Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt (https://www.trojaner-board.de/69630-tr-drop-agent-aghi-tr-crypt-cfi-gen-bekomme-enfernt.html)

Calvin 05.02.2009 03:59
TR/Drop.Agent.aghi & TR/Crypt.CFI.Gen bekomme ich nicht enfernt
 
Bin für jede gute Idee sehr dankbar.
Und zwar hat sich mein Notebook mit einem Trojaner angesteckt.

Beim Starten gibt AntiVir fünf Meldungen mit unterschiedlichen Schädlingen aus:

- TR/Drop.Agent.aghi
- TR/Drop.Agent.agig
- TR/Crypt.CFI.Gen
- TR/Buzus.ajst

dazu sind mir die folgenden Dateien aufgefallen:

- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\388.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\a.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\protocol.exe
- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\lsass.exe
- C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe


Hier die Log von HijackThis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:47:55, on 05.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{42D8394F-9001-4113-9F3D-38D20E87CCB7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9002C9BD-3646-4AD7-B9AF-0971B0F23B2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B88D512B-3D2E-42C1-AA40-2709A9C591CB}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 5006 bytes
Der Versuch den Eintrag C:\RECYCLER\...winservices.exe zu fixen hat nicht geklappt.

- eScan hat mir mitgeteilt, dass die Autorun.inf der beiden Partitionen C und D infiziert sein sollen (Fujack / NetSonic)

- SuperAntiSpyware hat dies gefunden:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/05/2009 at 02:58 AM

Application Version : 4.25.1012

Core Rules Database Version : 3744
Trace Rules Database Version: 1712

Scan type      : Complete Scan
Total Scan Time : 00:39:52

Memory items scanned      : 612
Memory threats detected  : 0
Registry items scanned    : 4864
Registry threats detected : 0
File items scanned        : 65298
File threats detected    : 6

Trojan.Unknown Origin
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\171.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\423.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\628.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\969.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\UM6FLQXE\PROTOCOL[1].EXE

Adware.Vundo/Variant-MSFake
        C:\PROGRAMME\NAVILOG1\REG.EXE
Leider war die Behandlung bisher nicht erfolgreich.

Gibt es noch Hoffnung?

Chris4You 05.02.2009 09:55
Hi,

zuerst alle Tools runterladen, installieren (MAM) und dann offline gehen, Bereinigung durchführen und dann online gehen.

Bereinigen (nur download):
Anleitung & Download: http://www.trojaner-board.de/51464-anleitung-ccleaner.html
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

MAM (installieren und updaten):
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Disinfector:
Autorun-Vrius und Autorun disablen!
\Autorun.inf
\resycled
\resycled\boot.com
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Beschreibung ausdrucken, offline gehen:

Disinfector:
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

CCleaner:
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

MAM:
Komplettscan und alles bereinigen, Log speichern!

Combofix:
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Online gehen und alle Logs poste...

chris

Calvin 05.02.2009 14:22
Erstmal herzlichen Dank für die Hilfe.

Wie beschrieben hab ich die vier Programme genutzt.

- Der erste MAM-Log nach dem ccleaner:

Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1730
Windows 5.1.2600 Service Pack 3

05.02.2009 13:17:10
mbam-log-2009-02-05 (13-17-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 107583
Laufzeit: 29 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows service help (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-7031009475-7471204206-886289494-8409\winservices.exe (Trojan.Agent) -> Delete on reboot.
- Der zweite MAM-Log nach Disinfector und zweitem ccleaner

Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1730
Windows 5.1.2600 Service Pack 3

05.02.2009 13:48:34
mbam-log-2009-02-05 (13-48-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 107559
Laufzeit: 23 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
- und abschliessend der Combofix-Log:

Code:
ComboFix 09-02-04.04 - *** 2009-02-05 13:57:24.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2047.1509 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\regedit.com
c:\windows\system32\_005602_.tmp.dll
c:\windows\system32\taskmgr.com
D:\Autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2009-01-05 bis 2009-02-05  ))))))))))))))))))))))))))))))
.

