Windows Sicherheitsupdate erstellt merkwürdige Ordner
 

Hallo zusammen!

Ich hab zwar keine Ahnung ob ich wirklich hier richtig (wenn nicht, dann verschieb es bitte jemand), aber zumindest geht meine Vermutung dahin, dass es sich um einen Trojaner oder ähnliches handeln könnte.
Also, auf dem PC meiner Eltern spielen sich in letzter Zeit recht merkwürdige Dinge ab..

Auf dem Rechner ist Windows 2000 installiert und da ist es ja normal das hin und wieder, wie ich jetzt gelesen habe ungefähr einmal im Monat, ein Sicherheitsupdate kommt. Die ganze Zeit war das auch so und wir haben diese Updates immer schön brav installiert. Seit neuestem kommen diese Update aber andauernd gerade in der letzten Stunde ungefähr 5-6 Stück, was aber sicher doch nicht normal ist, oder?
Wenn man dann auf installieren klickt macht er irgendwas und behauptet er sei fertig. Wenige Minuten später will er dann das nächste installieren. Eine Endlosschleife...
Aufgefallen ist mir jetzt das jedesmal wenn er ein solches Update installiert ein neuer Ordner auf einer Partition erscheint die für Spiele u.ä. genutzt wird. Nicht auf der Partition auf der das System liegt. In diesem Ordner ist dann ne Textdatei mit irgendeinem ellenlangen Protokoll auf Englisch mit dem ich nichts anfangen. Irgendein Zugriff wird da dokumentiert so wie es mir scheint. Der ganze Prozess dauert so im Schnitt drei Sekunden.
Merkwürdig ist auch die Bezeichnung der Ordner, z.B.: 18a5b937bab5192bf7 oder 12f6c7d74ac360ae91e0dc.
Aufgefallen ist mir noch das diese angeblichen Sicheheitsupdates offenbar für das SP2 sind, obwohl SP4 installiert ist.

Einen Virencheck habe ich gemacht, der allerdings nur einen wohl "harmlosen" Virus entdeckt und eliminiert hat. Das Problem bestand weiterhin.

Als nächstes habe ich dann einen Check nach Trojanern und sonstiger Malware gemacht, der auch prompt 776 Treffer gelandet hat. Diese Treffer habe ich einfach mal in Quarantäne geschickt, da ich mit den meisten Sachen nichts anfangen konnte und ich Bedenken hatte irgendetwas zu zerstören was vielleicht noch gebraucht wird. Nützt diese Quarantäne denn irgendwas, denn geändert an dem Problem hat sich nichts?

Kann damit irgendwer was anfangen und mir erklären was das sein soll?

Vielen Dank für jede Hilfe, bin ziemlich ratlos.

Gruß

Edith: Der Virencheck wurde mit Antivir gemacht und der zweite Check nach Trojaner hiermit: a-squared Free 2.0

Hat hier niemand mal zumindest ne Idee? Bin auch für Mutmaßungen offen und wenn noch irgendwelche Infos gebraucht werden, nur fragen...

Hallo,

also als erstes solltest du uns mal sagen, was für ein "harmloser" Virus gefunden wurde.....wenn möglich mit Pfadangabe usw.

Dann wäre ein Hijacktis LOG nicht verkehrt...alles dazu in meiner SIG!

Mal sehen ob man daraus was sieht...dann sehen wir weiter!


Gruß Mellosun

Hi und danke für deine Reaktion!

Zunächst das Ergebnis des Virenscans: Antivir hat unter dem folgenden Pfad (C:\WINNT\systems32\ezPobStub.exe) etwas erkannt was er als verdächtigen Code mit der Bezeichnung HEUR/Malware bezeichnet hat. Die entsprechende Datei konnte nicht gelöscht werden, weshalb Antivir sie unter Quaratäne gesetzt hat.

Das HiJackThisLog sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 12:19:39, on 06.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINNT\system32\P2P Networking\P2P Networking.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\PROGRA~1\WINZIP\wzqkpick.exe
E:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINNT\system32\replaceSearch.dll (file missing)
O2 - BHO: Cas Class - {B5F3970B-745E-46AC-B890-E08F69777D80} - C:\WINNT\system32\ca2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = E:\Programme\VR-Networld\vrtoolcheckorder.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing)
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich hoffe jemand hier kann was damit anfangen, denn ich kann es nicht wirklich. Wär also nett wenn jemand nen Blick draufwerfen könnte.

