Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner AV Security Suit (https://www.trojaner-board.de/87519-trojaner-av-security-suit.html)

KeIn 23.06.2010 22:14
Trojaner AV Security Suit
 
Hallo,

ich versuche seit vorgestern einen Trojaner Namens "AV Security Suit"
von meinem PC zu entfernen.
Ich habe versucht nach der Anleitung in diesem Forum zu arbeiten.
Nach dem ich den PC im Abgesicherten Modus (F8) hochgefahren hatte,
ist mir aufgefallen das neben dem Benutzer "Mustermann" noch der
Benutzer "Administrator" vorhanden ist. Beide sind aber Computer-
administrator.
Ich versuche mal zu erklären was ich bis jetzt gemacht habe, denn
der Trojaner namens "AV Security Suit" ist leider immer noch da.

Achso: Bitte lasst euch von den Zeiten und dem Datum in den Log files
nicht irritieren. Ich bin in Sydney.




Im Abgesicherten Modus ("Administrator"):


1.Programm "rkill" ausgeführt.


Log file:
_________________________________________________________________
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Administrator on 23.06.2010 at 21:18:33.


Processes terminated by Rkill or while it was running:




Rkill completed on 23.06.2010 at 21:18:37.
_________________________________________________________________


2. Falsche Proxi Einstellungen entfernt.

3. Quick-Scan mit dem Programm "Malwarebytes" ausgeführt.

Log file:
_________________________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4227

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

23.06.2010 21:37:45
mbam-log-2010-06-23 (21-37-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136212
Laufzeit: 8 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\asam.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully.

_________________________________________________________________




4. Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt.



Nach dem ich das alles gemacht hatte, habe ich die Verbindung ins Netz
deaktiviert und den PC neu gestartet. Da ich ihn nicht im Abgesicherten
Modus hochgefahren hatte, konnte ich mich nur als "Mustermann", welcher
ebenfalls Computeradministrator ist, anmelden.
So weit so gut, der Trojaner hatte sich nach dem Hochfahren nicht gemeldet.
Nun bin ich wie folgt vorgegangen:


1. Nochmals des Programm "Malwarebytes"ausgeführt. Dieses mal aber den Full-Scan. --> es wurden erneut infizierte Objekte gefunden!!!

Log file:
_________________________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4227

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23.06.2010 22:56:41
mbam-log-2010-06-23 (22-56-41).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 226576
Time elapsed: 55 minute(s), 53 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 4
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\syssvc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0068825.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
_________________________________________________________________



2. Nochmals Proxi Einstellungen kontrolliert. Das Häkchen war gesetzt - ich habe es entfernt.

3. Nochmals Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt.

4. Programm "RSIT" ausgeführt.

Log file:
_________________________________________________________________
(ist etwas groß, habe es aber gespeichert falls es wichtig ist)
_________________________________________________________________


5. AviraAntiVir --> Luke Filewalker durchgeführt. (es wurden keine Vieren gefunden)

6. Programm "Ad-Aware" durchgeführt. (es wurden keine Vieren gefunden)

Log file:
_________________________________________________________________
Logfile created: 24.06.2010 06:00:59
Ad-Aware version: 8.2.5
User performing scan: Mustermann

*********************** Definitions database information ***********************
Lavasoft definition file: 149.299
Genotype definition file version: 2010/06/15 23:24:58

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 12316
Objects detected: 0


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0
_________________________________________________________________


Jetzt habe ich die Verbindung zum Internet wieder hergestellt und
der Trojaner hat sich nicht mehr gemeldet.

Nachdem ich den PC aber neu gestartet hatte, war er wieder da.

Kann mir jemand einen Tip geben was ich noch tun könnte?

Hängt es vielleicht irgendwie mit den Benutzerkonten zusammen?

Gruß

kira 23.06.2010 22:56
Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

KeIn 24.06.2010 04:17
Hallo,

ich habe die erforderlichen Tools nun von einem anderen Rechner heruntergeladen und auf einem Stick gespeichert.
Soll ich die Vorgänge im abgesicherten Modus ausführen?
Wenn ja, mit welchem Benutzer?
Beide, "Administrator" und "Mustermann", sind Computeradministrator.

Grüße

KeIn 24.06.2010 09:24
Ok,

ich habe den PC im abgesicherten Modus hochgefahren und
mich als "Administrator" (Computeradministrator) angemeldet.

Dann folgende Anweisungen ausgeführt:

1. Programm "HijackThis" ausgeführt und Logfile gespeichert.

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:33:57, on 24.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [ETDWareDetect] C:\Programme\Elantech\ETDDect.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32\rundll32.exe bih.dll, InitGauge
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: UpdateCheck - {8A4AB032-6976-4CB0-B08E-230683C1FFD9} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6326 bytes

2. Geforderte Dateien sichtbar gemacht.

3. Programm "HJTscanlist" ausgeführt.

Code:

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                        º                                    º
                                    hjtscanlist v2.0             
                        º                                    º
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

  24.06.2010 17:30      C:\WINDOWS --------- 0
  24.06.2010 17:30      C:\rkill.log --------- 392
        C:\pagefile.sys --------- 
  24.06.2010 17:26      C:\aaw7boot.log --------- 1116
  23.06.2010 19:37      C:\Programme --------- 0
  23.06.2010 05:43      C:\rsit --------- 0
  23.06.2010 00:38      C:\RECYCLER --------- 0
  22.06.2010 23:59      C:\Dokumente und Einstellungen --------- 0
  08.02.2009 09:36      C:\Downloads --------- 0
  08.01.2009 06:28      C:\Keil --------- 0
  09.12.2008 19:19      C:\Program Files --------- 0
  05.12.2008 09:27      C:\System Volume Information --------- 0
  05.12.2008 09:27      C:\boot.ini --------- 211
  12.08.2008 01:57      C:\Intel --------- 0
  12.08.2008 00:19      C:\IO.SYS --------- 0
  12.08.2008 00:19      C:\CONFIG.SYS --------- 0
  12.08.2008 00:19      C:\MSDOS.SYS --------- 0
  12.08.2008 00:19      C:\AUTOEXEC.BAT --------- 0
  14.04.2008 22:00      C:\bootfont.bin --------- 4952
  14.04.2008 22:00      C:\ntldr --------- 251712
  14.04.2008 22:00      C:\NTDETECT.COM --------- 47564
----------------------------------------

