![]() |
Windows Sicherheitsupdate erstellt merkwürdige Ordner Hallo zusammen! Ich hab zwar keine Ahnung ob ich wirklich hier richtig (wenn nicht, dann verschieb es bitte jemand), aber zumindest geht meine Vermutung dahin, dass es sich um einen Trojaner oder ähnliches handeln könnte. Also, auf dem PC meiner Eltern spielen sich in letzter Zeit recht merkwürdige Dinge ab.. Auf dem Rechner ist Windows 2000 installiert und da ist es ja normal das hin und wieder, wie ich jetzt gelesen habe ungefähr einmal im Monat, ein Sicherheitsupdate kommt. Die ganze Zeit war das auch so und wir haben diese Updates immer schön brav installiert. Seit neuestem kommen diese Update aber andauernd gerade in der letzten Stunde ungefähr 5-6 Stück, was aber sicher doch nicht normal ist, oder? Wenn man dann auf installieren klickt macht er irgendwas und behauptet er sei fertig. Wenige Minuten später will er dann das nächste installieren. Eine Endlosschleife... Aufgefallen ist mir jetzt das jedesmal wenn er ein solches Update installiert ein neuer Ordner auf einer Partition erscheint die für Spiele u.ä. genutzt wird. Nicht auf der Partition auf der das System liegt. In diesem Ordner ist dann ne Textdatei mit irgendeinem ellenlangen Protokoll auf Englisch mit dem ich nichts anfangen. Irgendein Zugriff wird da dokumentiert so wie es mir scheint. Der ganze Prozess dauert so im Schnitt drei Sekunden. Merkwürdig ist auch die Bezeichnung der Ordner, z.B.: 18a5b937bab5192bf7 oder 12f6c7d74ac360ae91e0dc. Aufgefallen ist mir noch das diese angeblichen Sicheheitsupdates offenbar für das SP2 sind, obwohl SP4 installiert ist. Einen Virencheck habe ich gemacht, der allerdings nur einen wohl "harmlosen" Virus entdeckt und eliminiert hat. Das Problem bestand weiterhin. Als nächstes habe ich dann einen Check nach Trojanern und sonstiger Malware gemacht, der auch prompt 776 Treffer gelandet hat. Diese Treffer habe ich einfach mal in Quarantäne geschickt, da ich mit den meisten Sachen nichts anfangen konnte und ich Bedenken hatte irgendetwas zu zerstören was vielleicht noch gebraucht wird. Nützt diese Quarantäne denn irgendwas, denn geändert an dem Problem hat sich nichts? Kann damit irgendwer was anfangen und mir erklären was das sein soll? Vielen Dank für jede Hilfe, bin ziemlich ratlos. Gruß Edith: Der Virencheck wurde mit Antivir gemacht und der zweite Check nach Trojaner hiermit: a-squared Free 2.0 |
Hat hier niemand mal zumindest ne Idee? Bin auch für Mutmaßungen offen und wenn noch irgendwelche Infos gebraucht werden, nur fragen... |
Hallo, also als erstes solltest du uns mal sagen, was für ein "harmloser" Virus gefunden wurde.....wenn möglich mit Pfadangabe usw. Dann wäre ein Hijacktis LOG nicht verkehrt...alles dazu in meiner SIG! Mal sehen ob man daraus was sieht...dann sehen wir weiter! Gruß Mellosun |
Hi und danke für deine Reaktion! Zunächst das Ergebnis des Virenscans: Antivir hat unter dem folgenden Pfad (C:\WINNT\systems32\ezPobStub.exe) etwas erkannt was er als verdächtigen Code mit der Bezeichnung HEUR/Malware bezeichnet hat. Die entsprechende Datei konnte nicht gelöscht werden, weshalb Antivir sie unter Quaratäne gesetzt hat. Das HiJackThisLog sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 12:19:39, on 06.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\LVCOMSX.EXE C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINNT\system32\P2P Networking\P2P Networking.exe C:\WINNT\system32\internat.