Hacktool.Rootkit - Ratlos

#0
13.09.2005, 18:43
...neu hier

Beiträge: 5
#1 Nabend erstmal.

Vorweg:
das schreibe ich von meinem Linux-System aus, wegen verdacht auf kompromitierung der Win Festplatte wurden alle wichtigen PWs bereits geändert - natürlich von Linux aus.

Tja, vor 2 Tagen fing es an:

Unter WinXPPro meldet sich mein Norton AV2005, das die datei orans.sys im System32 Ordner mit dem
"Hacktool.Rootkit" infiziert sei.

Gut, also schnell neue Definitionen für Norton, sowie AdAware gezogen.
Danach sofort die Internetverbindung getrennt und präventiv auch mal das Netzwerkkabel gezogen...man weis ja nicht was sich bisher auf "meinem" System so getan hat.

Norton findet komischerweise im Fullsystem-Scan die besagte Orans.sys nicht, obwohl im Sekundentakt die Warnfesnter aufgehen.

Im Taskplaner ist auch interresanntes zu beobachten:
Ein Prozess namens "settings.exe" erscheint kurz, verschwindet sofort wieder, um dann für ca. 1-2 sek. wieder zu erscheinen, danach das ganze spiel von vorne.

Ein Löschen der settings.exe bringt nix. Auch die sofortige erstellung einer Leeren settigs.exe (mit Schreibschutzt) bringt nix, dann taucht sie halt wieder unter einem anderen Namen auf.

Norton AV findet komischerweise im Full System Scan Modus die besagte orans.sys nicht, obwohl alle 10ms darauf hingewiesen wird.....

Ein Löschen im Abgesichterten Modus bringt auch nix. Zack ist die Schei... wieder da.


Hab gerade meine Windows C: platte mal hier in Linux gemounted. Tja, komisch, dort ist die orans.sys nicht aufzufinden.



Tja, bin echt ratlos.
Das ist die erste "Viren"-Geschichte die mir echt zu schaffen macht. In 8 Jahren null Prob. gehabt, die ganzen Viren in den Medien konnten bei mir zb. nie Landen. Keine InternetExplorer Nutzung, dementsprechend kein ActiveX, keine grob unseriösen Seiten besucht usw.

Und nun doch........


Wenn jemand eine Idee hat, bitte her damit.

Grüße
Bastian
Seitenanfang Seitenende
13.09.2005, 18:47
Member
Avatar Gool

Beiträge: 4730
#2 Bei Rootkits ist es grundsätzlich zu empfehlen, Windows neu zu installieren.

Evtl. bekommst Du es mit folgendem Programm weg:
http://www.f-secure.com/blacklight/
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.09.2005, 18:58
...neu hier

Themenstarter

Beiträge: 5
#3 Das f-Secure Prog. findet komischerweise nichts.
Seitenanfang Seitenende
13.09.2005, 19:03
Member
Avatar Gool

Beiträge: 4730
#4 Ok, machen wir mal die herkömmliche Methode. Zunächst ein HijackThis-Log erstellen:

http://virus-protect.org/hjtkurz.html

Und im Anschluss die datfind.bat

http://virus-protect.org/datfindbat.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.09.2005, 19:30
...neu hier

Themenstarter

Beiträge: 5
#5 HiJackThisLog:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:20:02, on 13.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
d:\Programme\Jana2\Janad.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\devldr32.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\settings.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Opera\Opera.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.204\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [uzeyyb] C:\WINDOWS\System32\jtffyj.exe
O4 - HKLM\..\Run: [RNBvnc Test] deadv32.exe
O4 - HKLM\..\RunServices: [RNBvnc Test] deadv32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RNBvnc Test] deadv32.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.burj-al-arab.com/flashcab/ipix/ipixx.cab
O16 - DPF: {17D0C64A-5283-4125-8256-105694C274ED} (MozillaPluginHostCtrl Class) - http://www.sportschuhe.com/spx33.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: hpdj5100 - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hpdj5100.exe (file missing)
O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - d:\Programme\Jana2\Janad.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


und die dat's:

Zitat

 Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: F8CA-BCB7

Verzeichnis von C:\WINDOWS\system32

13.09.2005 19:18 7.168 orans.sys
13.09.2005 19:18 17.145 nvapps.xml
12.09.2005 20:16 69 i
11.09.2005 12:49 2.184 wpa.dbl
09.09.2005 18:01 219.248 FNTCACHE.DAT
08.09.2005 15:06 52.764 perfc009.dat
08.09.2005 15:06 380.350 perfh009.dat
08.09.2005 15:06 391.000 perfh007.dat
08.09.2005 15:06 63.580 perfc007.dat
08.09.2005 15:06 897.954 PerfStringBackup.INI
20.08.2005 15:52 490 lsprst7.tgz
20.08.2005 15:52 476 lsprst7.dll
20.08.2005 15:52 87 ssprs.tgz
20.08.2005 15:52 73 ssprs.dll
28.07.2005 14:52 91.856 S32EVNT1.DLL
21.07.2005 15:28 41 SndDrv32_d.dlx
21.07.2005 15:28 41 AuxDrv32_d.dlx
21.07.2005 15:13 1.025 clauth2.dll
21.07.2005 15:13 1.025 clauth1.dll
21.07.2005 15:13 1.025 sysprs7.dll
21.07.2005 15:13 1.025 sysprs7.tgz
16.07.2005 17:01 319.488 lame_enc.dll
30.06.2005 14:56 98.304 CmdLineExt.dll
98.304 CmdLineExt.dll

Sub
Seitenanfang Seitenende
13.09.2005, 20:36
Member
Avatar Gool

Beiträge: 4730
#6 Wo sind die anderen drei Log-Dateien?

Mit HJT fixen (Häkchen vor den Eintrag machen und "fix checked" klicken)

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [uzeyyb] C:\WINDOWS\System32\jtffyj.exe
O4 - HKLM\..\Run: [RNBvnc Test] deadv32.exe
O4 - HKLM\..\RunServices: [RNBvnc Test] deadv32.exe
O4 - HKCU\..\Run: [RNBvnc Test] deadv32.exe
O23 - Service: hpdj5100 - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hpdj5100.exe (file missing)
O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe

Killbox laden und entpacken:
http://virus-protect.org/killbox.html

PC in den abgesicherten Modus starten.

