateien befanden sich mit Namen in Quarantäne, jetzt werden sie nicht mehr aufgelistet.

HIJACK:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:07:08, on 24.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\Programme\Sygate\SPF\smc.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\Programme\Java\jre6\bin\jusched.exe

c:\programme\a-squared free\a2service.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Acer\Empowering Technology\admServ.exe

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Programme\ICQ6Toolbar\ICQ Service.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\DOKUME~1\xxx\LOKALE~1\Temp\RtkBtMnt.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://search.xxx.at

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://search.bearshare.com/at/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxx://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxx://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: (no name) -  - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xxx://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - xxx://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - xxx://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - xxx://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
 

--

End of file - 10783 bytes

Wäre für jede Hilfe dankbar. ;)

Hi,

das ist nicht gut.
Virut befällt normalerweise alle EXE-Dateien, was zum kompletten Neuaufsetzen des Systems führt...(die Variante q!IK kennen ich noch nicht ;o)

Daher wundere ich mich gerade, weswegen keine Datei mehr angemeckert wird (welche waren es und wo lagen sie?)...

Scanne damit mal und poste das Log...
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

chris

Hallo

Danke für deine rasche Antwort. Habe schon befürchtet, dass ich den Computer neu aufsetzen muss.
Kann ich noch ein paar Dateien sichern, oder wird das nicht möglich sein? Wenn ja, welche?

Ich kann dir nicht sagen welche Dateien es genau waren, aber waren hauptsächlich noch ein paar .exe Dateien. Eine .mp3 Datei.
Ich glaube (da bin ich mir jetzt nicht mehr sicher) noch Dateien mit Endung .dlll, oder so ähnlich.
Wenn ich gewusst hätte, dass die weg sind bis ich wieder zum Computer komme hätte ich sie mir notiert, aber damit hatte ich nicht gerechnet. :(
Die einzige Datei die sich noch in der Quarantäne befindet ist eben der oben besagte Virus.Win32.Virut.q!IK.

Und jetzt noch Kaspersky:

Code:

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 71369

        Viren gefunden: 0

        Infizierte Objekte gefunden: 0

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 01:03:25
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SYSTEM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SOFTWARE        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\DEFAULT        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\Antivirus.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\_avast4_\Webshlock.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\sqlite_0fngLOoVWmgoltf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_278.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_76c.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RPProcess.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RPRegistry.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RPNetwork.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\Service_2009-03-25-11-59-51.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\Scan_2009-03-25-11-59-51.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RP_2009-03-25-11-59-52.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\etilqs_fC8A0woFRwRMKbb7cgVw        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009032520090326\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\parent.lock        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\places.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\search.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat        Das Objekt ist gesperrt        übersprungen

C:\Programme\Alwil Software\Avast4\DATA\Avast4.db        Das Objekt ist gesperrt        übersprungen

C:\Programme\Sygate\SPF\debug.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Sygate\SPF\syslog.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Sygate\SPF\seclog.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Sygate\SPF\tralog.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Sygate\SPF\rawlog.log        Das Objekt ist gesperrt        übersprungen

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLML_MAIN\CLML.db        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\_restore{501249ED-461A-44D4-B160-67D81771EBAB}\RP491\change.log        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

Grüße
Misa

Hi,

interessant, nichts zu finden....

Probieren wir noch Silentrunner, Dr. Web und Prevx:

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Abgesicherter Modus Drweb cureit reinigen lassen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, das Log posten und einen Screenshot des dann angezeigten Fensters...

Du kannst normalerweise Daten sichern, jedoch keine Programme/Dlls etc.

chris

Hallo ^^

Also beginnen wir Mal mit Silent Runner:

Code:

"Silent Runners.vbs", revision 59, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer-Networking Ltd."]

"msnmsgr" = ""C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]

"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]

"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]

"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]

"LaunchApp" = "Alaunch" ["Acer Inc."]

"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]

"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]

"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

"(Default)" = "(empty string)" [file not found]

"ADMTray.exe" = ""C:\Acer\Empowering Technology\admtray.exe"" ["Avocent Inc."]