Danke schön und schöne Grüße

Also ich kenn mich mit Windows 2000 ja nicht sonderlich aus aber ich denke das mit dem merkwürdigen ordner sollte normal sein.
Zumindest ist das bei Windows XP ein bekanntes Phänomen.
Dazu ein Link:CHIP Online - Forum Homepage Questions (HPQ) - [HPQ] msxml4-KB927978-enu.log - 1
Ich habe zwei solche Ordner übrigens auf meine Daten Partition:
enthalten jeweils eine Datei die ungefähr so heißt:
msxml4-KB927978-enu.log

Ich würde mir über die Ordner keine Gedanken machen wenn es bei dir so ist wie bei mir und mich mehr auf den Trojaner konzentrieren.



Böse Einträge sollten sein:
C:\WINNT\system32\P2P Networking\P2P Networking.exe
Dazu wieder ein Link:
Symantec Security Response - Adware.P2PNetworking

Dein Antivirenprogramm hat außerdem schon ganze Arbeit geleistet. Es hat einiges an adware rausgehauen. Die verbleibenden Registryeinträge noch fixen. Sollte so ziemlich alles adware gewesen sein wo hinten (file missing) dransteht.
Des weiteren mal überprüfen ob die von Antivir gefundene Datei noch existiert und wenn ja diese bei Virustotal hochladen:

http://www.virustotal.com/en/indexf.html

Hab mir den Link mal angeschaut und werde das was dort vorgeschlagen wird mal probieren. Kann jetzt nicht an den PC. Ehrlich gesagt finde ich das schon ein starkes Stück das MS diese Ordner anlegt und das auch für normal befindet.

Welchen Trojaner meinst du denn jetzt? Das was Antivir gefunden hat oder wie? Und was meinst du mit Registryeinträgen fixen? Bin ein ziemlicher Noob was die unteren Systemebenen angeht.
Kann ich diese Sachen einfach löschen und wie mache ich das? Ich beutze hin und wieder das Programm Tuneup Utilities, damit kann man die Registry bereinigen. Genügt das, oder muss ich da tiefer einsteigen?

Vielen Dank für die Hilfe.

Schönen Gruß

Hallole,

ja, daß mit TuneUp würde mich auch interessieren.
Schafft es das Programm tatsächlich, die Registry zu bereinigen, oder sollte man das wirklich manuell machen?

Gruß Wally

Ja du sollst auf der Seite die ich verlinkt hab die Datei die von Antivir als Virus erkannt wird hochladen. Außerdem hast du ja mit Hijackthis dein Logfile erstellt. Nach einem Scan öffnet sich ja ein kleines Fenster in dem du böse Einträge ankreuzen kannst. dann muss es noch einen Button geben der Fix Checked Heißt also machst du noch mal einen check mit HJT und kreuzt alles böse an und klickst auf fix checked. Und Tune Up säubert natürlich keine bösen Einträge es säubert z.B. nur den Autostart was das System eventuell schneller macht. Bitte natürlich das Ergebniss von Virustotal dann posten bzw. sagen ob es die Datei überhaupt noch gibt.

Also TuneUP (kostenpflichtig!) ist meiner Meinung nach nicht nötig. Um die bekannten temp-Pfade von unnötigen Dateien zu befreien, reicht der CCleaner völlig aus. Wenn man mag kann man noch mit dem Programm RegCleaner seine Registry ausmisten lassen.

Hi!

Hab die Datei mal bei Virustotal hochgeladen:

Irgendwie komisch das jetzt auf einmal kein Fund mehr angezeigt wird. Hab die Datei jetzt trotzdem entfernt.

Das Problem mit den Updates scheine ich jetzt auch im Griff zu haben, der Lösungsvorschlag aus dem Link hat zumindest bis jetzt funktioniert.

Im Logfile von HiJackThis habe ich neben den genannten (wo "file missing" dahinter steht) noch ein paar weitere Einträge gefunden die mit "no file" bezeichnet wurden. Kann ich die auch löschen bzw. sind das potentiell bedenkliche Sachen?

Allen danke schön für die Hilfe.

Schönen Gruß

Hi,
es wurde nichts gefunden, weil die Datei verhindert hat, dass sie ausgewertet wird. Wie du selbst sehen kannst ist die ausgewertete Dateo 0b groß, das heißt einfach leer.
Falls du die Datei nochmal auswerten lassen willst würde ich empfehlen sie vorher in zb. virus.exe umzubenennen.