 
C:\WINDOWS

  24.06.2010 17:31    C:\WINDOWS\ntbtlog.txt --------- 162546
  24.06.2010 17:26    C:\WINDOWS\0.log --------- 0
  24.06.2010 17:26    C:\WINDOWS\bootstat.dat --------- 2048
  24.06.2010 17:25    C:\WINDOWS\WindowsUpdate.log --------- 19122
  24.06.2010 17:25    C:\WINDOWS\SchedLgU.Txt --------- 9334
  24.06.2010 17:25    C:\WINDOWS\wiaservc.log --------- 50
  24.06.2010 17:25    C:\WINDOWS\wiadebug.log --------- 275
  24.06.2010 17:24    C:\WINDOWS\setupapi.log --------- 793
  23.06.2010 21:49    C:\WINDOWS\Sti_Trace.log --------- 0
  16.04.2010 07:20    C:\WINDOWS\PSPICEEV.INI --------- 6218
  06.04.2010 05:57    C:\WINDOWS\ModemLog_Nokia E50 Bluetooth Modem.txt --------- 17790
  23.03.2009 19:11    C:\WINDOWS\win.ini --------- 498
  05.12.2008 21:58    C:\WINDOWS\nsreg.dat --------- 0
  18.09.2008 02:40    C:\WINDOWS\oemver.txt --------- 35
  28.08.2008 01:39    C:\WINDOWS\HideWin.exe --------- 319488
  13.08.2008 13:44    C:\WINDOWS\smscfg.ini --------- 61
  12.08.2008 03:58    C:\WINDOWS\REGLOCS.OLD --------- 8192
  12.08.2008 03:07    C:\WINDOWS\setup.iss --------- 692
  12.08.2008 01:12    C:\WINDOWS\system.ini --------- 231
  12.08.2008 00:19    C:\WINDOWS\control.ini --------- 0
  12.08.2008 00:19    C:\WINDOWS\WMSysPr9.prx --------- 316640
  12.08.2008 00:19    C:\WINDOWS\ODBCINST.INI --------- 4161
  12.08.2008 00:17    C:\WINDOWS\WindowsShell.Manifest --------- 749
  12.08.2008 00:16    C:\WINDOWS\vb.ini --------- 36
  12.08.2008 00:16    C:\WINDOWS\vbaddin.ini --------- 37
  06.08.2008 23:51    C:\WINDOWS\RtlUpd.exe --------- 1200128
  31.07.2008 23:05    C:\WINDOWS\RTHDCPL.EXE --------- 16806912
  31.07.2008 03:31    C:\WINDOWS\AsAcpiSvrLang.ini --------- 21864
  30.07.2008 18:56    C:\WINDOWS\BtwIEProxy.exe --------- 27176
  29.07.2008 23:42    C:\WINDOWS\RtlExUpd.dll --------- 528384
  02.07.2008 23:48    C:\WINDOWS\AUTO.BAT --------- 37
  20.06.2008 00:42    C:\WINDOWS\ALCWZRD.EXE --------- 2808832
  20.06.2008 00:27    C:\WINDOWS\RTLCPL.EXE --------- 9715200
  20.06.2008 00:20    C:\WINDOWS\ALCMTR.EXE --------- 57344
  19.06.2008 02:01    C:\WINDOWS\SOUNDMAN.EXE --------- 77824
  14.04.2008 22:00    C:\WINDOWS\regedit.exe --------- 153600
  14.04.2008 22:00    C:\WINDOWS\hh.exe --------- 10752
  14.04.2008 22:00    C:\WINDOWS\Rhododendron.bmp --------- 17362
  14.04.2008 22:00    C:\WINDOWS\Granit.bmp --------- 26582
  14.04.2008 22:00    C:\WINDOWS\Pr„riewind.bmp --------- 65954
  14.04.2008 22:00    C:\WINDOWS\Kaffeetasse.bmp --------- 17062
  14.04.2008 22:00    C:\WINDOWS\wmprfDEU.prx --------- 34818
  14.04.2008 22:00    C:\WINDOWS\winnt.bmp --------- 48680
  14.04.2008 22:00    C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832
  14.04.2008 22:00    C:\WINDOWS\Feder.bmp --------- 16730
  14.04.2008 22:00    C:\WINDOWS\Zapotek.bmp --------- 9522
  14.04.2008 22:00    C:\WINDOWS\explorer.scf --------- 80
  14.04.2008 22:00    C:\WINDOWS\winhlp32.exe --------- 288768
  14.04.2008 22:00    C:\WINDOWS\winhelp.exe --------- 257568
  14.04.2008 22:00    C:\WINDOWS\explorer.exe --------- 1036800
  14.04.2008 22:00    C:\WINDOWS\winnt256.bmp --------- 48680
  14.04.2008 22:00    C:\WINDOWS\F„cher.bmp --------- 26680
  14.04.2008 22:00    C:\WINDOWS\desktop.ini --------- 2
  14.04.2008 22:00    C:\WINDOWS\clock.avi --------- 82944
  14.04.2008 22:00    C:\WINDOWS\TASKMAN.EXE --------- 15872
  14.04.2008 22:00    C:\WINDOWS\twain.dll --------- 94800
  14.04.2008 22:00    C:\WINDOWS\twain_32.dll --------- 50688
  14.04.2008 22:00    C:\WINDOWS\twunk_16.exe --------- 49680
  14.04.2008 22:00    C:\WINDOWS\twunk_32.exe --------- 25600
  14.04.2008 22:00    C:\WINDOWS\Angler.bmp --------- 17336
  14.04.2008 22:00    C:\WINDOWS\NOTEPAD.EXE --------- 70144
  14.04.2008 22:00    C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272
  14.04.2008 22:00    C:\WINDOWS\vmmreg32.dll --------- 18944
  14.04.2008 22:00    C:\WINDOWS\Seifenblase.bmp --------- 65978
  14.04.2008 22:00    C:\WINDOWS\msdfmap.ini --------- 1405
  14.04.2008 22:00    C:\WINDOWS\_default.pif --------- 707
  20.03.2008 17:58    C:\WINDOWS\explorer.exe.config --------- 173
  17.03.2008 23:54    C:\WINDOWS\AsTrayLang.ini --------- 12208
  20.02.2008 01:42    C:\WINDOWS\RUN.REG --------- 256
  01.02.2008 20:17    C:\WINDOWS\WLXPGSS.SCR --------- 587776
  25.01.2008 06:17    C:\WINDOWS\HW.VBS --------- 124
  15.12.2007 15:00    C:\WINDOWS\INSTALLEEE.EXE --------- 49152
  21.11.2007 02:15    C:\WINDOWS\SkyTel.exe --------- 1826816
  14.11.2007 23:18    C:\WINDOWS\USetup.iss --------- 553
  29.06.2007 00:44    C:\WINDOWS\MicCal.exe --------- 2165760
  14.06.2007 06:39    C:\WINDOWS\sr.VBS --------- 1162
  30.10.1998 01:45    C:\WINDOWS\IsUninst.exe --------- 306688
----------------------------------------

 
C:\WINDOWS\System

 14.04.2008 22:00    C:\WINDOWS\System\AVICAP.DLL --------- 70368
 14.04.2008 22:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109504
 14.04.2008 22:00    C:\WINDOWS\System\COMMDLG.DLL --------- 33744
 14.04.2008 22:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
 14.04.2008 22:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
 14.04.2008 22:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73760
 14.04.2008 22:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25296
 14.04.2008 22:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
 14.04.2008 22:00    C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632
 14.04.2008 22:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152
 14.04.2008 22:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032
 14.04.2008 22:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 127104
 14.04.2008 22:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944
 14.04.2008 22:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064
 14.04.2008 22:00    C:\WINDOWS\System\setup.inf --------- 59167
 14.04.2008 22:00    C:\WINDOWS\System\SHELL.DLL --------- 5120
 14.04.2008 22:00    C:\WINDOWS\System\SOUND.DRV --------- 1744
 14.04.2008 22:00    C:\WINDOWS\System\stdole.tlb --------- 5532
 14.04.2008 22:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360
 14.04.2008 22:00    C:\WINDOWS\System\TAPI.DLL --------- 19200
 14.04.2008 22:00    C:\WINDOWS\System\TIMER.DRV --------- 4048
 14.04.2008 22:00    C:\WINDOWS\System\VER.DLL --------- 9200
 14.04.2008 22:00    C:\WINDOWS\System\VGA.DRV --------- 2176
 14.04.2008 22:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600
 14.04.2008 22:00    C:\WINDOWS\System\WINSPOOL.DRV --------- 146944
----------------------------------------