"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]

"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]

"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]

"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]

"ePower_DMC" = "C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" ["Acer Incorporated"]

"Acer ePower Management" = "C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot" ["Acer Value Labs, Taiwan"]

"LManager" = "C:\PROGRA~1\LAUNCH~1\LManager.exe" ["Dritek System Inc."]

"eRecoveryService" = "C:\Acer\Empowering Technology\eRecovery\Monitor.exe" ["acer Inc."]

"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]

"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]

"LXSUPMON" = "C:\WINDOWS\system32\LXSUPMON.EXE RUN" ["Lexmark International Inc."]

"Ad-Watch" = "C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe" ["Lavasoft"]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"

  -> {HKLM...CLSID} = "Adobe PDF Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"

                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]

{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"

  -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]

"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"

  -> {HKLM...CLSID} = "EPM-PO Shell Extensions"

                   \InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]

"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"

  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"

                   \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]

"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"

  -> {HKLM...CLSID} = "KbLogiExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."]

"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"

  -> {HKLM...CLSID} = "LogiExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"

  -> {HKLM...CLSID} = "a-squared Free Context Menu"

                   \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]

"{4EFE464B-3D0B-4800-A5DE-2321283A3256}" = "QCD IconHandler"

  -> {HKLM...CLSID} = "QIconHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Quintessential Player\QCDIcons.dll" [empty string]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\

<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

EDSshellExt\(Default) = "{29FF7AB0-BE34-4992-A30B-53A9D86EE239}"

  -> {HKLM...CLSID} = "eDSshlExt Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\eDSshellExt.dll" ["HiTRUST"]

LavasoftShellExt\(Default) = "{DCE027F7-16A4-4BEE-9BE7-74F80EE3738F}"

  -> {HKLM...CLSID} = "Lavasoft Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Lavasoft\Ad-Aware\ShellExt.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

EDSshellExt\(Default) = "{29FF7AB0-BE34-4992-A30B-53A9D86EE239}"

  -> {HKLM...CLSID} = "eDSshlExt Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\eDSshellExt.dll" ["HiTRUST"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"

  -> {HKLM...CLSID} = "a-squared Free Context Menu"

                   \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

LavasoftShellExt\(Default) = "{DCE027F7-16A4-4BEE-9BE7-74F80EE3738F}"

  -> {HKLM...CLSID} = "Lavasoft Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Lavasoft\Ad-Aware\ShellExt.dll" [null data]

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"

  -> {HKLM...CLSID} = "a-squared Free Context Menu"

                   \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"HonorAutoRunSetting" = (REG_DWORD) dword:0x00000001

{unrecognized setting}
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Enabled Screen Saver:

---------------------
 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\ACER.SCR" [null data]
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

DVDDecrypterPlayDVDMovieOnArrival\

"Provider" = "DVD Decrypter"

"InvokeProgID" = "DVDDecrypter"

"InvokeVerb" = "PlayDVDMovieOnArrival_Decrypt"

HKLM\SOFTWARE\Classes\DVDDecrypter\shell\PlayDVDMovieOnArrival_Decrypt\Command\(Default) = ""C:\Programme\DVD Decrypter\DVDDecrypter.exe" /MODE READ /SOURCE "%1"" ["LIGHTNING UK!"]
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

NTIBurner\

"Provider" = "NTI CD-Maker"

"InvokeProgID" = "NTIBurnerOpen"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\NTIBurnerOpen\shell\open\command\(Default) = ""C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\Cdmkr32.exe"" ["NewTech Infosystems, Inc."]
 

PCinemaDCameraArrival\

"Provider" = "Acer Arcade"

"InvokeProgID" = "Picture"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\Picture\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY DSC "%L"" ["CyberLink Corp."]
 

PCinemaDVArrival\

"Provider" = "Acer Arcade"

"ProgID" = "Shell.HWEventHandlerShellExecute"

"InitCmdLine" = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" DV "%L""

HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"

                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
 

PCinemaMusicFilesArrival\

"Provider" = "Acer Arcade"

"InvokeProgID" = "MusicFiles"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\MusicFiles\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY MUSIC "%L"" ["CyberLink Corp."]
 

PCinemaPlayCDAudioOnArrival\

"Provider" = "Acer Arcade"

"InvokeProgID" = "AudioCD"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY CD "%L"" ["CyberLink Corp."]
 