2009-02-05 12:39 . 2009-02-05 12:39        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2009-02-05 12:39 . 2009-02-05 12:39        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-02-05 12:39 . 2009-02-05 12:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-05 12:39 . 2009-01-14 16:11        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-05 12:39 . 2009-01-14 16:11        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2009-02-05 12:25 . 2009-02-05 12:25        <DIR>        d--------        c:\programme\CCleaner
2009-02-05 02:14 . 2009-02-05 02:14        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-05 02:14 . 2009-02-05 02:14        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 22:52 . 2009-02-05 03:05        <DIR>        d--------        c:\programme\Navilog1
2009-02-04 22:28 . 2009-02-04 22:28        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-02-04 22:28 . 2009-02-04 22:28        626,688        --a------        c:\windows\system32\msvcr80.dll
2009-02-04 22:28 . 2009-02-04 22:28        548,864        --a------        c:\windows\system32\msvcp80.dll
2009-02-04 22:28 . 2008-04-14 06:53        153,600        --a------        c:\windows\R.COM
2009-02-04 22:28 . 2008-04-14 06:53        140,800        --a------        c:\windows\system32\T.COM
2009-02-04 22:28 . 2009-02-04 22:28        28,672        --a------        c:\windows\system32\eEmpty.exe
2009-02-04 22:28 . 2005-09-22 23:22        522        --a------        c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-02-04 22:28 . 2009-02-05 03:44        28        --a------        c:\windows\Lic.xxx
2009-02-04 18:40 . 2009-02-04 18:40        <DIR>        d--------        c:\programme\Trend Micro
2009-02-02 18:01 . 2009-02-02 18:02        <DIR>        d--------        c:\programme\PDFCreator
2009-02-02 18:01 . 1998-07-06 18:55        158,208        --a------        c:\windows\system32\MSCMCDE.DLL
2009-02-02 18:01 . 1998-06-24 01:00        137,000        --a------        c:\windows\system32\MSMAPI32.OCX
2009-02-02 18:01 . 1998-07-06 18:56        125,712        --a------        c:\windows\system32\VB6DE.DLL
2009-02-02 18:01 . 2001-10-28 17:42        116,224        --a------        c:\windows\system32\pdfcmnnt.dll
2009-02-02 18:01 . 1998-07-06 18:55        64,512        --a------        c:\windows\system32\MSCC2DE.DLL
2009-02-02 18:01 . 1998-07-06 01:00        23,552        --a------        c:\windows\system32\MSMPIDE.DLL
2009-02-02 17:48 . 2009-02-02 17:48        <DIR>        d--------        c:\programme\gs
2009-02-02 17:48 . 2009-02-02 17:49        43        --a------        c:\windows\gswin32.ini
2009-01-28 12:46 . 2009-01-28 12:46        <DIR>        d--h-----        c:\windows\PIF
2009-01-17 21:29 . 2009-01-17 21:29        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Xi
2009-01-17 21:28 . 2009-01-17 21:28        <DIR>        d--------        c:\programme\Xi
2009-01-17 13:42 . 2009-01-17 13:41        410,984        --a------        c:\windows\system32\deploytk.dll
2009-01-15 11:01 . 2009-01-15 11:01        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org
2009-01-15 10:59 . 2009-01-15 10:59        <DIR>        d--------        c:\programme\OpenOffice.org 3
2009-01-15 10:59 . 2009-01-15 10:59        <DIR>        d--------        c:\programme\JRE
2009-01-06 16:32 . 2009-01-06 16:32        <DIR>        d--------        c:\programme\Lavalys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 11:28        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-04 19:28        ---------        d-----w        c:\programme\Mozilla Thunderbird
2009-02-03 04:09        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\***rent
2009-01-28 19:06        ---------        d-----w        c:\programme\Runtime Software
2009-01-17 12:41        ---------        d-----w        c:\programme\Java
2009-01-15 09:58        ---------        d-----w        c:\programme\OpenOffice.org 2.4
2009-01-15 09:55        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-12-11 10:57        333,952        ----a-w        c:\windows\system32\drivers\srv.sys
2001-03-28 11:02        122,880        ----a-w        c:\windows\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-11-28 229376]
"MsgTranAgt"="c:\programme\ATK Hotkey\MsgTranAgt.exe" [2007-11-04 106496]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-17 136600]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 c:\windows\RTHDCPL.exe]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-28 113664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\***rent\\***rent.exe"=
"c:\\Programme\\Xi\\NetXfer\\NetTransport.exe"=

S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\progra~1\ATKHOT~1\ASNDIS5.SYS [2008-06-28 16269]
S4 Qnetberadad;Qnetberadad; [x]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}]
\Shell\AutoRun\command - F:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {42D8394F-9001-4113-9F3D-38D20E87CCB7} = 192.168.1.1
TCP: {9002C9BD-3646-4AD7-B9AF-0971B0F23B2B} = 192.168.1.1
TCP: {B88D512B-3D2E-42C1-AA40-2709A9C591CB} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\y0zwbk42.default\
FF - prefs.js: browser.startup.homepage - w**.google.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 13:58:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-05 13:59:31
ComboFix-quarantined-files.txt  2009-02-05 12:59:29

Vor Suchlauf: 6.092.791.808 Bytes frei
Nach Suchlauf: 6,143,422,464 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer

138        --- E O F ---        2009-01-14 21:39:33
- der letzte HjackThis-Log

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:04, on 05.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{42D8394F-9001-4113-9F3D-38D20E87CCB7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9002C9BD-3646-4AD7-B9AF-0971B0F23B2B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B88D512B-3D2E-42C1-AA40-2709A9C591CB}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 5113 bytes
So weit erstmal...

Chris4You 05.02.2009 14:44
Hi,

HJ-Log ist sauber, aber im combofix-Log gibt es das ein oder andere:


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
c:\windows\R.COM
c:\windows\system32\T.COM
c:\windows\system32\eEmpty.exe
c:\windows\system32\vshost.exe <- kann auch unter c:\windows\ liegen...
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris

Calvin 05.02.2009 15:28
Nun hab ich die vier Dateien überprüfen lassen. Alle ohne Befund:

- R.com:
Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.93        2009.02.05        -
AhnLab-V3        5.0.0.2        2009.02.05        -
AntiVir        7.9.0.74        2009.02.05        -
Authentium        5.1.0.4        2009.02.04        -
Avast        4.8.1281.0        2009.02.05        -
AVG        8.0.0.229        2009.02.04        -
BitDefender        7.2        2009.02.05        -
CAT-QuickHeal        10.00        2009.02.05        -
ClamAV        0.94.1        2009.02.05        -
Comodo        965        2009.02.05        -
DrWeb        4.44.0.09170        2009.02.05        -
eSafe        7.0.17.0        2009.02.04        -
eTrust-Vet        31.6.6343        2009.02.05        -
F-Prot        4.4.4.56        2009.02.04        -
F-Secure        8.0.14470.0        2009.02.05        -
Fortinet        3.117.0.0        2009.02.05        -
GData        19        2009.02.05        -
Ikarus        T3.1.1.45.0        2009.02.05        -
K7AntiVirus        7.10.620        2009.02.05        -
Kaspersky        7.0.0.125        2009.02.05        -
McAfee        5516        2009.02.04        -
McAfee+Artemis        5516        2009.02.04        -
Microsoft        1.4306        2009.02.05        -
NOD32        3829        2009.02.05        -
Norman        6.00.02        2009.02.04        -
nProtect        2009.1.8.0        2009.02.05        -
Panda        9.5.1.2        2009.02.05        -
PCTools        4.4.2.0        2009.02.05        -
Prevx1        V2        2009.02.05        -
Rising        21.15.30.00        2009.02.05        -
SecureWeb-Gateway        6.7.6        2009.02.05        -
Sophos        4.38.0        2009.02.05        -
Sunbelt        3.2.1835.2        2009.01.16        -
Symantec        10        2009.02.05        -
TheHacker        6.3.1.5.247        2009.02.05        -
TrendMicro        8.700.0.1004        2009.02.05        -
VBA32        3.12.8.12        2009.02.04        -
ViRobot        2009.2.5.1591        2009.02.05        -
VirusBuster        4.5.11.0        2009.02.04        -
weitere Informationen
File size: 153600 bytes
MD5...: ad9226bf3ced13636083bb9c76e9d2a2
SHA1..: 5192bd0e6cbbb4074172463804f8ffb0fab916e4
SHA256: 832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241
SHA512: 63d140f04ade495036de8168621832bb8c4ea7b17cf46df4fcbb756bcfc51290
7cdfcb9b872032a14e960ef6be98d6b8a73cb54a44ab5fcedb6f6a637dc8418e
ssdeep: 3072:xtkaZgxktEdSja2qLckP+4AnrIKvOBI+huG0TG0usp+d/Ad/AhZsJJE0kMJ
5VvlW:xtkqxrqLckP+xn0YOBI+AG0TG0tdm
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1691e
timedatestamp.....: 0x48025214 (Sun Apr 13 18:33:56 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17902 0x17a00 6.37 c955a3871382133757b77b2ef8713803
.data 0x19000 0x40da0 0x400 1.20 def7edb164ce2210badeb06959cdaa48
.rsrc 0x5a000 0xd510 0xd600 3.70 e285afbe730d03d7363a5527697d112a