Killbox starten, "Delete on Reboot" aktivieren und einzeln in das Eingabefeld reinkopieren. Jeweils mit Klick auf das Kreuz rechts daneben bestätigen, die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA bestätigen.

C:\WINDOWS\System32\jtffyj.exe
C:\WINDOWS\settings.exe
c:\windows\system32\deadv32.exe
c:\windows\system32\orans.sys
c:\windows\system32\i

PC wird neugestartet. Ebenfalls im abgesicherten Modus einen Scan mit eScanCheck durchführen und berichten:
http://virus-protect.org/escan.html

Da Dein Windows offenbar auf dem Stand von vor ca. vier Jahren ist, solltest Du unbedingt alle WIndowsupdates und ServicePacks installieren, da Du sonst noch mehr Schadsoftware mit der Zeit ansammeln wirst. Es kommt nicht alles über den Internet Explorer, manche Viren (bspw. Sasser) kommen auch über Sicherheitslücken auf Deinen PC, sobald Du im Internet bist.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.09.2005, 11:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 wie waere es mit formatieren ????????????


http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC

Start-->Ausfeuhren--> regedit

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\netinfo
ImagePath = "%Windows%\netinfo.exe" <--loeschen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\netinfo
DisplayName = "netinfo"<--loeschen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\orans
ImagePath = "%System%\orans.sys"<--loeschen

This worm also modifies the following registry entries to change affected system's firewall and security settings:

HKEY_LOCAL_MACHINE\Software\
Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001" --> in 0 aendern

HKEY_LOCAL_MACHINE\Software\
Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"--> in 0 aendern

HKEY_LOCAL_MACHINE\Software\
Microsoft\Security Center
AntiVirusOverride = "dword:00000001"--> in 0 aendern

HKEY_LOCAL_MACHINE\Software\
Microsoft\Security Center
FirewallOverride = "dword:00000001"--> in 0 aendern

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"--> in 0 aendern

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = "dword:00000001"--> in 0 aendern

(Note: The default value is "dword:00000000".)
----------------------------------------------------------------------
It also modifies the following registry entries as part of its installation routine:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N" --> in Y aendern

(Note: The default value is "Y".)

---------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Lsa
RestrictAnonymous = "dword:00000001"

(Note: Though there is no default value for RestrictAnonymous, it may be modified from the one defined by the user.)

----------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

(Note: The default values are usually user-defined.)

---------------------------------------------------------------------------

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "dword:00000004" -->in 2 aendern

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RemoteRegistry
Start = "dword:00000004" ---->in 2 aendern

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
Start = "dword:00000004"-->in 2 aendern

(Note: The default value is "dword:00000002".)
----------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TlntSvr
Start = "dword:00000004"

(Note: The default value is "dword:00000003".)
------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout = "7000"

(Note: The default value is "20000".)
-------------------------------------------------------------------------------
Furthermore, this worm modifies the following registry entries, if they are present on an affected system:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanserver\parameters
AutoShareWks = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanserver\parameters
AutoShareServer = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanworkstation\parameters
AutoShareWks = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanworkstation\parameters
AutoShareServer = "dword:00000000"

(Note: The default value is user-defined.)
---------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WindowsUpdate\Auto Update
AUOption = "dword:00000001"

(Note: The default value is "dword:00000000".)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.09.2005, 18:09
...neu hier

Themenstarter

Beiträge: 5
#8 Nabend, vielen dank für die Hilfe!

hier die restlichen 3 log's ;)

Zitat

atentr ger in Laufwerk C: ist System
Volumeseriennummer: F8CA-BCB7

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

13.09.2005 19:19 400 jusched.log
1 Datei(en) 400 Bytes
0 Verzeichnis(se), 3.817.037.824 Bytes frei


Log2:

Datentr ger in Laufwerk C: ist System
Volumeseriennummer: F8CA-BCB7

Verzeichnis von C:\WINDOWS

13.09.2005 19:24 32.604 SchedLgU.Txt
13.09.2005 19:20 0 0.log
13.09.2005 19:19 159 wiadebug.log
13.09.2005 19:19 50 wiaservc.log
13.09.2005 19:19 2.048 bootstat.dat
13.09.2005 19:18 1.065 win.ini
13.09.2005 06:54 227 system.ini
12.09.2005 21:22 580.380 ntbtlog.txt
12.09.2005 20:16 63.488 settings.exe
12.09.2005 17:32 175.591 setupact.log
11.09.2005 17:22 155 winamp.ini
09.09.2005 18:06 1.298.168 setupapi.log
09.09.2005 16:54 722 nsw.log
08.09.2005 16:09 644 KB822603.log
06.09.2005 10:33 3.457 nero.INI
06.09.2005 09:49 214.925 wmsetup.log
02.09.2005 13:16 21.168 LUINSTALL.LOG
02.09.2005 13:13 4.355 SYMEVENT.LOG
02.09.2005 12:56 1.116 MININU.LOG
31.08.2005 15:20 217 psolaw1.ini
31.08.2005 15:20 192 wpsola.ini
26.08.2005 15:48 908 ARPR.INI
06.08.2005 14:51 37 ipixActivex.ini
26.07.2005 19:49 41 pos.ini

Log3:

Datentr ger in Laufwerk C: ist System
Volumeseriennummer: F8CA-BCB7

Verzeichnis von C:\

13.09.2005 19:22 0 sys.txt
13.09.2005 19:22 10.676 system.txt
13.09.2005 19:21 288 systemtemp.txt
13.09.2005 19:21 113.954 system32.txt
13.09.2005 19:19 536.399.872 hiberfil.sys
13.09.2005 19:19 805.306.368 pagefile.sys
13.09.2005 16:47 5.078 rootkit.log
13.09.2005 06:54 194 boot.ini
11.09.2005 18:40 2.290 DDCheck.txt
04.09.2005 17:20 1.851 pdatime.log
07.06.2005 18:27 16 UsageTrack.txt
02.06.2005 16:07 140 cdrlog.txt
Hier das escan log:

Zitat

-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP578\A0227586.exe => Backdoor.Win32.Rbot.gen
2: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP579\A0228616.sys => Rootkit.Win32.Agent.ae
3: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP580\A0228652.sys => Rootkit.Win32.Agent.ae
4: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP580\A0229651.sys => Rootkit.Win32.Agent.ae
5: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP580\A0229702.sys => Rootkit.Win32.Agent.ae
6: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP580\A0229719.sys => Rootkit.Win32.Agent.ae
7: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP580\A0229744.exe => Backdoor.Win32.SdBot.aad
8: C:\System Volume Information\_restore{B493D402-92D8-4B9A-AD31-4D79CA4EC397}\RP580\A0229745.sys => Rootkit.Win32.Agent.ae
9: D:\Admin Files\emule Download\Mp3 =>
10: D:\Admin Files\ToolŽs - Drivers\Internet Stuff\OwnFTP\Serv-U32.exe => tagged:Server-FTP.Win32.Serv-U.25.f.
11: D:\Admin Files\ToolŽs - Drivers\Internet Stuff\OwnFTP\Setup.exe => tagged:Server-FTP.Win32.Serv-U.25.f.
12: D:\Programme\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616.
13: D:\Programme\Norton AntiVirus\Quarantine\113272C0.exe => Backdoor.Win32.Rbot.gen
14: D:\Programme\Norton AntiVirus\Quarantine\1FFF121A.tmp => Trojan.Java.ClassLoader.u
15: D:\Programme\Norton AntiVirus\Quarantine\2F7C3049.jar => Exploit.Java.ByteVerify
16: D:\Programme\Norton AntiVirus\Quarantine\2F7F5A46.tmp => Exploit.Java.ByteVerify
17: D:\Programme\Norton AntiVirus\Quarantine\39D02CE7.cla => Trojan.Java.ClassLoader.Dummy.d
18: D:\Programme\Norton AntiVirus\Quarantine\427207BE.tmp => Exploit.Java.ByteVerify
19: D:\Programme\Norton AntiVirus\Quarantine\428259AC.jar => Exploit.Java.ByteVerify
20: D:\Programme\Norton AntiVirus\Quarantine\43A61183.tmp => Trojan.Java.ClassLoader.u
21: D:\Programme\Norton AntiVirus\Quarantine\48AD5454.htm => Exploit.HTML.Mht
22: D:\Programme\Norton AntiVirus\Quarantine\48AD5454.js => Exploit.HTML.Mht
23: D:\Programme\Norton AntiVirus\Quarantine\48AD5454.tmp => Exploit.Java.ByteVerify
24: D:\Programme\Norton AntiVirus\Quarantine\48C47A3B.jar => Exploit.Java.ByteVerify
25: D:\Programme\Norton AntiVirus\Quarantine\5BAD2883.cla => Exploit.Java.Bytverify
26: D:\Programme\Norton AntiVirus\Quarantine\5BAD2883.htm => Exploit.HTML.Mht
27: D:\Programme\Norton AntiVirus\Quarantine\5C123E14.cla => Exploit.Java.Bytverify
28: D:\Programme\Norton AntiVirus\Quarantine\5C123E14.htm => Exploit.HTML.Mht
29: D:\Programme\Norton AntiVirus\Quarantine\5C4907D7.tmp => Exploit.Java.ByteVerify
30: D:\Programme\Norton AntiVirus\Quarantine\5C5305CC.jar => Exploit.Java.ByteVerify
31: D:\Programme\Norton AntiVirus\Quarantine\6E654ECD.tmp => Trojan.Java.ClassLoader.u
32: D:\Programme\Norton AntiVirus\Quarantine\735B42C9.cla => Trojan.Java.ClassLoader.c
33: D:\Programme\Norton AntiVirus\Quarantine\779A31C4.exe => tagged:RiskTool.Win32.PsKill.1101.
So, werde dann mal neu booten und die reg. überprüfen.

Greets
Bastian
Seitenanfang Seitenende
14.09.2005, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 nach den Aenderungen in der Registry musst du den PC neustarten

dann mache Onlinescans (Panda und kaspersky), dann berichte ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.09.2005, 18:28
...neu hier

Themenstarter

Beiträge: 5
#10 Sooooooo, nabend erstmal und nochmals danke für eure hilfe !
Habe mein "uralt"-XP mittlerweile auch auf den neusten Stand gebracht, SP2 drauf und alle updates die zu haben waren.


eurer anleitung bin ich natürlich auch gefolgt:

also, hab in der reg. alles abgeändert, bis auf:

Zitat

Nicht vorhanden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\netinfo


Musste nicht bearbeitet werden:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N" --> in Y aendern

(Note: The default value is "Y".)


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanserver\parameters
AutoShareWks = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanserver\parameters
AutoShareServer = "dword:00000000"


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanworkstation\parameters
AutoShareWks = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanworkstation\parameters
AutoShareServer = "dword:00000000"
So weit so gut.

Die Log´s von Panda und Kaspersky poste ich jetzt mal nicht, denn was da gefunden wurde waren nur Sachen, die sich in der Norton Quarantäne befanden. Sprich der Scan hat ergeben, dass ich Sauber bin. Mein Lokal installiertes NAV 2005 bestätigt dies.

Jetzt bin ich hin und hergerissen. Trotzdem neuinstallieren, oder mich in Sicherheit wägen.

Ich will mir garnicht vorstellen, was für eine Arbeit das wäre, mein ganzes System neu aufzusetzen, deswegen drücke ich mich entsprechend davor.
Das wären an die 200GB die ich neu aufspielen müsste. Arghs.


Ich beobachte auch die ganze Zeit die laufenden Prozesse, ob sich nach einem Neustart irgendwas neues in der Reg. eingetragen usw, aber bisweilen kann ich einfach nichts feststellen. Das spricht ja an und sich dafür das ich "clean" bin.....

hmm...