PCinemaPlayDVDMovieOnArrival\

"Provider" = "Acer Arcade"

"InvokeProgID" = "DVD"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY MOVIE "%L"" ["CyberLink Corp."]
 

PCinemaVideoFilesArrival\

"Provider" = "Acer Arcade"

"InvokeProgID" = "VideoFiles"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\VideoFiles\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY VIDEO "%L"" ["CyberLink Corp."]
 

PPCDBurningOnArrival\

"Provider" = "PowerProducer"

"InvokeProgID" = "Picture"

"InvokeVerb" = "OpenWithPowerProducer"

HKLM\SOFTWARE\Classes\Picture\shell\OpenWithPowerProducer\Command\(Default) = ""C:\Program Files\CyberLink\PowerProducer\Producer.exe"" ["CyberLink"]
 

PPDCameraArrival\

"Provider" = "PowerProducer"

"InvokeProgID" = "Picture"

"InvokeVerb" = "OpenWithPowerProducer"

HKLM\SOFTWARE\Classes\Picture\shell\OpenWithPowerProducer\Command\(Default) = ""C:\Program Files\CyberLink\PowerProducer\Producer.exe"" ["CyberLink"]
 

PPDVArrival\

"Provider" = "PowerProducer"

"ProgID" = "Shell.HWEventHandlerShellExecute"

"InitCmdLine" = ""C:\Program Files\CyberLink\PowerProducer\Producer.exe""

HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"

                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
 

PSASE30ImportPicturesOnArrival\

"Provider" = "Adobe Photoshop Album Starter Edition"

"InvokeProgID" = "PSASE30.autoplay"

"InvokeVerb" = "launch"

HKLM\SOFTWARE\Classes\PSASE30.autoplay\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\psaproxy.exe"  -v  %1\" ["Adobe Systems Incorporated"]
 

RPCDBurningOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.CDBurn.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]
 

RPDeviceOnArrival\

"Provider" = "RealPlayer"

"ProgID" = "RealPlayer.HWEventHandler"

HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"

  -> {HKLM...CLSID} = "RealNetworks Scheduler"

                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]
 

RPPlayCDAudioOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AudioCD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]
 

RPPlayDVDMovieOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.DVD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]
 

RPPlayMediaOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AutoPlay.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]
 

VLCPlayCDAudioOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.CDAudio"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]
 

VLCPlayDVDMovieOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.DVDMovie"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]
 
 

Enabled Scheduled Tasks:

------------------------
 

"Ad-Aware Update (Weekly)" -> launches: "C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe update all silent" ["Lavasoft"]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 05, 08 - 21

%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}" = (no title provided)

  -> {HKLM...CLSID} = "Acer eDataSecurity Management"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\eDStoolbar.dll" ["HiTRUST"]

"{0FBB9689-D3D7-4F7A-A2E2-585B10099BFC}" = "Veoh Web Player Video Finder"

  -> {HKLM...CLSID} = "Veoh Web Player Video Finder"

                   \InProcServer32\(Default) = "C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll" ["Veoh Networks Inc"]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ Lite"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]
 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\

"MenuText" = "Spybot - Search & Destroy Configuration"

"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"

  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"

                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{E59EB121-F339-4851-A3BA-FE49C35617C2}\

"ButtonText" = "ICQ6"

"MenuText" = "ICQ6"

"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

a-squared Free Service, a2free, ""c:\programme\a-squared free\a2service.exe"" ["Emsi Software GmbH"]

AdminWorks Agent X6, AWService, ""C:\Acer\Empowering Technology\admServ.exe"" ["Avocent Inc."]

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]

avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]

avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]

Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}

CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe"" [empty string]

CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe"" ["Cyberlink"]

Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared Files\RichVideo.exe"" [empty string]

CyberLink Task Scheduler (CTS), CLSched, ""C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe"" [empty string]

ICQ Service, ICQ Service, "C:\Programme\ICQ6Toolbar\ICQ Service.exe" [empty string]

Intel(R) PROSet/Wireless Event Log, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]

Intel(R) PROSet/Wireless Registry Service, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]

Intel(R) PROSet/Wireless Service, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]

Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."]