( 14 imports )
> msvcrt.dll: __p__commode, _adjust_fdiv, __p__fmode, _initterm, __getmainargs, _acmdln, __set_app_type, _except_handler3, __setusermatherr, _controlfp, exit, _XcptFilter, _exit, _c_exit, swprintf, iswprint, wcsncpy, wcslen, wcscat, wcscpy, _purecall, iswctype, wcscmp, wcschr, wcsncmp, wcsrchr, _cexit, memmove
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, InitializeSecurityDescriptor, RegDeleteValueW, InitializeAcl, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetInheritanceSourceW, LookupAccountSidW, GetSidSubAuthorityCount, GetSidSubAuthority, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, SetSecurityInfo, SetNamedSecurityInfoW, GetNamedSecurityInfoW, MapGenericMask, RegSetValueExA, RegSetValueW, RegFlushKey, RegSaveKeyW, RegRestoreKeyW, RegConnectRegistryW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, RegSetValueExW, RegCreateKeyW, RegEnumValueW, RegEnumKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegUnLoadKeyW, RegLoadKeyW, RegOpenKeyExW, RegQueryInfoKeyW, RegDeleteKeyW
> KERNEL32.dll: ReadFile, DeleteFileW, WriteFile, WideCharToMultiByte, CreateFileW, OutputDebugStringW, GetLastError, SetFilePointer, GetFileSize, SearchPathW, GetTimeFormatW, GetDateFormatW, GetSystemDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, FreeLibrary, LoadLibraryW, MulDiv, lstrcpynW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrcmpW, FormatMessageW, GetThreadLocale, GetModuleHandleW, ExitProcess, GetCommandLineW, GetProcessHeap, lstrcatW, LocalAlloc, GetCurrentProcess, CloseHandle, LocalFree, GetComputerNameW, lstrcmpiW, lstrlenW, lstrcpyW, LocalReAlloc, GlobalAlloc, GlobalLock, GlobalUnlock, GetProcAddress, LoadLibraryA
> GDI32.dll: GetStockObject, SetAbortProc, StartDocW, StartPage, SetViewportOrgEx, EndPage, EndDoc, AbortDoc, DeleteDC, CreateBitmap, CreatePatternBrush, PatBlt, ExcludeClipRect, SelectClipRgn, DeleteObject, SetBkColor, SetTextColor, ExtTextOutW, GetDeviceCaps, CreateFontIndirectW, SelectObject, GetTextMetricsW
> USER32.dll: SendDlgItemMessageW, SetDlgItemTextW, SetWindowLongW, DefWindowProcW, ReleaseDC, GetDC, SetScrollInfo, wsprintfW, DestroyCaret, ReleaseCapture, KillTimer, SetCaretPos, ScrollWindowEx, ShowCaret, HideCaret, InvalidateRect, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, WinHelpW, EndDialog, GetWindowLongW, EndPaint, BeginPaint, CreateCaret, SetTimer, SetCapture, SetFocus, CharLowerW, GetDlgItem, DestroyMenu, TrackPopupMenuEx, IsClipboardFormatAvailable, EnableMenuItem, GetSubMenu, LoadMenuW, GetKeyState, RegisterClassW, LoadCursorW, RegisterClipboardFormatW, CheckRadioButton, SendMessageW, GetWindowTextW, GetParent, GetDlgItemTextW, IsDlgButtonChecked, GetDlgCtrlID, CallWindowProcW, GetWindowTextLengthW, GetDlgItemInt, PostQuitMessage, GetWindowPlacement, SetWindowTextW, EnableWindow, GetWindowRect, DrawMenuBar, InsertMenuItemW, DeleteMenu, SetMenuItemInfoW, GetMenu, GetMenuItemInfoW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsIconic, DestroyIcon, LoadImageW, GetSysColor, SetCursor, ShowCursor, ShowWindow, SetWindowPlacement, CreateWindowExW, GetProcessDefaultLayout, GetMessageW, ScreenToClient, SetCursorPos, DispatchMessageW, ClientToScreen, GetDesktopWindow, LoadIconW, PostMessageW, SetMenuDefaultItem, InsertMenuW, GetMenuItemID, CheckMenuItem, UpdateWindow, RegisterClassExW, CharNextW, GetClientRect, DestroyWindow, CreateDialogParamW, CheckDlgButton, DrawAnimatedRects, IntersectRect, ModifyMenuW, GetMessagePos, TranslateMessage, TranslateAcceleratorW, LoadAcceleratorsW, SetForegroundWindow, GetLastActivePopup, BringWindowToTop, FindWindowW, LoadStringW, GetWindow, IsDialogMessageW, PeekMessageW, MessageBoxW, CharUpperBuffW, CharUpperW, IsCharAlphaNumericW, GetSystemMetrics, MoveWindow, MapWindowPoints, DialogBoxParamW, SetWindowPos, MessageBeep
> COMCTL32.dll: -, -, -, -, InitCommonControlsEx, -, -, ImageList_SetBkColor, ImageList_Create, ImageList_Destroy, -, -, ImageList_ReplaceIcon, -, -, -, -, CreateStatusWindowW
> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameW, PrintDlgExW
> SHELL32.dll: ShellAboutW, DragQueryFileW, DragFinish
> AUTHZ.dll: AuthzInitializeContextFromSid, AuthzAccessCheck, AuthzFreeContext, AuthzFreeResourceManager, AuthzInitializeResourceManager
> ACLUI.dll: -
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx, ReleaseStgMedium
> ulib.dll: _Resize@DSTRING@@UAEEK@Z, _Initialize@ARRAY@@QAEEKK@Z, _NewBuf@DSTRING@@UAEEK@Z, __1DSTRING@@UAE@XZ, __1OBJECT@@UAE@XZ, __0OBJECT@@IAE@XZ, _Compare@OBJECT@@UBEJPBV1@@Z, __0DSTRING@@QAE@XZ, _Initialize@WSTRING@@QAEEPBV1@KK@Z, _Strcat@WSTRING@@QAEEPBV1@@Z, __0ARRAY@@QAE@XZ, _Initialize@WSTRING@@QAEEPBGK@Z
> clb.dll: ClbAddData, ClbSetColumnWidths
> ntdll.dll: RtlFreeHeap, RtlAllocateHeap