Grüße
Bastian
Seitenanfang Seitenende
17.09.2005, 17:46
Member
Avatar Gool

Beiträge: 4730
#11 Evtl. solltest Du Deine Festplatte partitionieren (in der aktuellen CHIP befindet sich ein entsprechendes Programm), um im Falle eines Falles nicht alle Daten zu verlieren (wenn Du sie auf die andere Partition oder sogar auf eine andere Festplatte verschiebst).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.10.2005, 22:31
...neu hier

Beiträge: 1
#12 Hallo! MNirist der gleiche Mist passiert wie Sub und bitte dringend um Hilfe. Hier meine LOgfile:


Logfile of HijackThis v1.99.1
Scan saved at 22:04:02, on 20.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Nokia\PC Suite for Nokia N-Gage\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia N-Gage\ectaskscheduler.exe
C:\Programme\palm\HOTSYNC.EXE
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\Samurize\Client.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\BiBi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rpfugnjwoizqdgkc.com/WIWes9vPcgbEioWXeWXn0L7bat8x8iLQJqS9RezqdKfOQQtiAPN_zl_faXFy8rj/.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zwitrglcgusqcum.com/WIWes9vPcgYdT5KLWpib26e/7tN7YK/MqYDWHGFbcHk.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C55CCDE6-5881-D68B-BE1B-BADA49EFD94D} - C:\DOKUME~1\BiBi\ANWEND~1\TRUSTT~1\flaw upload.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [wavemealtoolping] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WebCurbWaveMeal\surf bin.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [OnlineCdrom] C:\DOKUME~1\BiBi\ANWEND~1\ATOMDE~1\32third.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: HotSync Manager.lnk = C:\Programme\palm\HOTSYNC.EXE
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Startup: Client Default.lnk = C:\Programme\Samurize\Client.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteForNokiaN-Gage Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokiaN-Gage TS.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102197606700
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


Und hier:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

20.10.2005 20:41 10.752 Thumbs.db
20.10.2005 20:35 892 vsconfig.xml
20.10.2005 13:14 902.476 PerfStringBackup.INI
20.10.2005 13:14 393.086 perfh007.dat
20.10.2005 13:14 64.848 perfc007.dat
20.10.2005 13:14 53.770 perfc009.dat
20.10.2005 13:14 382.026 perfh009.dat
18.10.2005 21:44 1.158 wpa.dbl
16.10.2005 15:23 196.160 FNTCACHE.DAT
15.10.2005 08:01 3.741 jupdate-1.5.0_04-b05.log
09.10.2005 19:55 176.167 rmoc3260.dll
09.10.2005 19:55 5.632 pndx5032.dll
09.10.2005 19:55 6.656 pndx5016.dll
09.10.2005 19:55 278.528 pncrt.dll
05.10.2005 04:09 2.301.792 MRT.exe
04.10.2005 17:26 3.013.120 mshtml.dll
04.10.2005 16:07 34 BD2030.DAT
23.09.2005 05:06 8.491.520 shell32.dll
10.09.2005 03:54 2.067.968 cdosys.dll

und dann

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\BiBi\LOKALE~1\Temp

20.10.2005 21:53 16.384 ~DF4D47.tmp
20.10.2005 20:34 16.384 Perflib_Perfdata_78.dat
20.10.2005 20:34 97.703 jusched.log
19.10.2005 22:33 0 amh51.tmp
19.10.2005 22:33 0 99550.tmp
19.10.2005 22:32 0 lbm4C.tmp
19.10.2005 22:32 0 yqm4D.tmp
19.10.2005 22:31 0 sf54B.tmp
19.10.2005 22:31 0 8yj4A.tmp
19.10.2005 22:30 0 aah49.tmp
19.10.2005 22:17 0 dsx3D.tmp
19.10.2005 06:25 20.316 af8a_appcompat.txt
17.10.2005 21:48 11.380 java_install_reg.log
16.10.2005 23:51 4.055 wecerr.txt
16.10.2005 19:32 3 Twain001.Mtx
16.10.2005 11:36 292.046 FrontPage 2000 Setup (0004)_MsiExec.txt
16.10.2005 11:26 33.412 offcln9.log
16.10.2005 11:26 1.649 FrontPage 2000 Setup (0004).txt
16.10.2005 11:20 33.086 FrontPage 2000 Setup (0002)_MsiExec.txt
16.10.2005 11:20 1.649 FrontPage 2000 Setup (0002).txt
15.10.2005 08:00 74.431 java_install.log
11.10.2005 21:51 2.485 Skin.ini
11.10.2005 01:07 16.384 ~DFA0CF.tmp
11.10.2005 01:07 16.384 ~DFD9BF.tmp
11.10.2005 00:54 16.384 ~DFC74D.tmp
11.10.2005 00:50 16.384 ~DF6E7D.tmp
10.10.2005 20:35 0 yhw13.tmp
10.10.2005 20:34 0 vtt10.tmp
10.10.2005 20:34 0 fjqD.tmp
10.10.2005 20:33 0 qxl7.tmp
10.10.2005 12:20 0 c6yB4.tmp
10.10.2005 12:20 0 vntB1.tmp
10.10.2005 12:18 0 45oAA.tmp
10.10.2005 12:18 0 1bhA8.tmp
10.10.2005 12:18 0 d69A5.tmp
10.10.2005 12:14 0 wyq93.tmp
10.10.2005 12:11 35.328 Thumbs.db
10.10.2005 12:11 717 control.xml


und drittens

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

20.10.2005 20:41 51.712 Thumbs.db
20.10.2005 20:35 6.018 ModemLog_Bluetooth Fax Modem.txt
20.10.2005 20:35 6.014 ModemLog_Bluetooth Modem.txt
20.10.2005 20:34 4.456 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
20.10.2005 20:34 159 wiadebug.log
20.10.2005 20:34 0 0.log
20.10.2005 20:34 2.048 bootstat.dat
20.10.2005 13:45 32.558 SchedLgU.Txt
20.10.2005 13:45 50 wiaservc.log
20.10.2005 13:45 1.660 bthservsdp.dat
20.10.2005 13:44 1.944.156 WindowsUpdate.log
20.10.2005 13:42 482.376 setupapi.log
20.10.2005 13:10 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #10.txt
20.10.2005 13:10 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #9.txt
20.10.2005 07:04 35.840 offitems.log
16.10.2005 18:22 1.129 win.ini
16.10.2005 11:36 737 ODBC.INI
16.10.2005 11:35 59 vbaddin.ini
16.10.2005 11:20 21.393 msgsocm.log
16.10.2005 11:20 165.888 tsoc.log
16.10.2005 11:20 22.127 KB901017.log
16.10.2005 11:20 230.561 ocgen.log
16.10.2005 11:20 21.606 ocmsn.log
16.10.2005 11:20 429.178 FaxSetup.log
16.10.2005 11:20 1.393 imsins.log
16.10.2005 11:20 146.975 comsetup.log
16.10.2005 11:20 90.229 ntdtcsetup.log
16.10.2005 11:20 62.136 iis6.log
16.10.2005 11:20 1.393 imsins.BAK
16.10.2005 11:20 24.560 KB902400.log
16.10.2005 11:20 21.087 updspapi.log
16.10.2005 11:19 15.121 KB896688.log
16.10.2005 11:19 14.140 KB905414.log
16.10.2005 11:19 13.881 KB900725.log
16.10.2005 11:19 11.238 KB904706.log
16.10.2005 11:19 11.854 KB905749.log
11.10.2005 00:49 1.409 QTFont.for
11.10.2005 00:49 54.156 QTFont.qfn
10.10.2005 12:11 200.079 wmsetup.log
09.10.2005 19:59 556 cdplayer.ini
09.10.2005 19:34 7.168 BiBi.pcb
06.10.2005 12:43 12.672 SYMEVENT.LOG
04.10.2005 16:14 432 BRWMARK.INI
04.10.2005 15:57 141 BRVIDEO.INI
04.10.2005 15:57 40 BRDIAG.INI
04.10.2005 15:57 9.013 HL-2030.INI
04.10.2005 15:57 23 Brownie.ini
22.09.2005 07:27 334 GEARInstall.log