Lavasoft Ad-Aware Service, Lavasoft Ad-Aware Service, ""C:\Programme\Lavasoft\Ad-Aware\AAWService.exe"" ["Lavasoft"]

LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]

LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]

Net Driver HPZ12, Net Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZinw12.dll" ["Hewlett-Packard"]}

Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZipm12.dll" ["Hewlett-Packard"]}

Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]

HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]

hpz3l4sa\Driver = "hpz3l4sa.dll" ["Hewlett-Packard Company"]

Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

PDFCreator\Driver = "pdfcmnnt.dll" [null data]
 
 

---------- (launch time: 2009-03-25 14:12:34)

<<!>>: Suspicious data at a malware launch point.

Dr. Web hat was gefunden, allerdings ist der nächste Report so lang, dass ich ihn in mindestens 10 Teile stückeln könnte.

Irgendeine andere Methode die du bevorzugen würdest, wie ich das File onstellen könnte?:confused:

Ach ja, Prevx hat nichts gefunden.

Hallo

lade das Log doch z.B. hier hoch
File-Upload.net - Ihr kostenloser File Hoster!
und poste den Link hierher.

MFG

Okay, danke. Hier wäre dann der Link:

http://www.file-upload.net/download-1549541/CureIt.txt.html

Ich hoffe, ich habe das richtige File gefunden.

Ach ja, hab gestern noch vergessen zu erwähnen was Dr. Web gefunden hat:

Code:

RegUBP2b-User.reg
 

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2
 

Trojan.StartPage.1505

Dr. Prev hat nichts gefunden.

Wie soll ich nun weiter vorgehen?

Und kann ich Daten auch auf einer externen Festplatte sichern, oder ist davon eher abzuraten?

Misa

Hi,

auch das Silentrunner-Log sieht sauber aus...
Beim anstöpseln der HD die SHIFT-Taste gedrückt halten...
Ausserdem würde ich die Immunisierung mit "Flashdisinfector" empfehlen (Unterdrückung von autorun und Immunisierung (schriebt eine autorun.inf-Verzeichnis, das nicht überschrieben werden kann, damit können sich autorunviren/trojaner) darüber nicht mehr "fortpflanzen").

Was mach der Rechner?

chris

Also der Rechner läuft noch stabil, allerdings hat a-squared eine neue Datei als verdächtig eingestuft:

Code:

C:/WINDOWS/system32/dllcache/chkrzm.exe

Und meinst du Immunisierung für die HD, oder allgemein?
Ich glaub, dass musst du mir noch näher erklären. Ist das einfach ein weiteres Programm was ich starten muss? :confused:

Danke für deine Hile. :)

Grüße
Misa

Hi,

die Datei bei Virustotal prüfen lassen...
virustotal

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:/WINDOWS/system32/dllcache/chkrzm.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Autorun-Vrius und Autorun disablen!
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
oder
http://www.trojaner-board.de/72847-flash-disinfector-externe-medien-desinfizieren-und-absichern.html
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

chris

Hallo :)

Erster Punkt ist erledigt:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.0.0.101        2009.03.28        -

