Trojaner-Board - ZoneAlarm und NAV nach Virenbefall deaktiviert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ZoneAlarm und NAV nach Virenbefall deaktiviert (https://www.trojaner-board.de/41638-zonealarm-nav-virenbefall-deaktiviert.html)

ZoneAlarm und NAV nach Virenbefall deaktiviert

Hallo,

ich bin ratlos und finde im Netz auch keine brauchbaren Infos. Daher hier mein Problem:

Nachdem mein Norten Antivirus den Virus Trojan.Packed.13 in der Datei spooldr.exe gefunden und beseitigt hat, sind Norton Antivirus und ZoneAlarm deaktiviert.
Auch Neuinstallation beider Programme bringt nichts. Woran kann das liegen? Könnt ihr mir helfen?

Ich poste mal das Hijack-File:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:07:29, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\CfgSrvc.exe
C:\WINDOWS\system32\CfgSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\SDMan.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\SABRE\Apps\OADP\Oadp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\javaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\sabserv.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Opera\Opera.exe
C:\DOKUME~1\DATENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\DOKUME~1\DATENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Java Sabre Server (JSERVER)] C:\SABRE\Apps\Portal\JServer.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx2\PXConsole.exe"
O4 - HKLM\..\RunServices: [Sabre Task Tray Icon] C:\SABRE\Sabstart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OADP Utility.lnk = C:\SABRE\Apps\OADP\OadpUtil.exe
O4 - Global Startup: Sabre Printing Start.lnk = C:\SABRE\Sabstart.exe
O4 - Global Startup: Sabre Server.lnk = C:\WINDOWS\sabserv.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/pm/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - (no file)
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Config Service Helper (CfgSrvc) - Unknown owner - C:\WINDOWS\system32\CfgSrvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HSSP Configuration Module (HsspConfig) - Unknown owner - C:\WINDOWS\system32\CfgSrvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx2\PXAgent.exe" -f (file missing)
O23 - Service: Sabre Printing Module (SabrePrint) - Sabre Inc. - C:\SABRE\Apps\OADP\Oadp.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sabre Device Manager (SDMan) - Unknown owner - C:\WINDOWS\SDMan.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo.

C:\WINDOWS\system32\CfgSrvc.exe
C:\SABRE\Apps\OADP\Oadp.exe
C:\WINDOWS\sabserv.exe

Die Dateien sagen mir nichts. Werte die bitte online bei Virustotal aus und poste die Ergebnisse.

Zitat:

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - (no file)
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)

Die sehen nach Zlob aus, folge bitte dazu dieser Anleitung.

Hallo Cosinus,

danke für Deine schnelle Antwort.

C:\WINDOWS\system32\CfgSrvc.exe
C:\SABRE\Apps\OADP\Oadp.exe
C:\WINDOWS\sabserv.exe

sind sauber. Das sind Dateien vom Sabre Merlin Buchungssystem für Reisen.
Die beiden anderen Einträge gucke ich mir morgen an, hab heute gebastelt und der Mist ist runter.
Vielleicht nur soviel:
Der Trojaner Packed.13 kommt mit der tcpip.sys, lädt dann eine spooldr.sys, die wiederum bei ihrer Ausführung die spooldr.exe als versteckte Datei erstellt. Diese wiederum scheint den Trojaner Peacomm.B nachzuholen. Den hatte ich dann auch noch drauf.
Nun ist jedenfalls alles sauber. Kaspersky ok und NAV ok.

So einen Virenerfinder würde ich gern mal in die Mangel nehmen. :koch:

Ich wünsche einen virenfreien Abend

Mach doch bitte mal einen Check mit Blacklight und poste das Ergebnis.
Interessant wären auch die Inhalte deiner Systemordner, geh bitte so vor:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hi Arne,

das filelisting kannst Du gleich haben. Den Trojaner hab ich mir so am 27. oder 28.07 eingehandelt. War meine eigene Schuld, da ich versehentlich auf den Link in einer Spammail geklickt habe. Hab völlig unbeabsichtigt ins falsche Fenster geklickt. Ich hab daher das Posting bis zum 27.07. beschränkt.