und als letztes

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

20.10.2005 22:29 0 sys.txt
20.10.2005 22:28 13.172 system.txt
20.10.2005 22:27 198.517 systemtemp.txt
20.10.2005 22:25 109.556 system32.txt
20.10.2005 20:34 802.824.192 pagefile.sys
20.10.2005 20:34 535.285.760 hiberfil.sys
16.10.2005 22:42 1.683.218 hoover.cdr
16.10.2005 22:26 1.682.530 Backup_of_hoover.cdr
20.08.2005 01:04 13.030 PDOXUSRS.NET
19.12.2004 11:24 1.120 INSTALL.LOG
11.12.2004 01:35 516 hpcmerr.log
07.12.2004 04:37 211 BOOT.INI
07.12.2004 04:29 47.564 NTDETECT.COM
07.12.2004 04:29 251.184 ntldr
05.12.2004 17:02 3 TCPCheckResult.txt
05.12.2004 16:38 311.296 ffastun.ffl
05.12.2004 16:38 954.368 ffastun0.ffx
05.12.2004 16:38 139.264 ffastun.ffo
05.12.2004 16:38 4.795 ffastun.ffa
05.12.2004 15:58 137 BcBtRmv.log
06.07.2004 15:18 173 iv5setup.log
06.07.2004 14:51 0 AUTOEXEC.BAT
06.07.2004 14:51 0 CONFIG.SYS
06.07.2004 14:51 0 MSDOS.SYS
06.07.2004 14:51 0 IO.SYS
06.07.2004 14:38 512 BOOTSECT.DOS
06.07.2004 14:35 69 PRELOAD.AAA
02.04.2003 12:00 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
29 Datei(en) 1.343.688.443 Bytes
0 Verzeichnis(se), 14.380.318.720 Bytes frei

Ich bitte um Hilfe!!!!!!!!!!!!!
Seitenanfang Seitenende
21.10.2005, 14:33
...neu hier

Beiträge: 3
#13 Hallo alle zu sammen,
es wäre nett wenn ihr mir da auch helfen könntet!
Ich hab hier von überhaupt keine Ahnung, ich dachte mein Norton reicht!!!:-(
Bei mir ist auch dieses Hacktool.Rootkit (Objektnahme C:\WINDOWS\system32\SVKP.sys)
Ich versuch schon mal die logs und so zu posten!
Vielen Dank im voraus!!!
MfG
Mag2people

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:05:47, on 21.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\HP\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.olb.de/a10000.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.olb.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8096489-EBE2-4993-A346-5C8C1DB9AC05}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 140B-5849

Verzeichnis von C:\WINDOWS\system32

20.10.2005 13:11 2.228 wpa.dbl
20.10.2005 01:24 40.836 perfc009.dat
20.10.2005 01:24 314.508 perfh009.dat
20.10.2005 01:24 320.094 perfh007.dat
20.10.2005 01:24 49.174 perfc007.dat
20.10.2005 01:24 732.342 PerfStringBackup.INI
18.10.2005 16:07 100 LuResult.txt
05.10.2005 09:36 2.301.792 MRT.exe
23.09.2005 05:06 8.491.520 shell32.dll
10.09.2005 03:54 2.067.968 cdosys.dll
03.09.2005 01:53 474.112 shlwapi.dll
01.09.2005 03:44 292.352 winsrv.dll
01.09.2005 03:44 19.968 linkinfo.dll

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 140B-5849

Verzeichnis von C:\DOKUME~1\HP\LOKALE~1\Temp

19.12.2005 15:36 16.384 ~DF590B.tmp
21.10.2005 14:02 16.384 ~DF773A.tmp
21.10.2005 14:01 212.849 hijackthis.zip
21.10.2005 13:26 512 ~DF216B.tmp
20.10.2005 21:40 46.114 KillBox.zip
20.10.2005 14:11 31.975 jusched.log
20.10.2005 01:46 321.609 witches_brew.zip
20.10.2005 01:07 0 ynk498.tmp
19.10.2005 11:57 65.536 ~DF5308.tmp
18.10.2005 18:37 65.536 ~DFB775.tmp
18.10.2005 18:22 9.418 SNDSetup55.log
18.10.2005 18:22 26.061 IDSinst.LOG
18.10.2005 18:22 328.892 SNDUpdater55I.log
18.10.2005 18:07 3.750.586 Norton AntiVirus 2005 10-18-2005 18h4m17s.log
18.10.2005 18:06 249.636 symcprop.dat
18.10.2005 18:06 172 AVRES_OPTRF_LiveUpdate.dat
18.10.2005 18:06 556 SymSCLiveUpdate.dat
18.10.2005 18:06 172 SSALiveUpdate.dat
18.10.2005 18:04 172 AVSTELiveUpdate.dat
18.10.2005 18:04 4.396 LSInstall.log
18.10.2005 18:04 339 PreScan.log
18.10.2005 17:56 350.388 SNDUpdater54U.log
18.10.2005 17:56 11.176 SNDunin.log
18.10.2005 16:08 3.116.894 Norton AntiVirus 2005 10-18-2005 16h6m19s.log
16.10.2005 13:58 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}2818.html
12.10.2005 17:53 16.384 ~DFAA52.tmp
12.10.2005 17:53 16.384 ~DFA409.tmp
10.10.2005 13:33 495.616 V178QTa03480
28.09.2005 23:08 5.091.655 tmp-9.xpi
26.09.2005 11:17 65.536 ~DF1C07.tmp
23.09.2005 19:03 717 control.xml
23.09.2005 14:12 65.536 ~DF86D7.tmp
23.09.2005 13:57 16.364 java_install_reg.log
23.09.2005 13:31 3.750.390 Norton AntiVirus 2005 9-23-2005 13h28m32s.log
23.09.2005 12:53 3.124.148 Norton AntiVirus 2005 9-23-2005 11h15m38s.log
19.09.2005 10:48 65.536 ~DFC886.tmp
05.09.2005 10:37 65.536 ~DF8749.tmp
05.09.2005 01:52 132.040 2648348.dmp
05.09.2005 01:52 179.160 65d4_appcompat.txt
04.09.2005 15:16 65.536 ~DFF922.tmp
03.09.2005 15:29 0 4rc2A.tmp
03.09.2005 14:49 65.536 ~DF9C7F.tmp