 
C:\WINDOWS\System32

 24.06.2010 17:23    C:\WINDOWS\system32\CatRoot2 --------- 0
 24.06.2010 06:54    C:\WINDOWS\system32\drivers --------- 0
 23.06.2010 20:07    C:\WINDOWS\system32\lsdelete.exe --------- 15880
 23.06.2010 17:25    C:\WINDOWS\system32\perfh009.dat --------- 441458
 23.06.2010 17:25    C:\WINDOWS\system32\perfc009.dat --------- 71394
 23.06.2010 17:25    C:\WINDOWS\system32\perfh007.dat --------- 459396
 23.06.2010 17:25    C:\WINDOWS\system32\perfc007.dat --------- 84722
 23.06.2010 17:25    C:\WINDOWS\system32\PerfStringBackup.INI --------- 1025822
 23.06.2010 17:20    C:\WINDOWS\system32\wpa.dbl --------- 1158
 13.06.2010 19:56    C:\WINDOWS\system32\FNTCACHE.DAT --------- 181832
 13.06.2010 11:35    C:\WINDOWS\system32\dllcache --------- 0
 29.05.2010 05:37    C:\WINDOWS\system32\MRT.exe --------- 32472008
 26.05.2010 15:38    C:\WINDOWS\system32\TZLog.log --------- 600946
 02.05.2010 18:05    C:\WINDOWS\system32\win32k.sys --------- 1851392
 21.04.2010 23:28    C:\WINDOWS\system32\tzchange.exe --------- 46080
 20.04.2010 15:29    C:\WINDOWS\system32\atmfd.dll --------- 285696
 17.04.2010 02:06    C:\WINDOWS\system32\wininet.dll --------- 672768
 17.04.2010 02:06    C:\WINDOWS\system32\shdocvw.dll --------- 1509888
 17.04.2010 02:06    C:\WINDOWS\system32\tdc.ocx --------- 61952
 17.04.2010 02:06    C:\WINDOWS\system32\urlmon.dll --------- 628736
 17.04.2010 02:06    C:\WINDOWS\system32\mshtml.dll --------- 3094016
 17.04.2010 02:06    C:\WINDOWS\system32\iepeers.dll --------- 251904
 17.04.2010 02:06    C:\WINDOWS\system32\browseui.dll --------- 1025024
 17.04.2010 02:06    C:\WINDOWS\system32\ieencode.dll --------- 81920
 17.04.2010 01:53    C:\WINDOWS\system32\html.iec --------- 371200
 08.04.2010 14:03    C:\WINDOWS\system32\WMVCore.dll --------- 2113536
 31.03.2010 05:48    C:\WINDOWS\system32\jupdate-1.6.0_19-b04.log --------- 4444
 31.03.2010 00:16    C:\WINDOWS\system32\PresentationHostProxy.dll --------- 99176
 31.03.2010 00:10    C:\WINDOWS\system32\PresentationHost.exe --------- 295264
 20.03.2010 02:05    C:\WINDOWS\system32\wmp.dll --------- 4874240
 09.03.2010 21:09    C:\WINDOWS\system32\vbscript.dll --------- 430080
 09.03.2010 12:28    C:\WINDOWS\system32\javaws.exe --------- 153376
 09.03.2010 12:28    C:\WINDOWS\system32\javaw.exe --------- 145184
 09.03.2010 12:28    C:\WINDOWS\system32\java.exe --------- 145184
 09.03.2010 12:28    C:\WINDOWS\system32\deploytk.dll --------- 411368
 09.03.2010 10:16    C:\WINDOWS\system32\javacpl.cpl --------- 73728
 06.03.2010 00:37    C:\WINDOWS\system32\asycfilt.dll --------- 65536
 17.02.2010 05:04    C:\WINDOWS\system32\ntkrnlpa.exe --------- 2027008
 17.02.2010 05:04    C:\WINDOWS\system32\ntoskrnl.exe --------- 2148864
 12.02.2010 20:03    C:\WINDOWS\system32\browserchoice.exe --------- 293376
 12.02.2010 14:33    C:\WINDOWS\system32\6to4svc.dll --------- 100864
 06.02.2010 04:25    C:\WINDOWS\system32\quartz.dll --------- 1297408
 30.01.2010 00:59    C:\WINDOWS\system32\inetcomm.dll --------- 691712
 30.01.2010 00:43    C:\WINDOWS\system32\l3codeca.acm --------- 307260
 30.01.2010 00:43    C:\WINDOWS\system32\l3codecx.ax --------- 143422
 14.01.2010 00:00    C:\WINDOWS\system32\cabview.dll --------- 86528
 02.01.2010 05:58    C:\WINDOWS\system32\jupdate-1.6.0_17-b04.log --------- 4997
 24.12.2009 16:59    C:\WINDOWS\system32\wintrust.dll --------- 177664
 17.12.2009 17:40    C:\WINDOWS\system32\mspaint.exe --------- 346624
 14.12.2009 17:08    C:\WINDOWS\system32\csrsrv.dll --------- 33280
 08.12.2009 19:23    C:\WINDOWS\system32\shlwapi.dll --------- 474624
 28.11.2009 03:11    C:\WINDOWS\system32\msyuv.dll --------- 17920
 28.11.2009 02:08    C:\WINDOWS\system32\tsbyuv.dll --------- 8704
 28.11.2009 02:08    C:\WINDOWS\system32\msvidc32.dll --------- 28672
 28.11.2009 02:08    C:\WINDOWS\system32\msrle32.dll --------- 11264
 28.11.2009 02:08    C:\WINDOWS\system32\avifil32.dll --------- 85504
 28.11.2009 02:08    C:\WINDOWS\system32\iyuv_32.dll --------- 48128
 07.11.2009 01:07    C:\WINDOWS\system32\netfxperf.dll --------- 49488
 07.11.2009 01:07    C:\WINDOWS\system32\mscoree.dll --------- 297808
 07.11.2009 01:06    C:\WINDOWS\system32\dfshim.dll --------- 1130824
 21.10.2009 15:38    C:\WINDOWS\system32\strmfilt.dll --------- 75776
 21.10.2009 15:38    C:\WINDOWS\system32\httpapi.dll --------- 25088
 16.10.2009 02:28    C:\WINDOWS\system32\fontsub.dll --------- 81920
 16.10.2009 02:28    C:\WINDOWS\system32\t2embed.dll --------- 119808
 13.10.2009 20:32    C:\WINDOWS\system32\oakley.dll --------- 271360
 12.10.2009 23:38    C:\WINDOWS\system32\raschap.dll --------- 79872
 12.10.2009 23:38    C:\WINDOWS\system32\rastls.dll --------- 150528
 09.10.2009 00:47    C:\WINDOWS\system32\DRVSTORE --------- 0
 12.09.2009 00:17    C:\WINDOWS\system32\msv1_0.dll --------- 136192
 05.09.2009 09:54    C:\WINDOWS\system32\QuickTime.qts --------- 69632
 05.09.2009 09:54    C:\WINDOWS\system32\QuickTimeVR.qtx --------- 94208
 05.09.2009 07:03    C:\WINDOWS\system32\msasn1.dll --------- 58880
 02.09.2009 00:46    C:\WINDOWS\system32\msaud32.acm --------- 282654
 29.08.2009 03:42    C:\WINDOWS\system32\usbaaplrc.dll --------- 2065696
 26.08.2009 18:00    C:\WINDOWS\system32\strmdll.dll --------- 247326
 25.08.2009 19:17    C:\WINDOWS\system32\winhttp.dll --------- 354816
 14.08.2009 01:15    C:\WINDOWS\system32\jscript.dll --------- 512000
 07.08.2009 04:24    C:\WINDOWS\system32\wuweb.dll --------- 209632
 07.08.2009 04:24    C:\WINDOWS\system32\wucltui.dll --------- 327896
 07.08.2009 04:24    C:\WINDOWS\system32\wuaueng.dll.mui --------- 18144
 07.08.2009 04:24    C:\WINDOWS\system32\wups2.dll --------- 44768
 07.08.2009 04:24    C:\WINDOWS\system32\wups.dll --------- 35552
 07.08.2009 04:24    C:\WINDOWS\system32\wuaucpl.cpl --------- 217816
 07.08.2009 04:24    C:\WINDOWS\system32\wuapi.dll.mui --------- 15584
 07.08.2009 04:24    C:\WINDOWS\system32\wuauclt.exe --------- 53472
 07.08.2009 04:24    C:\WINDOWS\system32\wuaucpl.cpl.mui --------- 15584
 07.08.2009 04:24    C:\WINDOWS\system32\cdm.dll --------- 96480
 07.08.2009 04:24    C:\WINDOWS\system32\wucltui.dll.mui --------- 23264
 07.08.2009 04:23    C:\WINDOWS\system32\wuapi.dll --------- 575704
 07.08.2009 04:23    C:\WINDOWS\system32\wuaueng.dll --------- 1929952
 07.08.2009 04:23    C:\WINDOWS\system32\mucltui.dll.mui --------- 17776
 07.08.2009 04:23    C:\WINDOWS\system32\mucltui.dll --------- 274288
 07.08.2009 04:23    C:\WINDOWS\system32\muweb.dll --------- 215920
 05.08.2009 18:59    C:\WINDOWS\system32\mswebdvd.dll --------- 206336
 31.07.2009 19:02    C:\WINDOWS\system32\msxml6.dll --------- 1372672
 31.07.2009 14:32    C:\WINDOWS\system32\msxml3.dll --------- 1172480
 18.07.2009 05:01    C:\WINDOWS\system32\atl.dll --------- 58880
 18.07.2009 02:15    C:\WINDOWS\system32\query.dll --------- 1441792
 12.07.2009 20:21    C:\WINDOWS\system32\wmpdxm.dll --------- 233472
 25.06.2009 18:25    C:\WINDOWS\system32\wdigest.dll --------- 54272
----------------------------------------

 
C:\WINDOWS\Prefetch

 14.08.2010 01:30    C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 27992
 14.08.2010 01:27    C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 19552
 24.06.2010 17:25    C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf --------- 21526
 24.06.2010 17:25    C:\WINDOWS\Prefetch\PEV.RKEXE-2A267F34.pf --------- 4588
 24.06.2010 17:25    C:\WINDOWS\Prefetch\RKILL.COM-0D8FD80D.pf --------- 11786
 24.06.2010 17:25    C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 8226
 24.06.2010 17:24    C:\WINDOWS\Prefetch\RUNDLL32.EXE-13404D23.pf --------- 26078
 24.06.2010 17:24    C:\WINDOWS\Prefetch\NCLBCBTSRV.EXE-39D0ABE1.pf --------- 16044
 24.06.2010 17:24    C:\WINDOWS\Prefetch\AVWSC.EXE-24612965.pf --------- 33752
 24.06.2010 17:24    C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf --------- 33996
 24.06.2010 17:24    C:\WINDOWS\Prefetch\NCLMSBTSRV.EXE-07A52892.pf --------- 13920
 24.06.2010 17:24    C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf --------- 43568
 24.06.2010 17:24    C:\WINDOWS\Prefetch\NCLRSSRV.EXE-3994D759.pf --------- 6368
 24.06.2010 17:24    C:\WINDOWS\Prefetch\SERVICELAYER.EXE-2529B377.pf --------- 17840
 24.06.2010 17:24    C:\WINDOWS\Prefetch\NCLUSBSRV.EXE-2369E9B7.pf --------- 6782
 24.06.2010 17:24    C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf --------- 58024
 24.06.2010 17:24    C:\WINDOWS\Prefetch\WMIAPSRV.EXE-1E2270A5.pf --------- 48562
 24.06.2010 17:24    C:\WINDOWS\Prefetch\NCLINSTALLER.EXE-29B54FA6.pf --------- 12308
 24.06.2010 17:24    C:\WINDOWS\Prefetch\UNSECAPP.EXE-1A95A33B.pf --------- 50714
 24.06.2010 06:53    C:\WINDOWS\Prefetch\RUNDLL32.EXE-14B29E97.pf --------- 15000
 24.06.2010 06:53    C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 26610
 24.06.2010 06:47    C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 67586
 24.06.2010 06:04    C:\WINDOWS\Prefetch\THREATWORK.EXE-2CC668FF.pf --------- 38672
 24.06.2010 06:00    C:\WINDOWS\Prefetch\AUTOLAUNCH.EXE-343E795D.pf --------- 20492
 24.06.2010 06:00    C:\WINDOWS\Prefetch\AD-AWARE.EXE-2B8B58D1.pf --------- 22570
 24.06.2010 04:15    C:\WINDOWS\Prefetch\Layout.ini --------- 245990
 23.06.2010 23:05    C:\WINDOWS\Prefetch\AVSCAN.EXE-25724B6E.pf --------- 46712
 23.06.2010 23:04    C:\WINDOWS\Prefetch\AVCENTER.EXE-1D2DB8A2.pf --------- 72070
 23.06.2010 23:01    C:\WINDOWS\Prefetch\CCLEANER.EXE-065E2F3F.pf --------- 79972
 23.06.2010 22:56    C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 44404
 23.06.2010 21:51    C:\WINDOWS\Prefetch\UPDATE.EXE-3398FCD6.pf --------- 80412
 23.06.2010 20:01    C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf --------- 80272
 23.06.2010 20:01    C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf --------- 46782
 23.06.2010 19:38    C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 103136
 23.06.2010 17:16    C:\WINDOWS\Prefetch\JQSNOTIFY.EXE-1E60A522.pf --------- 7252
 23.06.2010 17:16    C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf --------- 83072
 23.06.2010 15:59    C:\WINDOWS\Prefetch\SOFFICE.BIN-1E52E616.pf --------- 74910
 23.06.2010 15:59    C:\WINDOWS\Prefetch\BTSTACKSERVER.EXE-1FCCB149.pf --------- 71010
 23.06.2010 15:59    C:\WINDOWS\Prefetch\SOFFICE.EXE-26427B3D.pf --------- 10140
 23.06.2010 14:58    C:\WINDOWS\Prefetch\FOXITR~1.EXE-2C735C97.pf --------- 44172
 22.06.2010 23:18    C:\WINDOWS\Prefetch\THUNDERBIRD.EXE-031A6371.pf --------- 81380
 21.06.2010 23:31    C:\WINDOWS\Prefetch\ITUNES.EXE-15E88941.pf --------- 59882
 18.09.2008 02:35    C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 738518
----------------------------------------

 
C:\WINDOWS\Tasks

 24.06.2010 17:28    C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job --------- 470
 24.06.2010 17:25    C:\WINDOWS\Tasks\SA.DAT --------- 6
 24.06.2010 06:51    C:\WINDOWS\Tasks\Auf Updates fr Windows Live Toolbar prfen.job --------- 252
 24.05.2010 16:54    C:\WINDOWS\Tasks\AppleSoftwareUpdate.job --------- 276
 14.04.2008 22:00    C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------

 
C:\WINDOWS\Temp

 23.06.2010 17:20    C:\WINDOWS\Temp\coinlog.log --------- 604
 19.06.2010 13:09    C:\WINDOWS\Temp\Perflib_Perfdata_5c8.dat --------- 16384
----------------------------------------

 
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

 24.06.2010 17:33      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DF4908.tmp --------- 114688
 24.06.2010 17:30      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BTN%Copy%1 --------- 0
 24.06.2010 17:30      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\7.tmp --------- 0
 23.06.2010 21:46      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\C.tmp --------- 0
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI2142.txt --------- 12902
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VWL5.tmp --------- 2632
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dw.log --------- 154
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI2142.txt --------- 1920
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI20FE.txt --------- 12800
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\VWL1.tmp --------- 2628
 23.06.2010 16:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI20FE.txt --------- 1872
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_install_vc_xcor_100.txt --------- 36868
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_error_vc_xcor_100.txt --------- 4928
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_depcheck_VC_EXP_100.txt --------- 11024
 23.06.2010 16:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxeventlog.txt --------- 2
 23.06.2010 16:31      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI0B93.txt --------- 13880
 23.06.2010 16:31      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI0B93.txt --------- 2176
 23.06.2010 16:26      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\miaA.tmp --------- 0
 23.06.2010 16:18      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia9.tmp --------- 0
 23.06.2010 16:05      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia8.tmp --------- 0
 23.06.2010 10:25      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia7.tmp --------- 0
 23.06.2010 10:19      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6.tmp --------- 0
 23.06.2010 07:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\5.tmp --------- 0
 23.06.2010 07:58      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia2.tmp --------- 0
 23.06.2010 07:56      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mia1.tmp --------- 0
 23.06.2010 01:12      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\4.tmp --------- 0
 23.06.2010 01:12      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3.tmp --------- 0
 23.06.2010 00:52      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2.tmp --------- 0
 23.06.2010 00:39      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~DFB641.tmp --------- 65536
 23.06.2010 00:35      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1.tmp --------- 0
 23.06.2010 00:10      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\78.tmp --------- 0
 23.06.2010 00:07      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\77.tmp --------- 0
 23.06.2010 00:06      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\76.tmp --------- 0
----------------------------------------

 
C:\Programme

 24.06.2010 17:33    C:\Programme\trend micro --------- 0
 23.06.2010 19:38    C:\Programme\Lavasoft --------- 0
 23.06.2010 00:17    C:\Programme\Malwarebytes' Anti-Malware --------- 0
 22.06.2010 23:18    C:\Programme\Mozilla Thunderbird --------- 0
 12.05.2010 20:02    C:\Programme\Outlook Express --------- 0
 04.04.2010 02:27    C:\Programme\Mozilla Firefox --------- 0
 31.03.2010 05:48    C:\Programme\Java --------- 0
 13.03.2010 02:30    C:\Programme\SoulseekNS --------- 0
 12.03.2010 06:27    C:\Programme\Movie Maker --------- 0
 20.01.2010 08:52    C:\Programme\CCleaner --------- 0
 19.11.2009 02:48    C:\Programme\Tinypic --------- 0
 05.11.2009 06:43    C:\Programme\Avira --------- 0
 09.10.2009 00:47    C:\Programme\iTunes --------- 0
 09.10.2009 00:46    C:\Programme\iPod --------- 0
 09.10.2009 00:45    C:\Programme\Bonjour --------- 0
 09.10.2009 00:45    C:\Programme\Internet Explorer --------- 0
 09.10.2009 00:45    C:\Programme\QuickTime --------- 0
 09.10.2009 00:44    C:\Programme\Apple Software Update --------- 0
 09.10.2009 00:43    C:\Programme\Gemeinsame Dateien --------- 0
 28.08.2009 03:41    C:\Programme\Nokia --------- 0
 28.08.2009 03:40    C:\Programme\DIFX --------- 0
 28.08.2009 03:39    C:\Programme\PC Connectivity Solution --------- 0
 29.06.2009 07:29    C:\Programme\DivX --------- 0
 25.06.2009 21:17    C:\Programme\Microsoft Works --------- 0
 05.03.2009 18:37    C:\Programme\Elantech --------- 0
 17.02.2009 06:04    C:\Programme\PDFCreator --------- 0
 20.12.2008 02:27    C:\Programme\ibf --------- 0
 06.12.2008 06:56    C:\Programme\Windows Live --------- 0
 06.12.2008 05:54    C:\Programme\Eee Storage --------- 0
 05.12.2008 19:01    C:\Programme\VideoLAN --------- 0
 05.12.2008 18:56    C:\Programme\OpenOffice.org 3 --------- 0
 05.12.2008 18:52    C:\Programme\Alex Feinman --------- 0
 05.12.2008 18:51    C:\Programme\Foxit Software --------- 0
 05.12.2008 18:44    C:\Programme\MSBuild --------- 0
 05.12.2008 18:44    C:\Programme\Reference Assemblies --------- 0
 05.12.2008 18:38    C:\Programme\7-Zip --------- 0
 05.12.2008 18:33    C:\Programme\NetSetMan --------- 0
 05.12.2008 10:58    C:\Programme\BatteryInfo --------- 0
 18.09.2008 02:29    C:\Programme\Messenger --------- 0
 18.09.2008 02:22    C:\Programme\InstallShield Installation Information --------- 0
 18.09.2008 02:17    C:\Programme\EeePC --------- 0
 28.08.2008 01:39    C:\Programme\Realtek --------- 0
 28.08.2008 01:17    C:\Programme\WIDCOMM --------- 0
 13.08.2008 13:25    C:\Programme\RALINK --------- 0
 12.08.2008 03:47    C:\Programme\Microsoft Office --------- 0
 12.08.2008 03:39    C:\Programme\InterVideo --------- 0
 12.08.2008 03:33    C:\Programme\Sun --------- 0
 12.08.2008 03:11    C:\Programme\Skype --------- 0
 12.08.2008 03:07    C:\Programme\ASUS --------- 0
 12.08.2008 02:54    C:\Programme\Windows Live Toolbar --------- 0
 12.08.2008 02:51    C:\Programme\Microsoft SQL Server Compact Edition --------- 0
 12.08.2008 01:57    C:\Programme\Intel --------- 0
 12.08.2008 00:23    C:\Programme\Uninstall Information --------- 0
 12.08.2008 00:19    C:\Programme\xerox --------- 0
 12.08.2008 00:19    C:\Programme\microsoft frontpage --------- 0
 12.08.2008 00:19    C:\Programme\Windows Media Player --------- 0
 12.08.2008 00:17    C:\Programme\WindowsUpdate --------- 0
 12.08.2008 00:17    C:\Programme\Online-Dienste --------- 0
 12.08.2008 00:17    C:\Programme\NetMeeting --------- 0
 12.08.2008 00:16    C:\Programme\ComPlus Applications --------- 0
 12.08.2008 00:15    C:\Programme\MSN Gaming Zone --------- 0
 12.08.2008 00:15    C:\Programme\Windows NT --------- 0
 08.05.2008 00:34    C:\Programme\U1 Setup.exe --------- 15523560
----------------------------------------