Zitat:

Verzeichnis von C:\

02.08.2007 21:46 301.989.888 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

02.08.2007 21:47 58.727 vsconfig.xml
02.08.2007 14:07 4.212 zllictbl.dat
31.07.2007 12:14 6.236 wpa.dbl

Verzeichnis von C:\WINDOWS\Prefetch

02.08.2007 23:21 10.974 FIND.EXE-0EC32F1E.pf
02.08.2007 23:21 23.532 CMD.EXE-087B4001.pf
02.08.2007 23:21 16.070 VERCLSID.EXE-3667BD89.pf
02.08.2007 23:21 19.240 MSMSGS.EXE-32066BA5.pf
02.08.2007 23:14 13.704 FSBL.EXE-334E3AE1.pf
02.08.2007 23:06 87.118 OPSCAN.EXE-287893AE.pf
02.08.2007 22:59 16.720 GOOGLETOOLBARNOTIFIER.EXE-18F4DAD0.pf
02.08.2007 22:59 92.668 IEXPLORE.EXE-2CA9778D.pf
02.08.2007 22:39 58.726 QCONSOLE.EXE-15875872.pf
02.08.2007 22:39 46.514 NMAIN.EXE-1C7B4910.pf
02.08.2007 22:30 82.602 OPERA.EXE-24550E7A.pf
02.08.2007 22:30 4.268 NAVCMD~1.EXE-040BAE81.pf
02.08.2007 22:30 6.778 CHNGEVER.EXE-314809DB.pf
02.08.2007 22:30 10.236 DLAYUPDT.EXE-2E211552.pf
02.08.2007 22:28 13.542 BOINC.SCR-30266D28.pf
02.08.2007 22:13 16.776 TASKMGR.EXE-20256C55.pf
02.08.2007 22:10 59.676 ALEUPDAT.EXE-1ED60CC5.pf
02.08.2007 22:07 64.838 LUCALLBACKPROXY.EXE-0B5F632D.pf
02.08.2007 22:07 24.600 LUALL.EXE-0DE1F33B.pf
02.08.2007 22:04 13.428 SIGVERIF.EXE-33536CEC.pf
02.08.2007 22:03 31.892 HELPHOST.EXE-247D2792.pf
02.08.2007 22:03 28.960 UPDCLIENT.EXE-215FC96B.pf
02.08.2007 22:02 20.412 WINHLP32.EXE-2C18E975.pf
02.08.2007 22:02 95.350 HELPSVC.EXE-2878DDA2.pf
02.08.2007 22:02 53.634 HELPCTR.EXE-3862B6F5.pf
02.08.2007 22:01 56.320 TASKMAN.EXE-02283313.pf
02.08.2007 22:00 32.828 MMC.EXE-39071BCC.pf
02.08.2007 21:58 30.404 WMIPRVSE.EXE-28F301A9.pf
02.08.2007 21:56 34.528 RUNDLL32.EXE-44A0B4BC.pf
02.08.2007 21:52 45.842 SYSOCMGR.EXE-31169C54.pf
02.08.2007 21:51 23.994 AUPDATE.EXE-089630E1.pf
02.08.2007 21:51 38.662 LUCOMS~1.EXE-02DB5950.pf
02.08.2007 21:50 51.084 WINNT32.EXE-07CE5394.pf
02.08.2007 21:49 12.828 SETUP.EXE-393E66AE.pf
02.08.2007 21:49 12.296 RUNDLL32.EXE-451FC2C0.pf
02.08.2007 21:48 54.480 EINSTEIN_S5R2_4.24_WINDOWS_IN-0D66090E.pf
02.08.2007 21:48 26.110 WUAUCLT.EXE-399A8E72.pf
02.08.2007 21:48 22.780 SKYPEPM.EXE-03F1BFBD.pf
02.08.2007 21:47 55.200 BOINC.EXE-111726D0.pf
02.08.2007 21:47 27.862 ALG.EXE-0F138680.pf
02.08.2007 21:47 17.592 IMAPI.EXE-0BF740A4.pf
02.08.2007 21:47 21.818 OADP.EXE-3A5C2CCC.pf
02.08.2007 21:47 62.054 FXSSVC.EXE-3B8F7819.pf
02.08.2007 21:47 786.712 NTOSBOOT-B00DFAAD.pf
02.08.2007 21:25 56.966 DRWTSN32.EXE-2B4B52AC.pf
02.08.2007 21:25 63.002 DWWIN.EXE-30875ADC.pf
02.08.2007 21:22 28.510 LOGONUI.EXE-0AF22957.pf
02.08.2007 21:21 14.270 PXDRVINSTALL.EXE-35446798.pf
02.08.2007 21:20 25.936 PREVXSETUP.EXE-21D8D4D6.pf
02.08.2007 21:20 25.418 ACRORD32INFO.EXE-30CEC19C.pf
02.08.2007 21:11 43.642 RUNDLL32.EXE-13404D23.pf
02.08.2007 21:08 21.874 RUNDLL32.EXE-14BE42EE.pf
02.08.2007 21:07 11.590 AGENTSVR.EXE-002E45AB.pf
02.08.2007 21:07 43.910 WINWORD.EXE-0AEA99D4.pf
02.08.2007 21:07 93.436 NAVW32.EXE-20C61389.pf
02.08.2007 21:02 50.538 DUMPREP.EXE-1B46F901.pf
02.08.2007 20:39 57.658 NAVW32.EXE-2F9B64D1.pf
02.08.2007 20:01 58.214 DFRGNTFS.EXE-269967DF.pf
02.08.2007 20:01 16.250 DEFRAG.EXE-273F131E.pf
02.08.2007 20:01 422.408 Layout.ini
02.08.2007 19:48 25.558 VSMON.EXE-1609C098.pf
02.08.2007 19:34 25.754 UPDATER.EXE-159517A2.pf
02.08.2007 19:22 75.542 UPDATE.EXE-1CE558FC.pf
02.08.2007 19:21 72.130 UPDATE.EXE-1D57323C.pf
02.08.2007 18:36 89.094 IV_PLAYER.EXE-06A5537D.pf
02.08.2007 18:23 23.592 I_VIEW32.EXE-0B6C3BA4.pf
02.08.2007 18:10 49.584 NERO.EXE-32314E31.pf
02.08.2007 18:06 27.184 EASYCLEA.EXE-1E7ECDE5.pf
02.08.2007 18:06 30.586 ECLEA2_0.EXE-2C893E0D.pf
02.08.2007 17:07 60.280 NOTEPAD.EXE-336351A9.pf
02.08.2007 14:57 30.654 MSIEXEC.EXE-2F8A8CAE.pf
02.08.2007 09:42 65.950 ACRORD32.EXE-0EC716D9.pf