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2</a>
- T.com:

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.93        2009.02.05        -
AhnLab-V3        5.0.0.2        2009.02.05        -
AntiVir        7.9.0.74        2009.02.05        -
Authentium        5.1.0.4        2009.02.04        -
Avast        4.8.1281.0        2009.02.05        -
AVG        8.0.0.229        2009.02.04        -
BitDefender        7.2        2009.02.05        -
CAT-QuickHeal        10.00        2009.02.05        -
ClamAV        0.94.1        2009.02.05        -
Comodo        965        2009.02.05        -
DrWeb        4.44.0.09170        2009.02.05        -
eSafe        7.0.17.0        2009.02.04        -
eTrust-Vet        31.6.6343        2009.02.05        -
F-Prot        4.4.4.56        2009.02.04        -
F-Secure        8.0.14470.0        2009.02.05        -
Fortinet        3.117.0.0        2009.02.05        -
GData        19        2009.02.05        -
Ikarus        T3.1.1.45.0        2009.02.05        -
K7AntiVirus        7.10.620        2009.02.05        -
Kaspersky        7.0.0.125        2009.02.05        -
McAfee        5516        2009.02.04        -
McAfee+Artemis        5516        2009.02.04        -
Microsoft        1.4306        2009.02.05        -
NOD32        3829        2009.02.05        -
Norman        6.00.02        2009.02.04        -
nProtect        2009.1.8.0        2009.02.05        -
Panda        9.5.1.2        2009.02.05        -
PCTools        4.4.2.0        2009.02.05        -
Prevx1        V2        2009.02.05        -
Rising        21.15.30.00        2009.02.05        -
SecureWeb-Gateway        6.7.6        2009.02.05        -
Sophos        4.38.0        2009.02.05        -
Sunbelt        3.2.1835.2        2009.01.16        -
Symantec        10        2009.02.05        -
TheHacker        6.3.1.5.247        2009.02.05        -
TrendMicro        8.700.0.1004        2009.02.05        -
VBA32        3.12.8.12        2009.02.04        -
ViRobot        2009.2.5.1591        2009.02.05        -
VirusBuster        4.5.11.0        2009.02.04        -
weitere Informationen
File size: 153600 bytes
MD5...: ad9226bf3ced13636083bb9c76e9d2a2
SHA1..: 5192bd0e6cbbb4074172463804f8ffb0fab916e4
SHA256: 832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241
SHA512: 63d140f04ade495036de8168621832bb8c4ea7b17cf46df4fcbb756bcfc51290
7cdfcb9b872032a14e960ef6be98d6b8a73cb54a44ab5fcedb6f6a637dc8418e
ssdeep: 3072:xtkaZgxktEdSja2qLckP+4AnrIKvOBI+huG0TG0usp+d/Ad/AhZsJJE0kMJ
5VvlW:xtkqxrqLckP+xn0YOBI+AG0TG0tdm
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1691e
timedatestamp.....: 0x48025214 (Sun Apr 13 18:33:56 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17902 0x17a00 6.37 c955a3871382133757b77b2ef8713803
.data 0x19000 0x40da0 0x400 1.20 def7edb164ce2210badeb06959cdaa48
.rsrc 0x5a000 0xd510 0xd600 3.70 e285afbe730d03d7363a5527697d112a

( 14 imports )
> msvcrt.dll: __p__commode, _adjust_fdiv, __p__fmode, _initterm, __getmainargs, _acmdln, __set_app_type, _except_handler3, __setusermatherr, _controlfp, exit, _XcptFilter, _exit, _c_exit, swprintf, iswprint, wcsncpy, wcslen, wcscat, wcscpy, _purecall, iswctype, wcscmp, wcschr, wcsncmp, wcsrchr, _cexit, memmove
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, InitializeSecurityDescriptor, RegDeleteValueW, InitializeAcl, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetInheritanceSourceW, LookupAccountSidW, GetSidSubAuthorityCount, GetSidSubAuthority, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, SetSecurityInfo, SetNamedSecurityInfoW, GetNamedSecurityInfoW, MapGenericMask, RegSetValueExA, RegSetValueW, RegFlushKey, RegSaveKeyW, RegRestoreKeyW, RegConnectRegistryW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, RegSetValueExW, RegCreateKeyW, RegEnumValueW, RegEnumKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegUnLoadKeyW, RegLoadKeyW, RegOpenKeyExW, RegQueryInfoKeyW, RegDeleteKeyW
> KERNEL32.dll: ReadFile, DeleteFileW, WriteFile, WideCharToMultiByte, CreateFileW, OutputDebugStringW, GetLastError, SetFilePointer, GetFileSize, SearchPathW, GetTimeFormatW, GetDateFormatW, GetSystemDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, FreeLibrary, LoadLibraryW, MulDiv, lstrcpynW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrcmpW, FormatMessageW, GetThreadLocale, GetModuleHandleW, ExitProcess, GetCommandLineW, GetProcessHeap, lstrcatW, LocalAlloc, GetCurrentProcess, CloseHandle, LocalFree, GetComputerNameW, lstrcmpiW, lstrlenW, lstrcpyW, LocalReAlloc, GlobalAlloc, GlobalLock, GlobalUnlock, GetProcAddress, LoadLibraryA
> GDI32.dll: GetStockObject, SetAbortProc, StartDocW, StartPage, SetViewportOrgEx, EndPage, EndDoc, AbortDoc, DeleteDC, CreateBitmap, CreatePatternBrush, PatBlt, ExcludeClipRect, SelectClipRgn, DeleteObject, SetBkColor, SetTextColor, ExtTextOutW, GetDeviceCaps, CreateFontIndirectW, SelectObject, GetTextMetricsW
> USER32.dll: SendDlgItemMessageW, SetDlgItemTextW, SetWindowLongW, DefWindowProcW, ReleaseDC, GetDC, SetScrollInfo, wsprintfW, DestroyCaret, ReleaseCapture, KillTimer, SetCaretPos, ScrollWindowEx, ShowCaret, HideCaret, InvalidateRect, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, WinHelpW, EndDialog, GetWindowLongW, EndPaint, BeginPaint, CreateCaret, SetTimer, SetCapture, SetFocus, CharLowerW, GetDlgItem, DestroyMenu, TrackPopupMenuEx, IsClipboardFormatAvailable, EnableMenuItem, GetSubMenu, LoadMenuW, GetKeyState, RegisterClassW, LoadCursorW, RegisterClipboardFormatW, CheckRadioButton, SendMessageW, GetWindowTextW, GetParent, GetDlgItemTextW, IsDlgButtonChecked, GetDlgCtrlID, CallWindowProcW, GetWindowTextLengthW, GetDlgItemInt, PostQuitMessage, GetWindowPlacement, SetWindowTextW, EnableWindow, GetWindowRect, DrawMenuBar, InsertMenuItemW, DeleteMenu, SetMenuItemInfoW, GetMenu, GetMenuItemInfoW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsIconic, DestroyIcon, LoadImageW, GetSysColor, SetCursor, ShowCursor, ShowWindow, SetWindowPlacement, CreateWindowExW, GetProcessDefaultLayout, GetMessageW, ScreenToClient, SetCursorPos, DispatchMessageW, ClientToScreen, GetDesktopWindow, LoadIconW, PostMessageW, SetMenuDefaultItem, InsertMenuW, GetMenuItemID, CheckMenuItem, UpdateWindow, RegisterClassExW, CharNextW, GetClientRect, DestroyWindow, CreateDialogParamW, CheckDlgButton, DrawAnimatedRects, IntersectRect, ModifyMenuW, GetMessagePos, TranslateMessage, TranslateAcceleratorW, LoadAcceleratorsW, SetForegroundWindow, GetLastActivePopup, BringWindowToTop, FindWindowW, LoadStringW, GetWindow, IsDialogMessageW, PeekMessageW, MessageBoxW, CharUpperBuffW, CharUpperW, IsCharAlphaNumericW, GetSystemMetrics, MoveWindow, MapWindowPoints, DialogBoxParamW, SetWindowPos, MessageBeep
> COMCTL32.dll: -, -, -, -, InitCommonControlsEx, -, -, ImageList_SetBkColor, ImageList_Create, ImageList_Destroy, -, -, ImageList_ReplaceIcon, -, -, -, -, CreateStatusWindowW
> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameW, PrintDlgExW
> SHELL32.dll: ShellAboutW, DragQueryFileW, DragFinish
> AUTHZ.dll: AuthzInitializeContextFromSid, AuthzAccessCheck, AuthzFreeContext, AuthzFreeResourceManager, AuthzInitializeResourceManager
> ACLUI.dll: -
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx, ReleaseStgMedium
> ulib.dll: _Resize@DSTRING@@UAEEK@Z, _Initialize@ARRAY@@QAEEKK@Z, _NewBuf@DSTRING@@UAEEK@Z, __1DSTRING@@UAE@XZ, __1OBJECT@@UAE@XZ, __0OBJECT@@IAE@XZ, _Compare@OBJECT@@UBEJPBV1@@Z, __0DSTRING@@QAE@XZ, _Initialize@WSTRING@@QAEEPBV1@KK@Z, _Strcat@WSTRING@@QAEEPBV1@@Z, __0ARRAY@@QAE@XZ, _Initialize@WSTRING@@QAEEPBGK@Z
> clb.dll: ClbAddData, ClbSetColumnWidths
> ntdll.dll: RtlFreeHeap, RtlAllocateHeap

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=ad9226bf3ced13636083bb9c76e9d2a2</a>
- eEmpty.exe:

Code:
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.93        2009.02.04        -
AhnLab-V3        5.0.0.2        2009.02.04        -
AntiVir        7.9.0.74        2009.02.04        -
Authentium        5.1.0.4        2009.02.04        -
Avast        4.8.1281.0        2009.02.03        -
AVG        8.0.0.229        2009.02.04        -
BitDefender        7.2        2009.02.04        -
CAT-QuickHeal        10.00        2009.02.04        -
ClamAV        0.94.1        2009.02.04        -
Comodo        964        2009.02.04        -
DrWeb        4.44.0.09170        2009.02.04        -
eSafe        7.0.17.0        2009.02.04        -
eTrust-Vet        31.6.6341        2009.02.04        -
F-Prot        4.4.4.56        2009.02.04        -
F-Secure        8.0.14470.0        2009.02.04        -
Fortinet        3.117.0.0        2009.02.04        -
GData        19        2009.02.04        -
Ikarus        T3.1.1.45.0        2009.02.04        -
K7AntiVirus        7.10.618        2009.02.04        -
Kaspersky        7.0.0.125        2009.02.04        -
McAfee        5515        2009.02.03        -
McAfee+Artemis        5515        2009.02.03        -
Microsoft        1.4306        2009.02.04        -
NOD32        3826        2009.02.04        -
Norman        6.00.02        2009.02.04        -
nProtect        2009.1.8.0        2009.02.04        -
Panda        9.5.1.2        2009.02.03        -
PCTools        4.4.2.0        2009.02.03        -
Prevx1        V2        2009.02.04        -
Rising        21.15.20.00        2009.02.04        -
SecureWeb-Gateway        6.7.6        2009.02.04        -
Sophos        4.38.0        2009.02.04        -
Sunbelt        3.2.1835.2        2009.01.16        -
Symantec        10        2009.02.04        -
TheHacker        6.3.1.5.246        2009.02.04        -
TrendMicro        8.700.0.1004        2009.02.04        -
VBA32        3.12.8.12        2009.02.04        -
ViRobot        2009.2.4.1589        2009.02.04        -
VirusBuster        4.5.11.0        2009.02.04        -
weitere Informationen
File size: 28672 bytes
MD5...: 531c58770c9c4c5c8715dc141abd4ddd
SHA1..: 592520b5c123fb1a558d3aed687c12be1a19d973
SHA256: 8c61e30b251d4756a3081ef1b70f96c90ebe5713a9966dc20721af9c4165d1e9
SHA512: aa14c3c3a62e6f9df79b2e8dc4711fede8352dab092156ae8ffbde33803b413d
90ae3d05dd2164cf111d98f1f7d4c5dc6e1e3e63956cbdd8dc39143afd069aa0
ssdeep: 384:Wg0MvVx9fzmlXUBWEYHyyBYrh6oZqWtR:LfXKTHyY+h6on
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1010
timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84
.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0
.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4
.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=531c58770c9c4c5c8715dc141abd4ddd
- Die Datei vshost.exe ist nicht zu finden. Nur die svhost.exe mit folgendem Ergebniss:

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.93        2009.02.05        -
AhnLab-V3        5.0.0.2        2009.02.05        -
AntiVir        7.9.0.74        2009.02.05        -
Authentium        5.1.0.4        2009.02.04        -
Avast        4.8.1281.0        2009.02.05        -
AVG        8.0.0.229        2009.02.04        -
BitDefender        7.2        2009.02.05        -
CAT-QuickHeal        10.00        2009.02.05        -
ClamAV        0.94.1        2009.02.05        -
Comodo        965        2009.02.05        -
DrWeb        4.44.0.09170        2009.02.05        -
eSafe        7.0.17.0        2009.02.04        -
eTrust-Vet        31.6.6343        2009.02.05        -
F-Prot        4.4.4.56        2009.02.04        -
F-Secure        8.0.14470.0        2009.02.05        -
Fortinet        3.117.0.0        2009.02.05        -
GData        19        2009.02.05        -
Ikarus        T3.1.1.45.0        2009.02.05        -
K7AntiVirus        7.10.620        2009.02.05        -
Kaspersky        7.0.0.125        2009.02.05        -
McAfee        5516        2009.02.04        -
McAfee+Artemis        5516        2009.02.04        -
Microsoft        1.4306        2009.02.05        -
NOD32        3829        2009.02.05        -
Norman        6.00.02        2009.02.04        -
nProtect        2009.1.8.0        2009.02.05        -
Panda        9.5.1.2        2009.02.05        -
PCTools        4.4.2.0        2009.02.05        -
Prevx1        V2        2009.02.05        -
Rising        21.15.30.00        2009.02.05        -
SecureWeb-Gateway        6.7.6        2009.02.05        -
Sophos        4.38.0        2009.02.05        -
Sunbelt        3.2.1835.2        2009.01.16        -
Symantec        10        2009.02.05        -
TheHacker        6.3.1.5.247        2009.02.05        -
TrendMicro        8.700.0.1004        2009.02.05        -
VBA32        3.12.8.12        2009.02.04        -
ViRobot        2009.2.5.1591        2009.02.05        -
VirusBuster        4.5.11.0        2009.02.04        -
weitere Informationen
File size: 14336 bytes
MD5...: 4fbc75b74479c7a6f829e0ca19df3366
SHA1..: 97c7c354c12b89c797740b35ed81879be58f3deb
SHA256: a42568851b48fb9924b3fe18c8a0f3ceecd850254257cfe6c5f168c08f408ef0
SHA512: bc2d1f29a85285863f80aa5ccdf5bd4fa0b2ef58a3c3aa56a541e4227b87fb4a
da91930eead4ef4b7cd072100201361c84f34ed1dd78547a08f4ea5a56752202
ssdeep: 384:Wdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:KcG6xlCRaJKGOA7SHJ
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2509
timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653
.data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2
.rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882

( 4 imports )
> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW
> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook
> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid
> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4fbc75b74479c7a6f829e0ca19df3366' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4fbc75b74479c7a6f829e0ca19df3366</a>

Mir ist gerade aufgefallen, dass beim Anstöpseln des USB-Sticks, kein Autostart mit was-wollen-sie-tun-Menue mehr erscheint und dieser im Fenster ´Arbeitsplatz´ nicht als Wechseldatenträger sondern als Ordner angezeigt wird. Und beim direkten Doppelklick kommt die Fehlermeldung "vshost" konnte nicht gefunden werden...

Chris4You 05.02.2009 17:16
Hi,

hmm, nicht gut...
vshost.exe -> http://www.prevx.com/filenames/14990...HOST2EEXE.html
oder machst Du etwas mit VisualStudio?
Visual Studio Hosting Process -> vshost.exe

Nun stellt sich die Frage, finden wir sie nicht weil ein Rootkit noch aktiv ist, oder weil sie schon runtergelöscht wurde?

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Das die keine Abfrage mehr kommt dürfte an der Immunisierung liegen,
und das die vshost.exe nicht gefunden wird, dürfte an den Mountpoints liegen:
Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}]
\Shell\AutoRun\command - F:\
\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM
Mountpoints ausgeben:
http://forums.techguy.org/attachment...diagnostic.zip
Auf den Desktop downloaden, auspacken und per Doppelklick starten.
Es wird eine Datei Diagnostic.txt erstellt, die im Notepad angezeigt wird.

Abkopieren und im Forum posten!

chris
Ps.: Bin morgen unterwegs und daher nicht erreichbar...
Prüfe ob die vshost.exe unter c:\ liegt (C:\vshost.exe)

Calvin 05.02.2009 18:11
Direkt mach ich mit VS nichts.
Ich wüßte auch kein Programm, was VS als Anwendung braucht und mitinstalliert hat.

- Avira-Antirootkit hört augeblicklich nach dem Start auf und gibt 0 versteckte Dateien aus:

...und läßt sich gerade nicht ein weiteres Mal aufrufen...

/edit:

Code:
Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
 - Scan started Donnerstag, 5. Februar 2009 - 18:14:02
========================================================================================================

--------------------------------------------------------------------------------------------------------
  Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 19.53 GB
 - Working disk free size : 6.61 GB (33 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
 - Scan finished  Donnerstag, 5. Februar 2009 - 18:14:02
========================================================================================================
- Hier die Mountpoints:

Code:
Diagnostic Report
05.02.2009 17:53:19,42
 
Mountpoints > Drives subkeys:
------------------------------------

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,00,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,08,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,00,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,08,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,03,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,00,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4234af68-48fe-11dd-944d-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,00,00,00

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,01,00,01,01,ee,5f,cf,cf,5f,5f,5f,5f,01,01,00,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,01,00,01,01,ee,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,01,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,00,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,02,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,00,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,09,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell]
@="AutoRun"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun]
@="Auto&Play"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\_Autorun]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\_Autorun\Action]
@="Open folder to view files"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\_Autorun\DefaultIcon]
@="H:\\%systemroot%\\SYSTEM32\\SHELL32.Dll,4"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,02,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,df,df,df,\
  5f,df,df,00,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,01,00,00,00,08,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b0-3e48-11dd-8e9a-806d6172696f}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,cf,5f,5f,5f,5f,cf,cf,5f,5f,\
  5f,cf,cf,cf,5f,5f,5f,cf,cf,cf,5f,5f,5f,cf,cf,cf,5f,5f,5f,cf,cf,cf,5f,5f,cf,\
  5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,df,df,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,60,00,00,00,08,04,00,00

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}]
"BaseClass"="Drive"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}\_Autorun]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}\_Autorun\Action]
@="Open folder to view files"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebfc97b5-3e48-11dd-8e9a-806d6172696f}\_Autorun\DefaultIcon]
@="C:\\%systemroot%\\SYSTEM32\\SHELL32.Dll,4"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,00,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,01,01,00,ee,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,01,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,01,01,01,\
  ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10,00,00,08,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell]
@="None"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

~~~~~~~~~~~~~~~~~~~~~~~~~ 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
  5f,5f,5f,5f,5f,01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,07,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell]
@="Open"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\AutoRun]
"Extended"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\AutoRun\command]
@="F:\\"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\open]
@="Explore"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\open\Command]
@="rundll32.exe .\\desktop.dll,InstallM"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\open\Default]
@="1"

~~~~~~~~~~~~~~~~~~~~~~~~~ 
No Autorun files found in C:\WINDOWS 

No Autorun files found in C:\WINDOWS\system32
 
No Autorun files found in root of C:

 
No Autorun files found in root of D:

Chris4You 06.02.2009 07:54
Hi,

Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
Code:
f26a669a-bcbb-4e37-abf9-7325da15f931
in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text
Bevor wir die Mountpoints rausnehmen, möchte ich wissen was es ist...

Hat jetzt Avira scannen können oder nicht?

Bin heute den ganzen Tag unterwegs, daher nicht erreichbar...
(werden heute so knappe 1.000 km mit Auto werden...)

chris

Calvin 06.02.2009 18:07
Da wünsche ich Dir mal freie Strassen und ein gutes Durchkommen für deine Tour.

- Avira-Antirootkit hat geklappt. Die Log ist im letzten Beitrag unter /edit:
Mir ist nur aufgefallen, dass das Programm fast augenblicklich zu dem Ergebniss kommt.

- Hier die Treffer von regsearch:

Code:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "f26a669a-bcbb-4e37-abf9-7325da15f931" 06.02.2009 17:57:06

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f26a669a-bcbb-4e37-abf9-7325da15f931}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f26a669a-bcbb-4e37-abf9-7325da15f931}\InProcServer32]

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067d96-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00067da2-ed6e-11dd-94b3-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12ccf0fd-cb80-11dd-94aa-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14d382d8-c24f-11dd-94a6-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8a-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8b-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42650f8c-c533-11dd-94a7-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5049bbec-45bf-11dd-9447-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7754-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{856c7755-6652-11dd-9473-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91da258c-6c7d-11dd-9480-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b1e-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8886b2d-864e-11dd-948c-001fc66ab4b7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f4197724-4aeb-11dd-9455-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de6-e8d3-11dd-94b2-0015af97bdf7}\shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-1993962763-261478967-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5161de7-e8d3-11dd-94b2-0015af97bdf7}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"
Bis denn...

Chris4You 09.02.2009 09:44
Hi,

Autostarteinträge reparieren:
http://www.microsoft.com/downloads/details.aspx?familyid=C680A7B6-E8FA-45C4-A171-1B389CFACDAD&displaylang=en

So, probieren wir mal Blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html
Blacklight-Logfile posten. Sein Pfad wird etwa so lauten: C:\fsbl-xxxxxxxxxxxxxx.log, wobei die 'x' für Ziffern stehen

chris

Calvin 09.02.2009 14:52
Huhu,

- die Autostarteinträge hat die Autofix repariert. Zum Schluss kam beim DVD-LW und USB-Stick allerdings die Fehlermeldung, dass Autoplay V2 nicht gefixt werden kann:

Code:
AutoFix [V5.2.3790.67]
Time [2009-02-09 14:27:35]
Microsoft Windows Version [5.1 (Service Pack 3) <2600>]

Test [The Shell Hardware Detection service is running.] - Instance [N/A]:
    Result [AutoStart Setting]: OK
    Result [The Shell Hardware Detection service is running.]: OK

Test [Policies] - Instance [E:\, Drive Type: 5]:
    Result [HKCU\...\Policies!NoDrives]: OK {Present}
    Result [HKCU\...\Policies!NoDriveAutorun]: OK {Present}
    Result [HKCU\...\Policies!NoDriveTypeAutorun]: OK {Present}
    Result [HKLM\...\Policies!NoDrives]: OK {Present}
    Result [HKLM\...\Policies!NoDriveAutorun]: OK {Present}
    Result [HKLM\...\Policies!NoDriveTypeAutorun]: OK {Present}
    Result [Driver level policies]: OK {
        HKLM\...\Services\cdrom!Autorun (Present) <Allows>
        HKLM\...\Services\cdrom\Parameters!Autorun (Absent) <Allows>
        HKLM\System\CCS\Enum\...!AlwaysEnable (Absent) <Not set>
        HKLM\System\CCS\Enum\...!AlwaysDisable (Absent) <Not set> }

Test [Drive Notification] - Instance [E:\, Drive Type: 5]:
    Result [Legacy Notification]: OK
    Result [AutoPlay V2 Notification]: Problems {
        Service (Silent)
        Shell (Deaf) }
    >> Repair << [Autoplay V2 Event]
      Step: No steps to take.
      Result: This AutoPlay setting cannot be fixed. Either the device is malfunctioning, or the wizard cannot determine the problem.

>> Required action: The wizard found problems but cannot fix them -> None
- Blacklight scannt und findet nichts.

Code:
02/09/09 14:40:31 [Info]: BlackLight Engine 2.2.1092 initialized
02/09/09 14:40:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
02/09/09 14:40:31 [Note]: 7019 4
02/09/09 14:40:31 [Note]: 7005 0
02/09/09 14:40:46 [Note]: 7006 0
02/09/09 14:40:46 [Note]: 7011 2648
02/09/09 14:40:46 [Note]: 7035 0
02/09/09 14:40:46 [Note]: 7026 0
02/09/09 14:40:46 [Note]: 7026 0
02/09/09 14:40:47 [Note]: FSRAW library version 1.7.1024
02/09/09 14:47:48 [Note]: 7007 0

WesleyGibson 09.02.2009 14:58
Hey!

Ich habe genau dieselbe Symptomkonstellation wie du. Was ich bisher herausgefunden habe:

Die Symbole im Arbeitsplatz sind umgeleitet auf eine Datei namens vshost.exe. Immer wenn du auf eine der Festplatten klickst fungiert der Prozess vshost.exe als Explorer (sieht genauso aus), aber macht mit Sicherheit irgendetwas anders, z.B. eben sich selbst nicht anzeigen.

Auf meinen Festplattenbuchstaben C:/ D:/ und E:/ gab es jeweils die Datei
X:/vshost.exe. Sehen konnte ich sie aber nicht. Ich konnte die Prozesse aber mit einem Tastmanager-Ersatz beenden (habe Daphne benutzt) und dann löschen lassen.

Darauf bin ich heute morgen gestoßen. Das neuste Update von Avira AntiVir scheint diese Datei im Gegensatz zum gestrigen zu erkennen.

Ich glaube aber nicht daran, dass das die ganze Geschichte ist.

nochdigger 09.02.2009 15:09
Moin

Brille - Fielmann

MFG

Chris4You 09.02.2009 17:03
Hi,

so jetzt bin ich am Ende von meinem Latein...
Der Rechner scheint soweit sauber zu sein, allerdings sind Einstellungen verbogen worden...

Wenn Du Dich mit Regedit auskennst, diesen Eintrag löschen:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ab47e45c-4485-11dd-9435-aea961e75ac1}\Shell\AutoRun\command]

System Reparieren:
Vorher ggf. Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindowscareper.html?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

@nochdigger: Vielleicht fällt Dir noch was ein...

nochdigger 09.02.2009 18:00
Hallo Ihr

Zitat:
@nochdigger: Vielleicht fällt Dir noch was ein...
bei meinen post war ich mit den Fingern schneller als mit den Augen, darum die Brille;) (kann aber auch am Fieber liegenhttp://img374.imageshack.us/img374/1771/badcold5qz.gif)

In diesem Post scheint die vshost.exe direkt unter C:\ zu liegen, schau mal nach evtl- ist sie ja noch da.
vladpuscasu[split] - Softpedia Forum
bzw. direkt den Pfad bei Virustotal reinkopieren
Code:
C:\vshost.exe
MFG

EDIT: hier handelt es sich wohl um den selben Freund http://www.trojaner-board.de/69491-t...der-buzus.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:56 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131