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe E:\PROGRA~1\WINZIP\wzqkpick.exe E:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: ReplaceSearchCtl Class - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINNT\system32\replaceSearch.dll (file missing) O2 - BHO: Cas Class - {B5F3970B-745E-46AC-B890-E08F69777D80} - C:\WINNT\system32\ca2.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = E:\Programme\VR-Networld\vrtoolcheckorder.exe O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - d:PartyPoker.net\partypokernet.exe (file missing) O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Ich hoffe jemand hier kann was damit anfangen, denn ich kann es nicht wirklich. Wär also nett wenn jemand nen Blick draufwerfen könnte. Danke schön und schöne Grüße |
Also ich kenn mich mit Windows 2000 ja nicht sonderlich aus aber ich denke das mit dem merkwürdigen ordner sollte normal sein. Zumindest ist das bei Windows XP ein bekanntes Phänomen. Dazu ein Link:CHIP Online - Forum Homepage Questions (HPQ) - [HPQ] msxml4-KB927978-enu.log - 1 Ich habe zwei solche Ordner übrigens auf meine Daten Partition: enthalten jeweils eine Datei die ungefähr so heißt: msxml4-KB927978-enu.log Ich würde mir über die Ordner keine Gedanken machen wenn es bei dir so ist wie bei mir und mich mehr auf den Trojaner konzentrieren. Böse Einträge sollten sein: C:\WINNT\system32\P2P Networking\P2P Networking.exe Dazu wieder ein Link: Symantec Security Response - Adware.P2PNetworking Dein Antivirenprogramm hat außerdem schon ganze Arbeit geleistet. Es hat einiges an adware rausgehauen. Die verbleibenden Registryeinträge noch fixen. Sollte so ziemlich alles adware gewesen sein wo hinten (file missing) dransteht. Des weiteren mal überprüfen ob die von Antivir gefundene Datei noch existiert und wenn ja diese bei Virustotal hochladen: http://www.virustotal.com/en/indexf.html |
Zitat:
Zitat:
Kann ich diese Sachen einfach löschen und wie mache ich das? Ich beutze hin und wieder das Programm Tuneup Utilities, damit kann man die Registry bereinigen. Genügt das, oder muss ich da tiefer einsteigen? Vielen Dank für die Hilfe. Schönen Gruß |
Hallole, ja, daß mit TuneUp würde mich auch interessieren. Schafft es das Programm tatsächlich, die Registry zu bereinigen, oder sollte man das wirklich manuell machen? Gruß Wally |
Ja du sollst auf der Seite die ich verlinkt hab die Datei die von Antivir als Virus erkannt wird hochladen. Außerdem hast du ja mit Hijackthis dein Logfile erstellt. Nach einem Scan öffnet sich ja ein kleines Fenster in dem du böse Einträge ankreuzen kannst. dann muss es noch einen Button geben der Fix Checked Heißt also machst du noch mal einen check mit HJT und kreuzt alles böse an und klickst auf fix checked. Und Tune Up säubert natürlich keine bösen Einträge es säubert z.B. nur den Autostart was das System eventuell schneller macht. Bitte natürlich das Ergebniss von Virustotal dann posten bzw. sagen ob es die Datei überhaupt noch gibt. |
Zitat:
|
Hi! Hab die Datei mal bei Virustotal hochgeladen: Zitat:
Das Problem mit den Updates scheine ich jetzt auch im Griff zu haben, der Lösungsvorschlag aus dem Link hat zumindest bis jetzt funktioniert. Im Logfile von HiJackThis habe ich neben den genannten (wo "file missing" dahinter steht) noch ein paar weitere Einträge gefunden die mit "no file" bezeichnet wurden. Kann ich die auch löschen bzw. sind das potentiell bedenkliche Sachen? Allen danke schön für die Hilfe. Schönen Gruß |
Hi, es wurde nichts gefunden, weil die Datei verhindert hat, dass sie ausgewertet wird. Wie du selbst sehen kannst ist die ausgewertete Dateo 0b groß, das heißt einfach leer. Falls du die Datei nochmal auswerten lassen willst würde ich empfehlen sie vorher in zb. virus.exe umzubenennen. Was dein Logfile angeht: Die Einträge "no file" und "file missing" sind nicht von Bedeutung weil die Erkennung da nicht wirklich richtig funktioniert. Was man allerdings aus deinem Log erkennen kann, ist dass du dir die searchbar eingefangen hast. Also fängst du am besten damit an dir die killbox herunterzuladen, Dann fixt du mit HJT folgende Einträge: Zitat:
Anschließend bitte die beiden Dateien Zitat:
Dann solltest du fertig sein. :) Kennst du folgende Datei, bzw kannst mir sagen was sie tut? Zitat:
In die Falle bin ich heute auch schon getappt. :o (nur, dass ich gleich empfohlen hab neuaufzusetzen, weil p2pnetworking.exe ein Backdoortrojaner ist :heilig: ) P2P networking/p2p networking.exe ist eine legitimie Windowsdatei p2p networking/p2pnetworking.exe und p2pnetworking/p2pnetworking.exe sind dagegen Trojaner, meistens mit Backdoor. DIe von dir verlinkte Adware erstellt folgende Dateien im bereits bestehenden Ordner p2p networking: %System%\P2P Networking\Peer-to-peer networking.exe %System%\P2P Networking\Marshal.dll %System%\P2P Networking\P2P Networking.eng %System%\P2P Networking v126.cpl %System%\P2P Networking\Cache\*.* %System%\P2P Networking\Cache\Database %Windir%\Downloaded Program Files\WebP2PInstall.dll Die p2p networking.exe ist da nicht dabei. ;) lg myrtille |
Hi myrtille! Die von dir angesprochene Datei kenne ich jetzt nicht, könnte mir aber vorstellen das die von einem Update des Firefox stammt, da ich den einmal über web.de upgedatet habe. Diese andere Datei mit dem p2p networking, was bewirkt die denn? Habe sie nämlich bereits gelöscht und bis jetzt aber noch keine Auswirkungen festgestellt. Muss man die haben? Was sind die beiden für die Dateien (C:\WINNT\system32\replaceSearch.dll C:\WINNT\system32\ca2.dll)? Handelt es sich hierbei um Trojaner oder wie? Die Searchforit Toolbar war mir auch aufgefallen und wäre bei nächster Gelegenheit gelöscht worden. Woran erkenne ich denn an den Logfiles welche Dateien ich löschen kann weil sie problematisch sind? Würde das ganze ja doch gerne verstehen damit ich mir vielleicht irgendwann auch mal selbst helfen kann... Danke schön und Gruß |
Die beiden erwähnten Dateien gehören zu der Searchforit-Toolbar und sind sozusagen das was diese Toolbar am Leben hält. Durch ein simples Fixen dürftest du die nämlich nicht los werden. Um die Bar loszuwerden einfach den Anweisungen aus meinem ersten Post befolgen, denk ich. Was die p2p networking.exe Datei angeht: Sie ist nicht böse, allerdings auch nicht unbedingt notwendig. Ich schaue so Sachen meist hier nach(die Datei zB unter Startup List). Mal abgesehen davon, dass man nach ner Weile nen Blick entwickelt. (Mein Tip ist übrigens, dass sie noch da ist. ;) Ganz so leicht lassen sich solche Dateien meist nicht löschen.) Wenn du jetzt erstmal ein sauberes Logfile hast, würde ich das speichern und regelmäßig auf neue Einträge prüfen und die dann bei Bedarf kontrollieren. (Die neu erstellten Logs am besten ebenfalls speichern, so kann man bei einem Befall immerhin nachvollziehen wie lange was aufm Rechner ist) Wenn du sicher gehen willst kannst du die web.de-Datei ja auch noch bei virustotal auswerten lasen, auch wenn ich nicht glaub, dass sie bedrohlich ist. lg myrtille |
Hi, in der Tat ist die p2p Datei immer noch da...Dann werde ich sie jetzt einfach mal in Ruhe lassen. Habe das neueste Logfile gespeichert und werde das bei Bedarf wie vorgeschlagen immer mal wieder kontrollieren. Die Datei von Web.de werde ich auch mal noch überprüfen und wenn sich noch was ergibt das Ergebnis hier posten, sie sollte aber eigentlich harmlos sein. Also, vielen Dank allen Helfern und bis zum nächsten Mal. :lach: Schönen Gruß |
Zitat:
Jetzt will ich es aber wissen... :D Wo hast du gelesen das die o.g. Datei eine System-/Windowsdatei ist? :confused: Zitat:
P2PNetworking - Adware P2PNetworking - Advertise(Werbung) Aber nirgends konnte ich ersehen das es sich oftmals auch um einen Backdoor handelt?! Zitat:
Arbeite bitte das hier ab: 1.) Kurzanleitung datfind.bat: * Lade dir die datfind.zip * Entpacke das Archiv auf den Desktop * 1. Doppel-klick DATFINDBAT *2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) * 3. auf das Command Fenster klicken und beliebige Taste drücken * 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) * 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) * 6. Wiederhole Schritt 3 und speichere als temp.txt * 7. Wiederhole Schritt 3 und speichere als down.txt * 8. Wiederhole Schritt 3 und speichere als c.txt * 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig) 2.) Und poste nochmals ein neues Hijacklog. Gruß Sunny |
mOIn Sunny Zitat:
MFG |
Zitat:
Was macht denn dieses Programm nun? Dachte eigentlich ich wär fertig. Das Problem mit den Updates hat sich erledigt, dass konnte ich reparieren. Vermutest du noch weitere Viren, Trojaner oder was auch immer auf meinem PC? An dem Hijacklog soll es nicht liegen, wenn ich wieder an dem PC bin kann ich das machen, aber den Sinn des anderen Programm kapier ich nicht. Schönen Gruß |
Zitat:
Zitat:
Zitat:
|
So Sunny, hier wie gewünscht das Ergebnis dieser Datfind-Datei (Von der ich immer noch gerne wüsste was sie macht.:) ) Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E4DF-AC53 Verzeichnis von C:\WINNT\system32 09.01.2007 10:13 26.682 nvapps.xml 10.12.2006 13:26 8.891 jupdate-1.5.0_09-b03.log 08.12.2006 02:02 2.174.976 wmvcore.dll 08.12.2006 00:13 10.716.584 MRT.exe 02.12.2006 17:13 179.448 FNTCACHE.DAT 25.11.2006 14:46 100.352 dfrg.msc 06.11.2006 12:47 596.480 INETCOMM.DLL 04.11.2006 14:17 1.245.696 msxml4.dll 25.10.2006 10:41 44.544 msxml4a.dll 25.10.2006 10:41 331.776 winhttp.dll 24.10.2006 10:24 988.160 DANIM.DLL 23.10.2006 10:07 1.340.416 SHDOCVW.DLL 23.10.2006 10:07 498.176 MSTIME.DLL 23.10.2006 10:07 403.456 SHLWAPI.DLL 23.10.2006 10:07 132.096 MSRATING.DLL 23.10.2006 10:07 463.360 URLMON.DLL 23.10.2006 10:07 2.704.896 MSHTML.DLL 23.10.2006 10:07 582.144 WININET.DLL 23.10.2006 10:07 70.144 INSENG.DLL 23.10.2006 10:07 236.032 IEPEERS.DLL 23.10.2006 10:07 144.384 CDFVIEW.DLL 23.10.2006 10:07 1.017.856 BROWSEUI.DLL 23.10.2006 09:25 12.288 JSPROXY.DLL 23.10.2006 09:24 34.816 PNGFILT.DLL 23.10.2006 09:24 351.744 DXTMSFT.DLL 23.10.2006 09:24 192.512 DXTRANS.DLL 12.10.2006 03:10 127.078 javaws.exe 12.10.2006 03:10 49.265 jpicpl32.cpl 12.10.2006 01:35 53.346 javaw.exe 12.10.2006 01:35 49.248 java.exe Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E4DF-AC53 Verzeichnis von C:\DOKUME~1\HK~1\LOKALE~1\systemtemp.exe 09.01.2007 10:18 306.010 jusched.log 09.01.2007 10:13 49.868 LVCOMSX.LOG 08.01.2007 18:06 1.156 jinstall.cfg 08.01.2007 18:06 251.656 AutoDL%3FBundleId=10878_b197838c.exe 08.01.2007 10:44 16.384 ~DFFA89.tmp 08.01.2007 10:44 16.384 ~DFF567.tmp 07.01.2007 14:32 416 java_install_reg.log 06.01.2007 12:10 10.134 datA.tmp 05.01.2007 15:29 180.736 Einladung zur Vorstandssitzung1.doc 9 Datei(en) 832.744 Bytes 0 Verzeichnis(se), 5.722.800.128 Bytes frei Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E4DF-AC53 Verzeichnis von C:\WINNT\windows.txt 09.01.2007 10:13 1.171.625 WindowsUpdate.log 08.01.2007 22:54 32.576 SchedLgU.Txt 08.01.2007 13:37 1.281.642 ShellIconCache 02.01.2007 16:26 14.612 KB923689.log 02.01.2007 15:23 340.710 wmsetup.log 27.12.2006 16:59 54.156 QTFont.qfn 24.12.2006 10:34 362.644 Directx.log 24.12.2006 10:31 170.368 setupapi.log 23.12.2006 16:22 941 eReg.dat 14.12.2006 22:50 352.650 comsetup.log 14.12.2006 22:50 1.008.971 iis5.log 14.12.2006 22:50 1.448 imsins.log 14.12.2006 22:50 8.705 KB925398.log 14.12.2006 22:50 371.519 ocgen.log 14.12.2006 22:50 27.012 ockodak.log 14.12.2006 22:50 1.448 imsins.BAK 14.12.2006 22:50 9.170 KB925454-IE6SP1-20061116.120000.log 14.12.2006 22:50 99.435 updspapi.log 14.12.2006 22:50 3.962 KB923694-OE6SP1-20061106.120000.log 14.12.2006 22:50 0 setuperr.log 07.12.2006 22:24 1.409 QTFont.for 19.11.2006 15:36 18.780 KB923980.log 19.11.2006 15:36 18.294 KB924270.log 19.11.2006 15:35 9.131 KB922760-IE6SP1-20061018.120000.log 19.11.2006 15:35 13.843 KB920213.log 06.11.2006 22:55 34 cdplayer.ini 27.10.2006 16:22 13.360 KB923414.log 27.10.2006 16:22 13.881 KB923191.log 27.10.2006 16:22 19.909 KB924191.log 08.10.2006 11:36 579 win.ini Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E4DF-AC53 Verzeichnis von C:\WINNT\Temp 19.08.2005 18:37 573 CamServr.log 19.08.2005 18:36 45.295 CamWizrd.log 19.08.2005 18:34 436 InstVid.log 19.08.2005 18:34 357 Instmed.log 26.07.2005 18:37 24.393 ENGSETUP.LOG 26.07.2005 18:26 758 hpzcoi12.log 26.07.2005 18:26 1.008 hpzcoi11.log 26.07.2005 18:26 598 hpzcon01.log 26.07.2005 18:26 409 hpzghoul01.log 26.07.2005 18:26 596 hpzcoi10.log 26.07.2005 18:26 596 hpzcoi09.log 26.07.2005 18:26 596 hpzcoi08.log 26.07.2005 18:26 596 hpzcoi06.log 26.07.2005 18:26 596 hpzcoi07.log 26.07.2005 18:26 596 hpzcoi05.log 26.07.2005 18:26 596 hpzcoi04.log 26.07.2005 18:26 758 hpzcoi03.log 26.07.2005 18:26 815 hpzcoi02.log 26.07.2005 18:26 596 hpzcoi01.log 26.07.2005 18:26 596 hpzcoi00.log 26.07.2005 18:18 375 hpfpdi00.log 26.07.2005 18:18 2.765 hpzglue00.log 26.07.2005 18:18 611 hpzcon00.log 26.07.2005 18:18 409 hpzghoul00.log 26.07.2005 18:18 343 hpzpin00.log 09.06.2005 11:06 587.072 msxml_cabinstall.exe 26 Datei(en) 672.339 Bytes 0 Verzeichnis(se), 5.722.419.200 Bytes frei --> neueres gab es nicht Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E4DF-AC53 Verzeichnis von C:\WINNT\Down 20.02.2006 17:22 65 desktop.ini 30.06.2003 22:41 1.689 WMV9VCM.inf 01.05.2000 19:06 1.988 wmvax.inf 3 Datei(en) 3.742 Bytes 0 Verzeichnis(se), 5.722.415.104 Bytes frei Datentr„ger in Laufwerk C: ist System Datentr„gernummer: E4DF-AC53 Verzeichnis von C:\c.txt 09.01.2007 10:23 0 sys.txt 09.01.2007 10:23 392 down.txt 09.01.2007 10:23 1.607 temp.txt 09.01.2007 10:20 11.707 system.txt 09.01.2007 10:19 763 systemtemp.txt 09.01.2007 10:16 96.431 system32.txt 09.01.2007 10:12 402.653.184 pagefile.sys 18.05.2006 13:37 691 hpothb07.dat 18.05.2006 13:37 1.275 hpothb07.tif 23.10.2005 10:24 1.102 INSTALL.LOG 19.08.2005 18:32 183 LogiSetup.log und jetzt noch ein neues Log von HiJackThis: Logfile of HijackThis v1.99.1 Scan saved at 10:35:46, on 09.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINNT\system32\LVCOMSX.EXE C:\WINNT\system32\internat.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hattrick.org/Common/default.asp R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file) O2 - BHO: (no name) - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - h**p://ky.bar.need2find.com/KY/menusearch.html?p=KY O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O23 - Service: WEB.DE Firefox Update (AdminSVCff) - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Hoffe ich hab jetzt nichts vergessen. Gibts denn noch irgendwelche Auffälligkeiten? Schönen Gruß |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board