 
C:\Dokumente und Einstellungen\All Users\..

Dani   
Administrator   
LocalService   
Gast   
Default User   
NetworkService   
All Users   
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1      localhost

----------------------------------------

 

Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process          0 Console                  0            28 K
System                        4 Console                  0          236 K
smss.exe                    304 Console                  0          956 K
csrss.exe                  368 Console                  0        7.244 K
winlogon.exe                392 Console                  0        30.160 K
services.exe                436 Console                  0        8.364 K
lsass.exe                  448 Console                  0        1.332 K
svchost.exe                600 Console                  0        29.912 K
svchost.exe                672 Console                  0        4.320 K
svchost.exe                752 Console                  0        12.700 K
svchost.exe                784 Console                  0        2.800 K
svchost.exe                832 Console                  0        2.984 K
AAWService.exe              884 Console                  0        44.708 K
unsecapp.exe              1076 Console                  0        26.956 K
wmiprvse.exe              1312 Console                  0        30.432 K
igfxsrvc.exe              1452 Console                  0        12.152 K
AAWTray.exe                1584 Console                  0          408 K
explorer.exe              2020 Console                  0        26.976 K
HijackThis.exe              240 Console                  0        1.252 K
notepad.exe                452 Console                  0          312 K
wmiprvse.exe              1628 Console                  0        6.120 K
cmd.exe                    1780 Console                  0        2.164 K
tasklist.exe              1972 Console                  0        4.264 K

 
***** Ende des Scans 24.06.2010 um 17:50:14,89 ***
4. Programm "CCleaner" ausgeführt.

Code:

7-Zip 4.57               
Ad-Aware        Lavasoft       
Ad-Aware Email Scanner for Outlook        Lavasoft        1.0.0
Adabas D 13.01.00        Sun Microsystems        13.0100.8895
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        10.0.45.2
Apple Application Support        Apple Inc.        1.0
Apple Mobile Device Support        Apple Inc.        2.6.0.32
Apple Software Update        Apple Inc.        2.1.1.116
Asus ACPI Driver        ASUSTek Computer        4.00.0003
ASUSUpdate for Eee PC               
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver        Atheros Communications Inc.        1.0.0.21
Avira AntiVir Personal - Free Antivirus        Avira GmbH       
Azurewave Wireless LAN        RaLink        1.00.0000
Bonjour        Apple Inc.        1.0.106
CCleaner        Piriform        2.27
Compatibility Pack für 2007 Office System        Microsoft Corporation        12.0.6425.1000
DivX Codec        DivX, Inc.        6.8.5
DivX Converter        DivX, Inc.        7.1.0
DivX Player        DivX, Inc.        7.2.0
DivX Plus DirectShow Filters        DivX, Inc.       
DivX Web Player        DivX,Inc.        1.5.0
Eee Instant Key        ASUS        1.08
Eee Storage 1.1.15.197        ECAREME        1.1.15.197
ETDWare PS/2-x86 7.0.4.0 WHQL               
Foxit Reader               
HijackThis 2.0.2        TrendMicro        2.0.2
Intel(R) Graphics Media Accelerator Driver               
InterVideo WinDVD        InterVideo Inc.        5.0-B11.1244
iTunes        Apple Inc.        9.0.1.8
Java(TM) 6 Update 19        Sun Microsystems, Inc.        6.0.190
Java(TM) 6 Update 3        Sun Microsystems, Inc.        1.6.0.30
Keil µVision3               
Malwarebytes' Anti-Malware        Malwarebytes Corporation       
Microsoft .NET Framework 1.1               
Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU        Microsoft Corporation       
Microsoft .NET Framework 3.5 SP1        Microsoft Corporation       
Microsoft Office PowerPoint Viewer 2007 (German)        Microsoft Corporation        12.0.6425.1000
Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        3.1.0000
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148        Microsoft Corporation        9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        9.0.30729
Microsoft Works        Microsoft Corporation        9.7.0621
Mozilla Firefox (3.6.3)        Mozilla        3.6.3 (de)
Mozilla Thunderbird (2.0.0.24)        Mozilla        2.0.0.24 (de)
NetSetMan 2.5.1        Ilja Herlein        2.5.1
Nokia Connectivity Cable Driver        Nokia        7.1.17.0
Nokia PC Suite        Nokia        7.1.30.9
Notebook BatteryInfo        Thomas Michel        1.2.0.21
OpenOffice.org 3.0        OpenOffice.org        3.0.9358
PC Connectivity Solution        Nokia        9.23.3.0
PDFCreator        Frank Heindörfer, Philip Chinery        0.9.6
PSpice Student 9.1               
QuickTime        Apple Inc.        7.64.17.73
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        5.10.0.5683
Skype™ 3.6        Skype Technologies S.A.        3.6.248
SoulSeek 157 NS 13e               
StarOffice 8 ASUS Edition        Sun Microsystems        8.00.9251
Super Hybrid Engine        ASUS        1.12
Target 3001! V14 discover        Ing. Buero FRIEDRICH       
Tinypic 3.14        E. Fiedler        Tinypic 3.14
Uninstall 1.0.0.1               
VLC media player 0.9.6        VideoLAN Team        0.9.6
WIDCOMM Bluetooth Software        WIDCOMM, Inc.        5.5.0.4100
Windows Genuine Advantage Validation Tool (KB892130)        Microsoft Corporation       
Windows Live Anmelde-Assistent        Microsoft Corporation        5.000.818.6
Windows Live Fotogalerie        Microsoft Corporation        12.0.1329.0201
Windows Live installer        Microsoft Corporation        12.0.1471.1025
Windows Live Mail        Microsoft Corporation        12.0.1606.1023
Windows Live Messenger        Microsoft Corporation        8.5.1302.1018
Windows Live Toolbar        Microsoft Corporation        03.01.0146
Windows Live Writer        Microsoft Corporation        12.0.1370.0325
Windows-Treiberpaket - Nokia Modem  (06/01/2009 4.1)        Nokia        06/01/2009 4.1
Windows-Treiberpaket - Nokia Modem  (06/01/2009 7.01.0.3)        Nokia        06/01/2009 7.01.0.3
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)        Nokia        08/22/2008 7.0.0.0

KeIn 24.06.2010 11:51
Hmm..

ich habe die Anweisungen jetzt mit den aktuellsten Versionen
der Tools mehrmals durchgeführt.
Leider ist er immernoch drauf.
Kann mir jemand helfen? Was kann ich noch tun?

kira 24.06.2010 13:52
hi

kannst in den normalen Modus auch die Tools ausführen?
Code:
Dani   
Administrator
also meinst der "Administrator" war vorher nicht da?

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Tipps für die Suche nach Dateien
Code:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Code:
Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.28        -
AhnLab-V3        5.0.0.2        2009.01.28        -
AntiVir        7.9.0.60        2009.01.28        -
Authentium        5.1.0.4        2009.01.27        -

...über 40 Virenscannern...also Geduld!!

KeIn 25.06.2010 08:32
Hi,

doch das Benutzerkonto "Administrator" war vorher anscheinend auch schon da, nur
hab ich es nie gesehen weil ich meinen PC zuvor nie im abgesicherten Modus hochgefahren
hatte.
Freunde von mir sagten dass der "Addministrator" von Anfang an auf dem PC war. Wenn ich
den PC normal hochfahre und dann Alt+Strg+Entf drücke, kann ich mich wie in Windows 2000
anmelden. Theoretisch auch mir dem Benutzer "Administrator". Dies geht aber nicht. Es
erscheint folgende Fehlermeldung von Windows: "Auf Grund der Benutzerkontenbeschränkung
ist eine Anmeldung nicht möglich".
Ich glaube auch das hier ein mögliches Problem liegt.

Ich habe also im abgesicherten Modus "Administrator", oben (23.06.2010, 23:14) beschriebenes
Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren.

Danach im abgesicherten Modus "Mustermann", oben (23.06.2010, 23:14) beschriebenes
Prozedere (mit Fullcheck) durchgeführt dann PC heruntergefahren.

Jetzt habe ich den PC im normalen Modus hochgefahren. Wie beschrieben kann ich hier nur
auf den Benutzer "Mustermann" zugreifen. Jetzt wieder oben (23.06.2010, 23:14) beschriebenes
Prozedere (mit Fullcheck) durchgeführt.

So, jetzt dachte ich ich hab ihn gekillt. Ich habe die Netzwerkverbindung wieder hersgestellt
und gehofft "AV Security Suit" meldet sich nicht mehr. Dem war auch so.
Aber dann..., als ich den PC ein zweites mal hochgefahren hatte war er wieder da.




Hab nicht ganz verstanden wo ich es reinkopieren soll.
Ich nehme an hier als Code. Hoffentlich meinst du es so... hab
einfach mal das komplette Ergebis kopiert.
Ein paar Vierenscanner haben hier ja wirklich einen Virus erkannt, oder?

Code:

Datei wntumsutssd.exe empfangen 2010.06.25 07:13:29 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen",
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 
 

Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.30 2010.06.22 -
AhnLab-V3 2010.06.22.00 2010.06.22 Trojan/Win32.FakeAV
AntiVir 8.2.2.6 2010.06.21 -
Antiy-AVL 2.0.3.7 2010.06.22 -
Authentium 5.2.0.5 2010.06.22 -
Avast 4.8.1351.0 2010.06.21 -
Avast5 5.0.332.0 2010.06.21 -
AVG 9.0.0.787 2010.06.21 -
BitDefender 7.2 2010.06.22 -
CAT-QuickHeal 10.00 2010.06.22 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.06.22 -
Comodo 5180 2010.06.22 -
DrWeb 5.0.2.03300 2010.06.22 -
eSafe 7.0.17.0 2010.06.20 -
eTrust-Vet 36.1.7657 2010.06.22 -
F-Prot 4.6.1.107 2010.06.21 -
F-Secure 9.0.15370.0 2010.06.22 -
Fortinet 4.1.133.0 2010.06.21 -
GData 21 2010.06.22 -
Ikarus T3.1.1.84.0 2010.06.22 -
Jiangmin 13.0.900 2010.06.15 -
Kaspersky 7.0.0.125 2010.06.22 -
McAfee 5.400.0.1158 2010.06.22 -
McAfee-GW-Edition 2010.1 2010.06.22 Artemis!D84F68797B1F
Microsoft 1.5902 2010.06.22 -
NOD32 5216 2010.06.21 -
Norman 6.05.06 2010.06.21 -
nProtect 2010-06-21.01 2010.06.21 -
Panda 10.0.2.7 2010.06.21 Adware/AntiSpywareSoft
PCTools 7.0.3.5 2010.06.22 -
Prevx 3.0 2010.06.25 High Risk Fraudulent Security Program
Rising 22.53.01.04 2010.06.22 -
Sophos 4.54.0 2010.06.22 -
Sunbelt 6483 2010.06.21 -
Symantec 20101.1.0.89 2010.06.22 Suspicious.Cloud
TheHacker 6.5.2.0.302 2010.06.22 -
TrendMicro 9.120.0.1004 2010.06.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 -
VBA32 3.12.12.5 2010.06.22 -
ViRobot 2010.6.21.3896 2010.06.22 -
VirusBuster 5.0.27.0 2010.06.21 -
weitere Informationen
File size: 278784 bytes
MD5...: d84f68797b1f40c3df3ff56c76153934
SHA1..: ebed9e2bf4f43c8e271d459a959eb47756515818
SHA256: 8513effc42e251f286b7b57047d01fd33ea308802e72acab87da478d89ced216
ssdeep: 6144:KfpkyHQoLSc5uUhJpmq2pZwdfYlHA7UPzGmEJjou:8HQI5ZNdfWHA7UiKu
 
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1279
timedatestamp.....: 0x42f228cb (Thu Aug 04 14:40:11 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2154e 0x21600 7.57 4854df2d439cd337fe49cb70684f8986
.rdata 0x23000 0x14c 0x200 3.32 bbe4fd6bd78869cab244308e901e70c7
.data 0x24000 0x21ea8 0x22000 7.79 a7b08e6c2828009ca27d0b92a0b76144
.rsrc 0x46000 0x23000 0x400 1.96 9298003bc3553355d1e1355071a7b180

( 2 imports )
> USER32.dll: EnumWindows, CreateDialogParamA, EndDialog, IsDialogMessageA, FillRect
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, LoadResource, FreeResource, LockResource, ExitProcess, TerminateProcess

( 0 exports )
 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Wie soll ich weiter vorgehen?

kira 25.06.2010 20:18
hi

Da diese Dateien (noch) nicht bei allen Herstellern von Removern, Antiviren Programmen und Spyware Schutz Programmen bekannt sind, laden wir zur weitere Analyse zum Hersteller des Removers hoch:
Datei Upload
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
  • Gib im Kommentarfeld Folgendes an:
  • "Unknown file"
  • diese Information:
Code:
Datei wntumsutssd.exe empfangen 2010.06.25 07:13:29 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen",
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 
 

Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.30 2010.06.22 -
AhnLab-V3 2010.06.22.00 2010.06.22 Trojan/Win32.FakeAV
AntiVir 8.2.2.6 2010.06.21 -
Antiy-AVL 2.0.3.7 2010.06.22 -
Authentium 5.2.0.5 2010.06.22 -
Avast 4.8.1351.0 2010.06.21 -
Avast5 5.0.332.0 2010.06.21 -
AVG 9.0.0.787 2010.06.21 -
BitDefender 7.2 2010.06.22 -
CAT-QuickHeal 10.00 2010.06.22 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.06.22 -
Comodo 5180 2010.06.22 -
DrWeb 5.0.2.03300 2010.06.22 -
eSafe 7.0.17.0 2010.06.20 -
eTrust-Vet 36.1.7657 2010.06.22 -
F-Prot 4.6.1.107 2010.06.21 -
F-Secure 9.0.15370.0 2010.06.22 -
Fortinet 4.1.133.0 2010.06.21 -
GData 21 2010.06.22 -
Ikarus T3.1.1.84.0 2010.06.22 -
Jiangmin 13.0.900 2010.06.15 -
Kaspersky 7.0.0.125 2010.06.22 -
McAfee 5.400.0.1158 2010.06.22 -
McAfee-GW-Edition 2010.1 2010.06.22 Artemis!D84F68797B1F
Microsoft 1.5902 2010.06.22 -
NOD32 5216 2010.06.21 -
Norman 6.05.06 2010.06.21 -
nProtect 2010-06-21.01 2010.06.21 -
Panda 10.0.2.7 2010.06.21 Adware/AntiSpywareSoft
PCTools 7.0.3.5 2010.06.22 -
Prevx 3.0 2010.06.25 High Risk Fraudulent Security Program
Rising 22.53.01.04 2010.06.22 -
Sophos 4.54.0 2010.06.22 -
Sunbelt 6483 2010.06.21 -
Symantec 20101.1.0.89 2010.06.22 Suspicious.Cloud
TheHacker 6.5.2.0.302 2010.06.22 -
TrendMicro 9.120.0.1004 2010.06.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.22 -
VBA32 3.12.12.5 2010.06.22 -
ViRobot 2010.6.21.3896 2010.06.22 -
VirusBuster 5.0.27.0 2010.06.21 -
weitere Informationen
File size: 278784 bytes
MD5...: d84f68797b1f40c3df3ff56c76153934
SHA1..: ebed9e2bf4f43c8e271d459a959eb47756515818
SHA256: 8513effc42e251f286b7b57047d01fd33ea308802e72acab87da478d89ced216
ssdeep: 6144:KfpkyHQoLSc5uUhJpmq2pZwdfYlHA7UPzGmEJjou:8HQI5ZNdfWHA7UiKu
 
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1279
timedatestamp.....: 0x42f228cb (Thu Aug 04 14:40:11 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2154e 0x21600 7.57 4854df2d439cd337fe49cb70684f8986
.rdata 0x23000 0x14c 0x200 3.32 bbe4fd6bd78869cab244308e901e70c7
.data 0x24000 0x21ea8 0x22000 7.79 a7b08e6c2828009ca27d0b92a0b76144
.rsrc 0x46000 0x23000 0x400 1.96 9298003bc3553355d1e1355071a7b180

( 2 imports )
> USER32.dll: EnumWindows, CreateDialogParamA, EndDialog, IsDialogMessageA, FillRect
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, LoadResource, FreeResource, LockResource, ExitProcess, TerminateProcess

( 0 exports )
 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=F2535FDA0071F94341AE04BA6FFC4500EBD24654</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
  • Drücke nun auf den Button "Send File"
  • **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
    .

KeIn 26.06.2010 01:46
Hallo,

jep, habe das File hochladen können.

"Your file (wntumsutssd.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file."

Gruß

kira 26.06.2010 11:02
hi

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Lade und installiere das Tool RootRepeal herunter
  • setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
  • "Stealth Objects" -> "Scan"-> Save Report"...
  • "Hidden Services" -> "Scan"-> Save Report"...
  • speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

KeIn 26.06.2010 15:37
Hallo,

habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator" durchgeführt. Hoffe das geht in Ordnung so.

GMER Logfile:
GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-27 00:03:47
Windows 5.1.2600 Service Pack 3
Running: uxrg2fhz.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgxorkog.sys


---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Fastfat \Fat  F691FD20

---- EOF - GMER 1.0.15 ----
--- --- ---

--- --- ---





Häkchen bei: Drivers, Hidden und Stealth

Code:
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:                2010/06/27 00:15
Program Version:                Version 1.3.5.0
Windows Version:                Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6FA3000        Size: 98304        File Visible: No        Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AB0000        Size: 8192        File Visible: No        Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF6BBB000        Size: 49152        File Visible: No        Signed: -
Status: -

==EOF==
Gruß

KeIn 26.06.2010 15:44
Hi,

habe die Scans im abgesicherten Modus mit dem Benutzer "Administrator"
durchgeführt. Hoffe das geht in Ordnung so.

[CODE]
GMER Logfile:
GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-06-27 00:03:47
Windows 5.1.2600 Service Pack 3
Running: uxrg2fhz.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgxorkog.sys


---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Fastfat \Fat  F691FD20

---- EOF - GMER 1.0.15 ----
--- --- ---

--- --- ---



Code:
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:                2010/06/27 00:15
Program Version:                Version 1.3.5.0
Windows Version:                Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6FA3000        Size: 98304        File Visible: No        Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AB0000        Size: 8192        File Visible: No        Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF6BBB000        Size: 49152        File Visible: No        Signed: -
Status: -

==EOF==

KeIn 26.06.2010 15:47
Sorry,

zweite Seite nicht gesehen. Deswegen zweimal gepostet.

kira 27.06.2010 08:04
hi

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
Code:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
Empfehle ich Dir die Antivirus-Software zu deaktivieren - nach dem Lauf nicht vergessen wieder einzuschalten
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählenHäckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
O4 - HKLM\..\Run: [cwdalaoh] C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\ejaihmtvd\wntumsutssd.exe
O21 - SSODL: UpdateCheck - {8A4AB032-6976-4CB0-B08E-230683C1FFD9} - (no file)
3.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

KeIn 27.06.2010 12:05
Hallo,

noch eine kurze Frage bevor ich mit den Aktionen beginne.

Ich führe alles im abgesicherten Modus durch?

Zitat:
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
Auch im abgesicherten Modus (F8) neu starten?

Muss ich TrendMicro kaufen, oder kann ich ein anderes Prog. verwenden?


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:03 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129