Was dein Logfile angeht:
Die Einträge "no file" und "file missing" sind nicht von Bedeutung weil die Erkennung da nicht wirklich richtig funktioniert.
Was man allerdings aus deinem Log erkennen kann, ist dass du dir die searchbar eingefangen hast.
Also fängst du am besten damit an dir die killbox herunterzuladen,

Dann fixt du mit HJT folgende Einträge:
Die letzen 3 Angaben nur fixen wenn sie dir unbekannt sind.
Anschließend bitte die beiden Dateienmit killbox "delete on reboot" löschen.

Dann solltest du fertig sein. :)
Kennst du folgende Datei, bzw kannst mir sagen was sie tut?
@Dani
In die Falle bin ich heute auch schon getappt. :o (nur, dass ich gleich empfohlen hab neuaufzusetzen, weil p2pnetworking.exe ein Backdoortrojaner ist :heilig: )


P2P networking/p2p networking.exe ist eine legitimie Windowsdatei

p2p networking/p2pnetworking.exe und p2pnetworking/p2pnetworking.exe sind dagegen Trojaner, meistens mit Backdoor.

DIe von dir verlinkte Adware erstellt folgende Dateien im bereits bestehenden Ordner p2p networking:

%System%\P2P Networking\Peer-to-peer networking.exe
%System%\P2P Networking\Marshal.dll
%System%\P2P Networking\P2P Networking.eng
%System%\P2P Networking v126.cpl
%System%\P2P Networking\Cache\*.*
%System%\P2P Networking\Cache\Database
%Windir%\Downloaded Program Files\WebP2PInstall.dll


Die p2p networking.exe ist da nicht dabei. ;)

lg myrtille

Hi myrtille!

Die von dir angesprochene Datei kenne ich jetzt nicht, könnte mir aber vorstellen das die von einem Update des Firefox stammt, da ich den einmal über web.de upgedatet habe.

Diese andere Datei mit dem p2p networking, was bewirkt die denn? Habe sie nämlich bereits gelöscht und bis jetzt aber noch keine Auswirkungen festgestellt. Muss man die haben?

Was sind die beiden für die Dateien (C:\WINNT\system32\replaceSearch.dll C:\WINNT\system32\ca2.dll)? Handelt es sich hierbei um Trojaner oder wie?

Die Searchforit Toolbar war mir auch aufgefallen und wäre bei nächster Gelegenheit gelöscht worden. Woran erkenne ich denn an den Logfiles welche Dateien ich löschen kann weil sie problematisch sind? Würde das ganze ja doch gerne verstehen damit ich mir vielleicht irgendwann auch mal selbst helfen kann...

Danke schön und Gruß

Die beiden erwähnten Dateien gehören zu der Searchforit-Toolbar und sind sozusagen das was diese Toolbar am Leben hält. Durch ein simples Fixen dürftest du die nämlich nicht los werden.
Um die Bar loszuwerden einfach den Anweisungen aus meinem ersten Post befolgen, denk ich.

Was die p2p networking.exe Datei angeht: Sie ist nicht böse, allerdings auch nicht unbedingt notwendig.
Ich schaue so Sachen meist hier nach(die Datei zB unter Startup List). Mal abgesehen davon, dass man nach ner Weile nen Blick entwickelt. (Mein Tip ist übrigens, dass sie noch da ist. ;) Ganz so leicht lassen sich solche Dateien meist nicht löschen.)
Wenn du jetzt erstmal ein sauberes Logfile hast, würde ich das speichern und regelmäßig auf neue Einträge prüfen und die dann bei Bedarf kontrollieren. (Die neu erstellten Logs am besten ebenfalls speichern, so kann man bei einem Befall immerhin nachvollziehen wie lange was aufm Rechner ist)

Wenn du sicher gehen willst kannst du die web.de-Datei ja auch noch bei virustotal auswerten lasen, auch wenn ich nicht glaub, dass sie bedrohlich ist.

lg myrtille

Hi,

in der Tat ist die p2p Datei immer noch da...Dann werde ich sie jetzt einfach mal in Ruhe lassen.
Habe das neueste Logfile gespeichert und werde das bei Bedarf wie vorgeschlagen immer mal wieder kontrollieren.
Die Datei von Web.de werde ich auch mal noch überprüfen und wenn sich noch was ergibt das Ergebnis hier posten, sie sollte aber eigentlich harmlos sein.

Also, vielen Dank allen Helfern und bis zum nächsten Mal. :lach:

Schönen Gruß

Hallo.