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 140B-5849

Verzeichnis von C:\WINDOWS

20.10.2005 17:01 412.174 setupapi.log
20.10.2005 17:00 1.150 IE4 Error Log.txt
20.10.2005 14:43 1.410.304 WindowsUpdate.log
20.10.2005 14:12 0 0.log
20.10.2005 14:12 50 wiaservc.log
20.10.2005 14:12 159 wiadebug.log
20.10.2005 14:10 2.048 bootstat.dat
20.10.2005 14:09 32.558 SchedLgU.Txt
20.10.2005 14:09 396.078 iis6.log
20.10.2005 14:09 74.235 ntdtcsetup.log
20.10.2005 14:09 127.914 comsetup.log
20.10.2005 14:09 16.251 tabletoc.log
20.10.2005 14:09 145.341 tsoc.log
20.10.2005 14:09 1.393 imsins.log
20.10.2005 14:09 16.998 ocmsn.log
20.10.2005 14:09 10.408 KB901017.log
20.10.2005 14:09 52.919 netfxocm.log
20.10.2005 14:09 20.187 MedCtrOC.log
20.10.2005 14:09 158.541 ocgen.log
20.10.2005 14:09 15.342 msgsocm.log
20.10.2005 14:09 295.150 FaxSetup.log
20.10.2005 14:09 102.404 msmqinst.log
20.10.2005 14:09 1.393 imsins.BAK
20.10.2005 14:09 21.437 KB904706.log
20.10.2005 14:07 116 NeroDigital.ini
20.10.2005 12:58 1.675 KB904706Uninst.log
20.10.2005 12:50 882 tsc.ini
20.10.2005 12:05 2.394.085 tsc.ptn
20.10.2005 12:05 170.053 tsc.exe
20.10.2005 12:05 71.749 hcextoutput.dll
20.10.2005 12:05 1.044.560 vsapi32.dll
20.10.2005 12:05 43.008 BPMNT.dll
20.10.2005 12:05 16.114.335 LPT$VPN.903
20.10.2005 12:05 16.114.335 VPTNFILE.903
20.10.2005 12:04 170 GetServer.ini
20.10.2005 08:51 22.830 KB902400.log
20.10.2005 08:51 20.212 updspapi.log
20.10.2005 03:01 13.045 KB899589.log
20.10.2005 03:01 13.555 KB905414.log
20.10.2005 03:01 19.266 KB900725.log
20.10.2005 01:49 54.156 QTFont.qfn
19.10.2005 03:00 28.300 KB905749.log
18.10.2005 18:21 25.847 SYMEVENT.LOG
18.10.2005 18:04 20.490 LUINSTALL.LOG
12.10.2005 17:48 88.966 setupact.log
28.09.2005 23:21 99.970 UninstallFirefox.exe
28.09.2005 23:21 5.235 mozver.dat
23.09.2005 19:03 18.726 wmsetup.log
05.09.2005 03:01 19.290 KB899587.log
05.09.2005 03:01 18.778 KB899591.log
05.09.2005 03:01 18.969 KB893756.log
05.09.2005 03:01 17.956 KB896423.log
05.09.2005 03:01 19.696 KB896727.log
05.09.2005 03:00 13.705 KB899588.log
05.09.2005 03:00 13.491 KB894391.log

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 140B-5849

Verzeichnis von C:\

21.10.2005 14:30 0 sys.txt
21.10.2005 14:29 8.924 system.txt
21.10.2005 14:27 11.668 systemtemp.txt
21.10.2005 14:23 102.338 system32.txt
20.10.2005 14:10 390.070.272 pagefile.sys
20.10.2005 12:26 522 hpfr3420.xml
20.10.2005 12:26 36.355 hpfr3420.log
24.07.2005 12:25 246 Dokumente
Noch mal Danke!!!
Mag :-)
Seitenanfang Seitenende
21.10.2005, 15:12
...neu hier

Beiträge: 9
#14 Ich hab genau dasselbe PRoblem!

Zitat

Hallo alle zu sammen,
es wäre nett wenn ihr mir da auch helfen könntet!
Ich hab hier von überhaupt keine Ahnung, ich dachte mein Norton reicht!!!:-(
Bei mir ist auch dieses Hacktool.Rootkit (Objektnahme C:\WINDOWS\system32\SVKP.sys)
Ich versuch schon mal die logs und so zu posten!
Vielen Dank im voraus!!!
MfG
Mag2people
Dazu kommt noch, dass mein Live Update Abo bei Norton abgelaufen ist! Gerade mal 2 Tage vorher. -.- verdächtig...