AhnLab-V3        5.0.0.2        2009.03.27        -

AntiVir        7.9.0.129        2009.03.27        -

Antiy-AVL        2.0.3.1        2009.03.28        -

Authentium        5.1.2.4        2009.03.27        -

Avast        4.8.1335.0        2009.03.27        -

AVG        8.5.0.285        2009.03.27        -

BitDefender        7.2        2009.03.28        -

CAT-QuickHeal        10.00        2009.03.28        -

ClamAV        0.94.1        2009.03.28        -

Comodo        1087        2009.03.28        -

DrWeb        4.44.0.09170        2009.03.28        -

eSafe        7.0.17.0        2009.03.27        -

eTrust-Vet        31.6.6421        2009.03.27        -

F-Prot        4.4.4.56        2009.03.27        -

F-Secure        8.0.14470.0        2009.03.28        -

Fortinet        3.117.0.0        2009.03.28        -

GData        19        2009.03.28        -

Ikarus        T3.1.1.48.0        2009.03.28        -

K7AntiVirus        7.10.683        2009.03.27        -

Kaspersky        7.0.0.125        2009.03.28        -

McAfee        5566        2009.03.27        -

McAfee+Artemis        5566        2009.03.27        -

McAfee-GW-Edition        6.7.6        2009.03.28        -

Microsoft        1.4502        2009.03.27        -

NOD32        3971        2009.03.28        -

Norman        6.00.06        2009.03.27        -

nProtect        2009.1.8.0        2009.03.28        -

Panda        10.0.0.10        2009.03.27        -

PCTools        4.4.2.0        2009.03.27        -

Rising        21.22.52.00        2009.03.28        -

Sophos        4.40.0        2009.03.28        -

Sunbelt        3.2.1858.2        2009.03.28        -

Symantec        1.4.4.12        2009.03.28        -

TheHacker        6.3.3.8.294        2009.03.28        -

TrendMicro        8.700.0.1004        2009.03.28        -

VBA32        3.12.10.1        2009.03.27        -

ViRobot        2009.3.27.1666        2009.03.27        -

weitere Informationen

File size: 42575 bytes

MD5...: 5cb19e77d8d7ede3f803b52d3c8cde16

SHA1..: d02b6ba2ab96c1429fe6c136ec8e4f06dad01b48

SHA256: b1a90e2bd8270dc7a6b4f4d3ed900893b4d44cf639e62dcb05c8d432b4c97ed8

SHA512: bc87c079af70bfc8350f81ab0fbb7779ca3126f7d769853811a4d8d8b7f6de85

0c524ff327e1e106f661e0e950c014f61a6d8556969587c63cd2c5c66fd1131a

ssdeep: 768:oqqC0XaTgWNKBnbWQn7GUF3Ho1s11fTaTF01laJ9v9AFvx:oRC0XSgWoSmss

1FAyar9AFJ

PEiD..: Armadillo v1.71

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x2f88

timedatestamp.....: 0x3b0ecabe (Fri May 25 21:12:30 2001)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2484 0x2600 5.55 1a6143476fe76365afdf9f5a7d9eb872

.data 0x4000 0x12a0 0x1400 4.48 4ccf1f67e11cd6fa0a0beebdf21657c1

.rsrc 0x6000 0x7000 0x6800 6.03 f43614dc9858c0c2f76d6df5b5fec2a9
 

( 6 imports )

> UNIANSI.dll: FormatMessageW, GetModuleFileNameW, lstrcpyW, LoadStringW

> KERNEL32.dll: GetUserDefaultLangID, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrlenA, lstrcmpA

> USER32.dll: MessageBoxW

> ole32.dll: CoInitialize, CLSIDFromProgID, CoCreateInstance, CoUninitialize

> OLEAUT32.dll: -, -, -

> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, exit, _exit, _acmdln, _XcptFilter
 

( 0 exports )

RDS...: NSRL Reference Data Set
 

( Microsoft )
 

> MSDN Disc 2041: chkrzm.exe

> MSDN Disc 2307: chkrzm.exe

> MSDN Disc 3264: chkrzm.exe

> Applications, Platforms, Servers: chkrzm.exe

> Platforms, SDK/DDK: chkrzm.exe

> Windows XP Home Edition: chkrzm.exe

> MSDN Disc 2438.7: chkrzm.exe

> MSDN Disc 2438.2: chkrzm.exe

> MSDN DISC 2438.3: chkrzm.exe

> MSDN Disc 2438.1: chkrzm.exe

> Disc 2438.5: chkrzm.exe

> MSDN Disc 2438: chkrzm.exe

> MSDN Disc 2438.8: chkrzm.exe

Der Rest folgt zugleich, melde mich dann wieder wenn ich fertig bin.

Grüße
Misa

Danke für die ausführliche Anleitung, alles erledigt jetzt.

Und wie geht es nun weiter?

Grüße
Misa

Hi,

ich halte die Meldung von asquere für eine Falschmeldung...
http://www.filename.info/f/chkrzm.exe.html

Bennen die Datei einfach um, auf z.B. chkrzm.exe.vir, dann kann sie nicht mehr ausgeführt werden und falls es Probleme gibt, ist die Wiederherstellung einfach!

Da kein Scanner mehr was findet kannst Du den Rechner mit einem gewissen Risiko weiter benutzen, jedoch würde ich kein eBanking etc. darauf machen, dann doch lieber Neuaufsetzen...

chris