Jetzt will ich es aber wissen... :D

Wo hast du gelesen das die o.g. Datei eine System-/Windowsdatei ist? :confused:

Jein, nicht immer ->
P2PNetworking - Adware
P2PNetworking - Advertise(Werbung)

Aber nirgends konnte ich ersehen das es sich oftmals auch um einen Backdoor handelt?!

@Surrel,

Arbeite bitte das hier ab:

1.) Kurzanleitung datfind.bat:

* Lade dir die datfind.zip
* Entpacke das Archiv auf den Desktop
* 1. Doppel-klick DATFINDBAT
*2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 3. auf das Command Fenster klicken und beliebige Taste drücken
* 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)
* 6. Wiederhole Schritt 3 und speichere als temp.txt
* 7. Wiederhole Schritt 3 und speichere als down.txt
* 8. Wiederhole Schritt 3 und speichere als c.txt
* 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)


2.) Und poste nochmals ein neues Hijacklog.

Gruß
Sunny

mOIn Sunny

ich denk myrtille hat W32/Rbot-AFL oder W32/Rbot-ECQ gemeint.

MFG

Hi Sunny

Was macht denn dieses Programm nun? Dachte eigentlich ich wär fertig.
Das Problem mit den Updates hat sich erledigt, dass konnte ich reparieren. Vermutest du noch weitere Viren, Trojaner oder was auch immer auf meinem PC? An dem Hijacklog soll es nicht liegen, wenn ich wieder an dem PC bin kann ich das machen, aber den Sinn des anderen Programm kapier ich nicht.

Schönen Gruß

Bist du aber nicht.. ;)

Ja!

Nicht lange überlegen, sondern machen! Oder lassen... :)

So Sunny, hier wie gewünscht das Ergebnis dieser Datfind-Datei (Von der ich immer noch gerne wüsste was sie macht.:) )

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\system32

09.01.2007 10:13 26.682 nvapps.xml
10.12.2006 13:26 8.891 jupdate-1.5.0_09-b03.log
08.12.2006 02:02 2.174.976 wmvcore.dll
08.12.2006 00:13 10.716.584 MRT.exe
02.12.2006 17:13 179.448 FNTCACHE.DAT
25.11.2006 14:46 100.352 dfrg.msc
06.11.2006 12:47 596.480 INETCOMM.DLL
04.11.2006 14:17 1.245.696 msxml4.dll
25.10.2006 10:41 44.544 msxml4a.dll
25.10.2006 10:41 331.776 winhttp.dll
24.10.2006 10:24 988.160 DANIM.DLL
23.10.2006 10:07 1.340.416 SHDOCVW.DLL
23.10.2006 10:07 498.176 MSTIME.DLL
23.10.2006 10:07 403.456 SHLWAPI.DLL
23.10.2006 10:07 132.096 MSRATING.DLL
23.10.2006 10:07 463.360 URLMON.DLL
23.10.2006 10:07 2.704.896 MSHTML.DLL
23.10.2006 10:07 582.144 WININET.DLL
23.10.2006 10:07 70.144 INSENG.DLL
23.10.2006 10:07 236.032 IEPEERS.DLL
23.10.2006 10:07 144.384 CDFVIEW.DLL
23.10.2006 10:07 1.017.856 BROWSEUI.DLL
23.10.2006 09:25 12.288 JSPROXY.DLL
23.10.2006 09:24 34.816 PNGFILT.DLL
23.10.2006 09:24 351.744 DXTMSFT.DLL
23.10.2006 09:24 192.512 DXTRANS.DLL
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\DOKUME~1\HK~1\LOKALE~1\systemtemp.exe

09.01.2007 10:18 306.010 jusched.log
09.01.2007 10:13 49.868 LVCOMSX.LOG
08.01.2007 18:06 1.156 jinstall.cfg
08.01.2007 18:06 251.656 AutoDL%3FBundleId=10878_b197838c.exe
08.01.2007 10:44 16.384 ~DFFA89.tmp
08.01.2007 10:44 16.384 ~DFF567.tmp
07.01.2007 14:32 416 java_install_reg.log
06.01.2007 12:10 10.134 datA.tmp
05.01.2007 15:29 180.736 Einladung zur Vorstandssitzung1.doc
9 Datei(en) 832.744 Bytes
0 Verzeichnis(se), 5.722.800.128 Bytes frei