Verzeichnis von C:\WINDOWS

02.08.2007 22:09 707.302 SIGVERIF.TXT
02.08.2007 22:05 883.549 setupapi.log
02.08.2007 21:53 108.408 iis6.log
02.08.2007 21:53 244.837 comsetup.log
02.08.2007 21:53 149.936 ntdtcsetup.log
02.08.2007 21:53 278.079 tsoc.log
02.08.2007 21:53 1.891 imsins.log
02.08.2007 21:53 40.033 ocmsn.log
02.08.2007 21:53 370.320 ocgen.log
02.08.2007 21:53 36.189 msgsocm.log
02.08.2007 21:53 716.325 FaxSetup.log
02.08.2007 21:51 2.714 WINNT32.LOG
02.08.2007 21:51 964 UPGRADE.TXT
02.08.2007 21:51 30.893 wsdu.log
02.08.2007 21:50 181.220 setupact.log
02.08.2007 21:50 403 DHCPUPG.LOG
02.08.2007 21:47 261 wiadebug.log
02.08.2007 21:47 1.924.464 WindowsUpdate.log
02.08.2007 21:46 50 wiaservc.log
02.08.2007 21:46 0 0.log
02.08.2007 21:46 2.048 bootstat.dat
02.08.2007 21:22 32.300 SchedLgU.Txt
02.08.2007 21:22 84.416 pxinstall_log.txt
02.08.2007 21:21 14.763 pxdrvinstall.log
02.08.2007 19:24 27.059 KB917953.log
02.08.2007 16:33 77.312 ua2.dll
02.08.2007 15:21 34.680 LUINSTALL.LOG
24.07.2007 18:02 204.424 wmsetup.log

Verzeichnis von C:\WINDOWS\tasks

02.08.2007 21:46 6 SA.DAT
02.08.2007 14:41 598 Norton AntiVirus - Meinen Computer pr�fen - Datenschleuder Micha.job

Verzeichnis von C:\WINDOWS\temp

02.08.2007 21:46 256 ZLT0201e.TMP
02.08.2007 21:46 256 ZLT02018.TMP
02.08.2007 21:24 256 ZLT00ea8.TMP
02.08.2007 21:24 256 ZLT00ea4.TMP
02.08.2007 21:04 256 ZLT07fdf.TMP
02.08.2007 21:04 256 ZLT07fdc.TMP
02.08.2007 20:35 256 ZLT069d1.TMP
02.08.2007 20:35 256 ZLT069cd.TMP
02.08.2007 19:48 256 ZLT04562.TMP
02.08.2007 19:48 256 ZLT04555.TMP
02.08.2007 15:42 256 ZLT00986.TMP
02.08.2007 15:42 256 ZLT00983.TMP
02.08.2007 15:39 256 ZLT00744.TMP
02.08.2007 15:39 256 ZLT00741.TMP
02.08.2007 15:36 256 ZLT00472.TMP
02.08.2007 15:36 256 ZLT0046f.TMP
02.08.2007 15:20 256 ZLT07895.TMP
02.08.2007 15:20 256 ZLT07892.TMP
02.08.2007 14:43 256 ZLT05c37.TMP
02.08.2007 14:43 256 ZLT05c30.TMP
02.08.2007 14:27 256 ZLT05005.TMP
02.08.2007 14:27 256 ZLT04fd7.TMP
02.08.2007 14:02 256 ZLT03cd2.TMP
02.08.2007 14:02 256 ZLT03cc8.TMP
01.08.2007 09:15 256 ZLT01317.TMP
29.07.2007 17:56 256 ZLT03701.TMP
29.07.2007 17:56 256 ZLT036ea.TMP
28.07.2007 11:13 0 T30DebugLogFile.txt

Verzeichnis von C:\DOKUME~1\DATENS~1\LOKALE~1\Temp

02.08.2007 23:21 120.835 filelist.txt
02.08.2007 22:05 797.676 IMT89.xml
02.08.2007 22:05 426 IMT88.xml
02.08.2007 22:05 2.036 IMT87.xml
02.08.2007 22:03 797.676 IMT7C.xml
02.08.2007 22:03 426 IMT7B.xml
02.08.2007 22:03 2.036 IMT7A.xml
02.08.2007 22:02 797.676 IMT73.xml
02.08.2007 22:02 426 IMT72.xml
02.08.2007 22:02 2.036 IMT71.xml
02.08.2007 21:51 149.198 jusched.log
02.08.2007 21:46 16.384 ~DFE47E.tmp
02.08.2007 15:32 14.178 MPC2.tmp
02.08.2007 15:21 10 LUInit.ini
02.08.2007 14:59 4.259 SNDSetup55.log
02.08.2007 14:59 21.438 SYMEVENT.LOG
02.08.2007 14:58 8.209 IDSinst.LOG
02.08.2007 14:58 329.134 SNDUpdater55I.log
02.08.2007 14:37 18.094 9810_appcompat.txt
02.08.2007 14:37 23 SymSetup.ini
02.08.2007 14:37 3.155 SNDunin.log
02.08.2007 14:37 3.705.404 Norton AntiVirus 2005 8-2-2007 14h32m4s.log
02.08.2007 14:36 64.148 symcprop.dat
02.08.2007 14:36 172 AVRES_OPTRF_LiveUpdate.dat
02.08.2007 14:34 172 SSALiveUpdate.dat
02.08.2007 14:33 172 AVSTELiveUpdate.dat
02.08.2007 14:32 5.893 LSInstall.log
02.08.2007 14:31 357 PreScan.log
02.08.2007 14:25 353.038 SNDUpdater54U.log
02.08.2007 14:20 410 SYMDEL.bat
02.08.2007 14:20 3.150.278 Norton AntiVirus 2005 8-2-2007 14h16m7s.log
02.08.2007 14:00 4.942 ec5f_appcompat.txt
02.08.2007 14:00 4.942 ec4f_appcompat.txt
01.08.2007 09:34 0 0bw13.tmp
01.08.2007 09:34 0 xtv11.tmp
29.07.2007 19:18 59.964 Adobelm_Cleanup.0001
29.07.2007 19:18 697 TWAIN.LOG
29.07.2007 19:18 156 Twunk001.MTX
29.07.2007 19:18 4 Twain001.Mtx
25.07.2007 15:40 0 fla48.tmp

Blacklight ist nun auch durch, findet nichts.

Zitat:

Ich hab daher das Posting bis zum 27.07. beschränkt.

Das blöde ist nur, dass Schädlinge auch Dateien mit falschem Datumsstempel ablegen oder die Systemzeit verändern können. Ist wohl auch schon vorgekommen, hab vor einigen Wochen häufiger gelesen, dass einige user sich z.B. bei Ebay nicht mehr einloggen konnten, das Zertifikat sei abgelaufen (weil die Systemzeit verändert wurde).
Nicht nur deswegen, auch weil du zufällig den Schädling angeklickst hättest - man sollte nicht ständig mit Adminrechen unterwegs sein, die braucht man sehr selten und wenn was schädliches ausgeführt wurde kannste idR das System knicken.

Ich kann jetzt deswegen weder Entwarnung geben, noch für die Schädlingsfreiheit garantieren. Du solltest das filelist.txt erweitert posten und nicht nur bis zum 27.07.

So, na dann die 30 Tage komplett

Zitat:

Verzeichnis von C:\

03.08.2007 09:54 301.989.888 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

03.08.2007 09:55 58.727 vsconfig.xml
02.08.2007 14:07 4.212 zllictbl.dat
31.07.2007 12:14 6.236 wpa.dbl

Verzeichnis von C:\WINDOWS\Prefetch

03.08.2007 11:57 10.898 FIND.EXE-0EC32F1E.pf
03.08.2007 11:57 25.448 CMD.EXE-087B4001.pf
03.08.2007 11:57 14.142 VERCLSID.EXE-3667BD89.pf
03.08.2007 11:57 25.518 MSMSGS.EXE-32066BA5.pf
03.08.2007 11:54 59.594 OPSCAN.EXE-287893AE.pf
03.08.2007 11:49 17.748 RUNDLL32.EXE-12E27DD0.pf
03.08.2007 11:35 81.292 NAVW32.EXE-20C61389.pf
03.08.2007 11:35 43.582 NMAIN.EXE-1C7B4910.pf
03.08.2007 11:24 58.832 DFRGNTFS.EXE-269967DF.pf
03.08.2007 11:24 16.250 DEFRAG.EXE-273F131E.pf
03.08.2007 11:23 395.952 Layout.ini
03.08.2007 11:13 13.694 BOINC.SCR-30266D28.pf
03.08.2007 11:08 61.400 ACRORD32.EXE-0EC716D9.pf
03.08.2007 10:55 80.162 MSWORLD6.EXE-0FDE0F7F.pf
03.08.2007 10:50 16.608 AGENTSVR.EXE-002E45AB.pf
03.08.2007 10:49 41.076 EXCEL.EXE-0D2E9C6C.pf
03.08.2007 10:21 103.424 IEXPLORE.EXE-2CA9778D.pf
03.08.2007 10:12 29.112 UPDCLIENT.EXE-215FC96B.pf
03.08.2007 10:11 12.156 CALC.EXE-02CD573A.pf
03.08.2007 10:05 52.102 WINWORD.EXE-0AEA99D4.pf
03.08.2007 10:00 66.466 LUCALLBACKPROXY.EXE-0B5F632D.pf
03.08.2007 09:59 26.670 AUPDATE.EXE-089630E1.pf
03.08.2007 09:59 83.184 OPERA.EXE-24550E7A.pf
03.08.2007 09:58 38.410 LUCOMS~1.EXE-02DB5950.pf
03.08.2007 09:58 53.716 EINSTEIN_S5R2_4.24_WINDOWS_IN-0D66090E.pf
03.08.2007 09:57 54.622 SKYPEPM.EXE-03F1BFBD.pf
03.08.2007 09:57 51.844 BOINC.EXE-111726D0.pf
03.08.2007 09:56 1.396 BOINCMGR.EXE-05BA1056.pf
03.08.2007 09:56 15.138 SABSERV.EXE-039BE834.pf
03.08.2007 09:56 25.814 JAVAW.EXE-1DA9F6E6.pf
03.08.2007 09:56 8.254 SABSTART.EXE-343BB53C.pf
03.08.2007 09:56 31.686 WMIPRVSE.EXE-28F301A9.pf
03.08.2007 09:56 2.758 OADPUTIL.EXE-0097DB9F.pf
03.08.2007 09:56 9.794 READER_SL.EXE-36135169.pf
03.08.2007 09:56 6.420 OSA9.EXE-07EC1F61.pf
03.08.2007 09:56 16.818 GOOGLETOOLBARNOTIFIER.EXE-18F4DAD0.pf
03.08.2007 09:56 7.588 SKYPE.EXE-21F19BC8.pf
03.08.2007 09:56 12.192 CTFMON.EXE-0E17969B.pf
03.08.2007 09:56 15.184 RUNDLL32.EXE-1746A70D.pf
03.08.2007 09:56 12.772 CCAPP.EXE-2EA3695D.pf
03.08.2007 09:56 23.840 WUAUCLT.EXE-399A8E72.pf
03.08.2007 09:56 51.622 DUMPREP.EXE-1B46F901.pf
03.08.2007 09:56 9.776 SABSPLASH.EXE-32E5A1CD.pf
03.08.2007 09:56 6.452 SNDMON.EXE-0A6C21A2.pf
03.08.2007 09:56 1.372 JUSCHED.EXE-19D14246.pf
03.08.2007 09:56 11.464 FPASSIST.EXE-18368AA2.pf
03.08.2007 09:56 1.372 RUNDLL32.EXE-18ACD379.pf
03.08.2007 09:56 14.500 VTTRAYP.EXE-03186EB0.pf
03.08.2007 09:56 6.718 VTTIMER.EXE-023BA77F.pf
03.08.2007 09:56 22.182 IMAPI.EXE-0BF740A4.pf
03.08.2007 09:56 1.372 SSBKGDUPDATE.EXE-060EC2B1.pf
03.08.2007 09:56 1.372 JSERVER.EXE-03C9BD8B.pf
03.08.2007 09:56 32.850 ALG.EXE-0F138680.pf
03.08.2007 09:56 954.780 NTOSBOOT-B00DFAAD.pf
02.08.2007 23:39 28.390 LOGONUI.EXE-0AF22957.pf
02.08.2007 23:39 23.768 ACRORD32INFO.EXE-30CEC19C.pf
02.08.2007 23:35 12.296 RUNDLL32.EXE-451FC2C0.pf
02.08.2007 23:35 23.040 I_VIEW32.EXE-0B6C3BA4.pf
02.08.2007 23:21 60.486 NOTEPAD.EXE-336351A9.pf
02.08.2007 23:14 13.704 FSBL.EXE-334E3AE1.pf
02.08.2007 22:39 58.726 QCONSOLE.EXE-15875872.pf
02.08.2007 22:30 4.268 NAVCMD~1.EXE-040BAE81.pf
02.08.2007 22:30 6.778 CHNGEVER.EXE-314809DB.pf
02.08.2007 22:30 10.236 DLAYUPDT.EXE-2E211552.pf
02.08.2007 22:13 16.776 TASKMGR.EXE-20256C55.pf
02.08.2007 22:10 59.676 ALEUPDAT.EXE-1ED60CC5.pf
02.08.2007 22:07 24.600 LUALL.EXE-0DE1F33B.pf
02.08.2007 22:04 13.428 SIGVERIF.EXE-33536CEC.pf
02.08.2007 22:03 31.892 HELPHOST.EXE-247D2792.pf
02.08.2007 22:02 20.412 WINHLP32.EXE-2C18E975.pf
02.08.2007 22:02 95.350 HELPSVC.EXE-2878DDA2.pf
02.08.2007 22:02 53.634 HELPCTR.EXE-3862B6F5.pf
02.08.2007 22:01 56.320 TASKMAN.EXE-02283313.pf
02.08.2007 22:00 32.828 MMC.EXE-39071BCC.pf
02.08.2007 21:56 34.528 RUNDLL32.EXE-44A0B4BC.pf
02.08.2007 21:52 45.842 SYSOCMGR.EXE-31169C54.pf
02.08.2007 21:50 51.084 WINNT32.EXE-07CE5394.pf
02.08.2007 21:49 12.828 SETUP.EXE-393E66AE.pf
02.08.2007 21:47 21.818 OADP.EXE-3A5C2CCC.pf
02.08.2007 21:47 62.054 FXSSVC.EXE-3B8F7819.pf
02.08.2007 21:25 56.966 DRWTSN32.EXE-2B4B52AC.pf
02.08.2007 21:25 63.002 DWWIN.EXE-30875ADC.pf
02.08.2007 21:21 14.270 PXDRVINSTALL.EXE-35446798.pf
02.08.2007 21:20 25.936 PREVXSETUP.EXE-21D8D4D6.pf
02.08.2007 21:11 43.642 RUNDLL32.EXE-13404D23.pf
02.08.2007 21:08 21.874 RUNDLL32.EXE-14BE42EE.pf
02.08.2007 20:39 57.658 NAVW32.EXE-2F9B64D1.pf
02.08.2007 19:48 25.558 VSMON.EXE-1609C098.pf
02.08.2007 19:34 25.754 UPDATER.EXE-159517A2.pf
02.08.2007 19:22 75.542 UPDATE.EXE-1CE558FC.pf
02.08.2007 19:21 72.130 UPDATE.EXE-1D57323C.pf
02.08.2007 18:36 89.094 IV_PLAYER.EXE-06A5537D.pf
02.08.2007 18:10 49.584 NERO.EXE-32314E31.pf
02.08.2007 18:06 27.184 EASYCLEA.EXE-1E7ECDE5.pf
02.08.2007 18:06 30.586 ECLEA2_0.EXE-2C893E0D.pf
02.08.2007 14:57 30.654 MSIEXEC.EXE-2F8A8CAE.pf

Verzeichnis von C:\WINDOWS

03.08.2007 09:59 1.934.704 WindowsUpdate.log
03.08.2007 09:56 261 wiadebug.log
03.08.2007 09:54 50 wiaservc.log
03.08.2007 09:54 0 0.log
03.08.2007 09:54 2.048 bootstat.dat
02.08.2007 23:40 32.300 SchedLgU.Txt
02.08.2007 22:09 707.302 SIGVERIF.TXT
02.08.2007 22:05 883.549 setupapi.log
02.08.2007 21:53 108.408 iis6.log
02.08.2007 21:53 244.837 comsetup.log
02.08.2007 21:53 149.936 ntdtcsetup.log
02.08.2007 21:53 278.079 tsoc.log
02.08.2007 21:53 1.891 imsins.log
02.08.2007 21:53 40.033 ocmsn.log
02.08.2007 21:53 370.320 ocgen.log
02.08.2007 21:53 36.189 msgsocm.log
02.08.2007 21:53 716.325 FaxSetup.log
02.08.2007 21:51 2.714 WINNT32.LOG
02.08.2007 21:51 964 UPGRADE.TXT
02.08.2007 21:51 30.893 wsdu.log
02.08.2007 21:50 181.220 setupact.log
02.08.2007 21:50 403 DHCPUPG.LOG
02.08.2007 21:22 84.416 pxinstall_log.txt
02.08.2007 21:21 14.763 pxdrvinstall.log
02.08.2007 19:24 27.059 KB917953.log
02.08.2007 16:33 77.312 ua2.dll
02.08.2007 15:21 34.680 LUINSTALL.LOG
24.07.2007 18:02 204.424 wmsetup.log
20.07.2007 21:41 316.640 WMSysPr9.prx
11.07.2007 17:48 1.374 imsins.BAK
11.07.2007 17:48 12.416 KB936357.log
05.07.2007 09:41 432 BRWMARK.INI
05.07.2007 09:30 35 tdf.dii
05.07.2007 09:30 3.306 tm.ini

Verzeichnis von C:\WINDOWS\tasks

03.08.2007 09:54 6 SA.DAT
02.08.2007 14:41 598 Norton AntiVirus - Meinen Computer prfen - Datenschleuder Micha.job

Verzeichnis von C:\WINDOWS\temp

03.08.2007 09:54 256 ZLT04d55.TMP
03.08.2007 09:54 256 ZLT04d52.TMP
02.08.2007 21:24 256 ZLT00ea8.TMP
02.08.2007 21:24 256 ZLT00ea4.TMP
02.08.2007 21:04 256 ZLT07fdf.TMP
02.08.2007 21:04 256 ZLT07fdc.TMP
02.08.2007 20:35 256 ZLT069d1.TMP
02.08.2007 20:35 256 ZLT069cd.TMP
02.08.2007 19:48 256 ZLT04562.TMP
02.08.2007 19:48 256 ZLT04555.TMP
02.08.2007 15:42 256 ZLT00986.TMP
02.08.2007 15:42 256 ZLT00983.TMP
02.08.2007 15:39 256 ZLT00744.TMP
02.08.2007 15:39 256 ZLT00741.TMP
02.08.2007 15:36 256 ZLT00472.TMP
02.08.2007 15:36 256 ZLT0046f.TMP
02.08.2007 15:20 256 ZLT07895.TMP
02.08.2007 15:20 256 ZLT07892.TMP
02.08.2007 14:43 256 ZLT05c37.TMP
02.08.2007 14:43 256 ZLT05c30.TMP
02.08.2007 14:27 256 ZLT05005.TMP
02.08.2007 14:27 256 ZLT04fd7.TMP
02.08.2007 14:02 256 ZLT03cd2.TMP
02.08.2007 14:02 256 ZLT03cc8.TMP
01.08.2007 09:15 256 ZLT01317.TMP
29.07.2007 17:56 256 ZLT03701.TMP
29.07.2007 17:56 256 ZLT036ea.TMP
28.07.2007 11:13 0 T30DebugLogFile.txt

Verzeichnis von C:\DOKUME~1\DATENS~1\LOKALE~1\Temp

03.08.2007 11:57 122.300 filelist.txt
03.08.2007 10:00 149.371 jusched.log
03.08.2007 09:55 16.384 ~DFF82C.tmp
02.08.2007 22:05 797.676 IMT89.xml
02.08.2007 22:05 426 IMT88.xml
02.08.2007 22:05 2.036 IMT87.xml
02.08.2007 22:03 797.676 IMT7C.xml
02.08.2007 22:03 426 IMT7B.xml
02.08.2007 22:03 2.036 IMT7A.xml
02.08.2007 22:02 797.676 IMT73.xml
02.08.2007 22:02 426 IMT72.xml
02.08.2007 22:02 2.036 IMT71.xml
02.08.2007 15:32 14.178 MPC2.tmp
02.08.2007 15:21 10 LUInit.ini
02.08.2007 14:59 4.259 SNDSetup55.log
02.08.2007 14:59 21.438 SYMEVENT.LOG
02.08.2007 14:58 8.209 IDSinst.LOG
02.08.2007 14:58 329.134 SNDUpdater55I.log
02.08.2007 14:37 18.094 9810_appcompat.txt
02.08.2007 14:37 23 SymSetup.ini
02.08.2007 14:37 3.155 SNDunin.log
02.08.2007 14:37 3.705.404 Norton AntiVirus 2005 8-2-2007 14h32m4s.log
02.08.2007 14:36 64.148 symcprop.dat
02.08.2007 14:36 172 AVRES_OPTRF_LiveUpdate.dat
02.08.2007 14:34 172 SSALiveUpdate.dat
02.08.2007 14:33 172 AVSTELiveUpdate.dat
02.08.2007 14:32 5.893 LSInstall.log
02.08.2007 14:31 357 PreScan.log
02.08.2007 14:25 353.038 SNDUpdater54U.log
02.08.2007 14:20 410 SYMDEL.bat
02.08.2007 14:20 3.150.278 Norton AntiVirus 2005 8-2-2007 14h16m7s.log
02.08.2007 14:00 4.942 ec5f_appcompat.txt
02.08.2007 14:00 4.942 ec4f_appcompat.txt
01.08.2007 09:34 0 0bw13.tmp
01.08.2007 09:34 0 xtv11.tmp
29.07.2007 19:18 59.964 Adobelm_Cleanup.0001
29.07.2007 19:18 697 TWAIN.LOG
29.07.2007 19:18 156 Twunk001.MTX
29.07.2007 19:18 4 Twain001.Mtx
25.07.2007 15:40 0 fla48.tmp
24.07.2007 20:00 0 fla2E2.tmp
23.07.2007 17:36 0 jupdate1.5.0.xml
19.07.2007 10:59 10.800 java_install_reg.log
18.07.2007 13:14 0 oti627.tmp
18.07.2007 13:14 0 cwy621.tmp
18.07.2007 13:14 0 bhx620.tmp
18.07.2007 13:13 0 3xw611.tmp
18.07.2007 13:13 0 cgv610.tmp
18.07.2007 13:13 0 v1v60F.tmp
17.07.2007 18:04 0 gi4881.tmp
17.07.2007 12:03 0 j2d35A.tmp
17.07.2007 11:14 0 fla291.tmp
17.07.2007 10:54 0 euh213.tmp
16.07.2007 10:40 0 flaD1.tmp
16.07.2007 10:40 0 flaCE.tmp
16.07.2007 10:32 0 flaC6.tmp
16.07.2007 10:30 0 flaC1.tmp
13.07.2007 11:51 0 5xf22E.tmp
11.07.2007 23:07 36.475 _te57C.tmp
11.07.2007 23:07 104 _te57A.tmp
11.07.2007 23:07 238 _te57B.tmp
11.07.2007 23:07 0 _te57D.tmp
11.07.2007 23:07 462 ~77473.ps
11.07.2007 17:46 14.938 netfxsl.log
11.07.2007 17:46 1.547 NetFxUpdate_v1.1.4322.log
11.07.2007 10:22 584.851 mpeg2decoder.exe
10.07.2007 08:46 0 flaA8.tmp
10.07.2007 08:41 0 fla92.tmp
02.07.2007 10:10 0 flaBD.tmp

Leere mal zuerst mit dem CCleaner alle Temppfade. Danach führ mal bitte einen Check mit eScan nach Anleitung durch - folge dem Link in meiner Signatur.