Mein Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:16:20, on 21.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\PROGRA~1\MICROS~3\GAMECO~1\Common\SWTrayV4.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MessengerDiscovery\msgdiscoveryx.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Kazaa Lite\clean.kmd
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\Programme\Opera\Opera.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Dokumente und Einstellungen\Christian\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mp-gaming.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 70.84.51.250 L2authd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~3\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Programme\MessengerDiscovery\msgdiscoveryx.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZB
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O15 - Trusted Zone: http://www.freeav.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by5fd.bay5.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
EDIT:
dat-log:

Zitat

(system32)
21.10.2005 10:02 4'452 nvapps.xml
20.10.2005 01:47 3'799 jupdate-1.5.0_04-b05.log
19.10.2005 12:21 13'762 wpa.dbl
17.10.2005 13:21 183'424 FNTCACHE.DAT
16.10.2005 23:44 664 d3d9caps.dat
09.09.2005 05:08 2'006'368 MRT.exe
26.08.2005 19:42 552 d3d8caps.dat
19.08.2005 21:56 383'254 perfh009.dat
19.08.2005 21:56 53'608 perfc009.dat
19.08.2005 21:56 394'500 perfh007.dat
19.08.2005 21:56 64'598 perfc007.dat
19.08.2005 21:56 906'552 PerfStringBackup.INI
03.08.2005 10:33 520'456 LegitCheckControl.DLL
03.08.2005 10:33 23'304 GWFSPidGen.DLL
30.07.2005 16:59 45'192 MsgPlusLoader.dll
20.07.2005 04:04 3'012'096 mshtml.dll
08.07.2005 18:28 76'800 remotesp.tsp
08.07.2005 18:28 249'344 tapisrv.dll
03.07.2005 04:15 1'484'288 shdocvw.dll
03.07.2005 04:15 664'064 wininet.dll
03.07.2005 04:15 605'696 urlmon.dll
03.07.2005 04:15 474'112 shlwapi.dll
03.07.2005 04:15 39'424 pngfilt.dll
03.07.2005 04:15 146'432 msrating.dll
03.07.2005 04:15 448'512 mshtmled.dll
03.07.2005 04:15 251'392 iepeers.dll
03.07.2005 04:15 152'064 cdfview.dll
03.07.2005 04:15 1'019'904 browseui.dll
03.07.2005 04:15 96'768 inseng.dll

Zitat

Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: D41A-79B9

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

21.10.2005 15:23 922'451'968 0000023F
21.10.2005 15:15 16'384 ~DFCA7B.tmp
21.10.2005 10:46 73'276 ~e5.0001
21.10.2005 10:02 0 Perflib_Perfdata_dec.dat
21.10.2005 10:02 49'152 ~DF989A.tmp
21.10.2005 10:02 4'401 jusched.log
20.10.2005 16:09 0 a4o11B.tmp
20.10.2005 15:33 0 5hx110.tmp
20.10.2005 15:32 0 xqm106.tmp
20.10.2005 15:31 0 4nbFF.tmp
20.10.2005 15:25 0 jvgF5.tmp
20.10.2005 15:24 0 olsEE.tmp
20.10.2005 15:23 0 nngE7.tmp
20.10.2005 15:21 0 i9iDD.tmp
20.10.2005 15:15 0 0fuD1.tmp
20.10.2005 15:13 0 lfsCC.tmp
20.10.2005 15:03 0 kcgC2.tmp
20.10.2005 11:52 49'152 ~DF73D4.tmp
20.10.2005 02:17 0 ieg49E.tmp
20.10.2005 01:47 490 java_install_reg.log
20.10.2005 01:47 23'568 java_install.log
20.10.2005 01:42 0 6ld422.tmp
20.10.2005 00:20 0 mng3BB.tmp
19.10.2005 23:57 0 8r83AB.tmp
19.10.2005 23:51 0 uqb3A3.tmp
19.10.2005 23:46 0 1h5396.tmp
19.10.2005 23:43 0 54338E.tmp
19.10.2005 23:40 0 gdl37C.tmp
19.10.2005 23:39 0 a5s371.tmp
19.10.2005 23:38 0 o92367.tmp
19.10.2005 23:03 0 mcx318.tmp
19.10.2005 22:11 0 6xt2D9.tmp
19.10.2005 22:09 0 jfx2CB.tmp
19.10.2005 22:07 0 xut2C4.tmp
19.10.2005 22:05 0 wpi2BD.tmp
19.10.2005 22:03 0 uhl2AF.tmp
19.10.2005 22:01 0 krt2A8.tmp
19.10.2005 21:59 0 v07294.tmp
19.10.2005 21:58 0 adj285.tmp
19.10.2005 21:53 0 w7q275.tmp
19.10.2005 21:51 0 85426E.tmp
19.10.2005 21:48 0 apq263.tmp
19.10.2005 21:47 0 ty0259.tmp
19.10.2005 21:46 0 w1r252.tmp
19.10.2005 21:42 0 t7h23E.tmp
19.10.2005 21:39 0 2r9237.tmp
19.10.2005 21:35 0 1tu21E.tmp
19.10.2005 12:21 49'152 ~DF64C8.tmp
18.10.2005 17:36 0 g2gD9.tmp
18.10.2005 12:09 49'152 ~DF3B09.tmp
17.10.2005 20:57 46'414 TFR193.tmp
17.10.2005 20:57 62'753 TFR18F.tmp
17.10.2005 20:57 44'122 TFR18E.tmp
17.10.2005 20:57 123'445 TFR18A.tmp
17.10.2005 20:57 116'853 TFR187.tmp
17.10.2005 20:57 75'826 TFR184.tmp
17.10.2005 20:57 31'448 TFR180.tmp
17.10.2005 20:57 44'094 TFR17D.tmp
17.10.2005 20:57 23'262 TFR176.tmp
17.10.2005 14:58 695 TWAIN.LOG
17.10.2005 14:58 156 Twunk001.MTX
17.10.2005 14:58 3 Twain001.Mtx
17.10.2005 14:05 49'152 ~DF7BB1.tmp
17.10.2005 13:59 741'813 239B4B.dmp
17.10.2005 13:59 19'942 992b_appcompat.txt
17.10.2005 13:23 49'152 ~DF6127.tmp
17.10.2005 02:43 0 24zB75.tmp
16.10.2005 22:18 0 xtgB0A.tmp
16.10.2005 21:24 10'225 TFRADA.tmp
16.10.2005 17:40 3'088 h2r889.tmp
16.10.2005 01:54 21'122 TFR5F8.tmp
16.10.2005 01:54 23'427 TFR5F4.tmp
16.10.2005 01:54 71'682 TFR5F1.tmp
16.10.2005 01:54 10'225 TFR5F0.tmp
16.10.2005 01:54 35'574 TFR5ED.tmp
16.10.2005 01:54 32'204 TFR5EB.tmp
16.10.2005 01:54 27'777 TFR5EA.tmp
16.10.2005 01:54 67'994 TFR5E9.tmp
15.10.2005 10:48 717 control.xml
15.10.2005 10:12 16'384 Perflib_Perfdata_93c.dat
15.10.2005 10:12 49'152 ~DF916.tmp
14.10.2005 20:31 183'295'927 00000063
14.10.2005 20:30 250'511'052 0000003E
14.10.2005 18:50 4'592 SIntfIcn.ani
14.10.2005 18:50 22'068 SIntfNT.dll
14.10.2005 18:50 17'324 SIntf32.dll
14.10.2005 18:50 12'305 SIntf16.dll
14.10.2005 18:50 40'448 CmdLineExt03.dll
14.10.2005 12:33 119'808 _mct_mod.tmp
14.10.2005 10:43 16'384 Perflib_Perfdata_c00.dat
14.10.2005 10:42 49'152 ~DFA93.tmp
13.10.2005 11:24 0 SBLCopyF.INI
13.10.2005 11:24 16'896 SBLCopyF.EXE
13.10.2005 10:20 49'152 ~DFFD03.tmp
12.10.2005 11:01 0 Twunk002.MTX
12.10.2005 10:27 49'152 ~DF3959.tmp
12.10.2005 00:04 0 14x6D6.tmp
12.10.2005 00:04 0 4z46C5.tmp
11.10.2005 22:43 0 ck05F6.tmp
11.10.2005 21:00 0 gjd5D8.tmp
11.10.2005 10:41 49'152 ~DF44B3.tmp
10.10.2005 20:25 49'152 ~DFDCED.tmp
10.10.2005 20:20 740'625 214010D.dmp
10.10.2005 20:20 19'942 e4bc_appcompat.txt
10.10.2005 10:41 49'152 ~DF552B.tmp
02.03.2005 20:09 578'560 np14F.tmp
02.03.2005 20:09 578'560 np148.tmp
02.03.2005 20:09 578'560 np14C.tmp
07.09.2004 00:01 229'376 _is33.tmp
07.09.2004 00:01 229'376 _is2D.tmp
07.09.2004 00:01 229'376 _is1C0.tmp
07.09.2004 00:01 229'376 _is3A.tmp
04.08.2004 01:57 1'057'280 np147.tmp
04.08.2004 01:57 1'057'280 np14E.tmp
04.08.2004 01:57 1'057'280 np14A.tmp
04.08.2004 01:57 1'057'280 np14B.tmp
04.08.2004 01:57 677'888 np150.tmp
04.08.2004 01:57 677'888 np149.tmp
04.08.2004 01:57 677'888 np14D.tmp
04.01.2003 03:04 15'872 adxapie.sys