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\windows.txt

09.01.2007 10:13 1.171.625 WindowsUpdate.log
08.01.2007 22:54 32.576 SchedLgU.Txt
08.01.2007 13:37 1.281.642 ShellIconCache
02.01.2007 16:26 14.612 KB923689.log
02.01.2007 15:23 340.710 wmsetup.log
27.12.2006 16:59 54.156 QTFont.qfn
24.12.2006 10:34 362.644 Directx.log
24.12.2006 10:31 170.368 setupapi.log
23.12.2006 16:22 941 eReg.dat
14.12.2006 22:50 352.650 comsetup.log
14.12.2006 22:50 1.008.971 iis5.log
14.12.2006 22:50 1.448 imsins.log
14.12.2006 22:50 8.705 KB925398.log
14.12.2006 22:50 371.519 ocgen.log
14.12.2006 22:50 27.012 ockodak.log
14.12.2006 22:50 1.448 imsins.BAK
14.12.2006 22:50 9.170 KB925454-IE6SP1-20061116.120000.log
14.12.2006 22:50 99.435 updspapi.log
14.12.2006 22:50 3.962 KB923694-OE6SP1-20061106.120000.log
14.12.2006 22:50 0 setuperr.log
07.12.2006 22:24 1.409 QTFont.for
19.11.2006 15:36 18.780 KB923980.log
19.11.2006 15:36 18.294 KB924270.log
19.11.2006 15:35 9.131 KB922760-IE6SP1-20061018.120000.log
19.11.2006 15:35 13.843 KB920213.log
06.11.2006 22:55 34 cdplayer.ini
27.10.2006 16:22 13.360 KB923414.log
27.10.2006 16:22 13.881 KB923191.log
27.10.2006 16:22 19.909 KB924191.log
08.10.2006 11:36 579 win.ini
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\Temp

19.08.2005 18:37 573 CamServr.log
19.08.2005 18:36 45.295 CamWizrd.log
19.08.2005 18:34 436 InstVid.log
19.08.2005 18:34 357 Instmed.log
26.07.2005 18:37 24.393 ENGSETUP.LOG
26.07.2005 18:26 758 hpzcoi12.log
26.07.2005 18:26 1.008 hpzcoi11.log
26.07.2005 18:26 598 hpzcon01.log
26.07.2005 18:26 409 hpzghoul01.log
26.07.2005 18:26 596 hpzcoi10.log
26.07.2005 18:26 596 hpzcoi09.log
26.07.2005 18:26 596 hpzcoi08.log
26.07.2005 18:26 596 hpzcoi06.log
26.07.2005 18:26 596 hpzcoi07.log
26.07.2005 18:26 596 hpzcoi05.log
26.07.2005 18:26 596 hpzcoi04.log
26.07.2005 18:26 758 hpzcoi03.log
26.07.2005 18:26 815 hpzcoi02.log
26.07.2005 18:26 596 hpzcoi01.log
26.07.2005 18:26 596 hpzcoi00.log
26.07.2005 18:18 375 hpfpdi00.log
26.07.2005 18:18 2.765 hpzglue00.log
26.07.2005 18:18 611 hpzcon00.log
26.07.2005 18:18 409 hpzghoul00.log
26.07.2005 18:18 343 hpzpin00.log
09.06.2005 11:06 587.072 msxml_cabinstall.exe
26 Datei(en) 672.339 Bytes
0 Verzeichnis(se), 5.722.419.200 Bytes frei

--> neueres gab es nicht

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\WINNT\Down

20.02.2006 17:22 65 desktop.ini
30.06.2003 22:41 1.689 WMV9VCM.inf
01.05.2000 19:06 1.988 wmvax.inf
3 Datei(en) 3.742 Bytes
0 Verzeichnis(se), 5.722.415.104 Bytes frei

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: E4DF-AC53

Verzeichnis von C:\c.txt

09.01.2007 10:23 0 sys.txt
09.01.2007 10:23 392 down.txt
09.01.2007 10:23 1.607 temp.txt
09.01.2007 10:20 11.707 system.txt
09.01.2007 10:19 763 systemtemp.txt
09.01.2007 10:16 96.431 system32.txt
09.01.2007 10:12 402.653.184 pagefile.sys
18.05.2006 13:37 691 hpothb07.dat
18.05.2006 13:37 1.275 hpothb07.tif
23.10.2005 10:24 1.102 INSTALL.LOG
19.08.2005 18:32 183 LogiSetup.log

und jetzt noch ein neues Log von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:35:46, on 09.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - h**p://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hoffe ich hab jetzt nichts vergessen. Gibts denn noch irgendwelche Auffälligkeiten?

Schönen Gruß