Zitat

Verzeichnis von C:\WINDOWS

21.10.2005 14:53 2'759 KB900725.log
21.10.2005 14:53 1'937'492 WindowsUpdate.log
21.10.2005 14:52 2'646 KB904706.log
21.10.2005 14:52 2'595 KB905749.log
21.10.2005 10:01 0 0.log
21.10.2005 10:00 159 wiadebug.log
21.10.2005 10:00 50 wiaservc.log
21.10.2005 10:00 2'048 bootstat.dat
20.10.2005 23:16 32'594 SchedLgU.Txt
19.10.2005 01:05 226 RomeTW.ini
17.10.2005 18:33 17'827 Directx.log
17.10.2005 16:13 116 NeroDigital.ini
17.10.2005 13:21 194'276 setupapi.log
17.10.2005 13:21 171'590 setupact.log
15.10.2005 10:48 69'253 wmsetup.log
13.10.2005 10:42 192 winamp.ini
24.09.2005 19:07 179 ldm.log
24.09.2005 19:07 31 warhead.ini
24.09.2005 19:05 90 ML.log
24.09.2005 19:04 316'640 WMSysPr9.prx
24.09.2005 19:01 86 ke.log
12.08.2005 12:58 38'745 iis6.log
12.08.2005 12:58 57'449 ntdtcsetup.log
12.08.2005 12:58 96'097 comsetup.log
12.08.2005 12:58 101'912 tsoc.log
12.08.2005 12:58 1'374 imsins.log
12.08.2005 12:58 20'254 KB899587.log
12.08.2005 12:58 14'604 ocmsn.log
12.08.2005 12:58 137'641 ocgen.log
12.08.2005 12:58 13'180 msgsocm.log
12.08.2005 12:58 251'328 FaxSetup.log
12.08.2005 12:58 13'483 updspapi.log
12.08.2005 12:58 1'374 imsins.BAK
12.08.2005 12:58 19'754 KB899591.log
12.08.2005 12:58 19'873 KB893756.log
12.08.2005 12:58 19'216 KB896423.log
12.08.2005 12:57 19'597 KB896727.log
12.08.2005 12:56 13'540 KB899588.log
12.08.2005 12:56 13'338 KB894391.log
01.08.2005 16:43 50 GunzLauncher.INI
13.07.2005 22:16 12'931 KB901214.log
13.07.2005 22:16 5'749 KB903235.log
12.07.2005 07:46 137 cdplayer.ini
05.07.2005 17:36 231 system.ini

Zitat

Verzeichnis von C:\

21.10.2005 15:30 0 sys.txt
21.10.2005 15:30 7'973 system.txt
21.10.2005 15:29 6'601 systemtemp.txt
21.10.2005 15:24 101'033 system32.txt
21.10.2005 10:00 1'207'959'552 pagefile.sys
14.11.2004 20:54 211 boot.ini
14.11.2004 20:54 211 BOOT.BKK
14.11.2004 20:49 47'564 NTDETECT.COM
14.11.2004 20:49 251'184 ntldr
14.11.2004 18:52 0 IO.SYS
14.11.2004 18:52 0 CONFIG.SYS
14.11.2004 18:52 0 AUTOEXEC.BAT
14.11.2004 18:52 0 MSDOS.SYS
02.04.2003 14:00 4'952 bootfont.bin
14 Datei(en) 1'208'379'281 Bytes
0 Verzeichnis(se), 4'688'465'920 Bytes frei
Dieser Beitrag wurde am 21.10.2005 um 15:30 Uhr von Triladar editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: