backdoor.win32.prorat.fl |
||
---|---|---|
#0
| ||
16.09.2006, 07:28
Member
Beiträge: 13 |
||
|
||
16.09.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#2
poste das log
http://virus-protect.org/winpfind.html stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.09.2006, 15:58
Member
Themenstarter Beiträge: 13 |
#3
Danke für die schnelle Hilfe. Hier der Log:
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows sometimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Logfile created on: 16.09.2006 15:52:23 WinPFind v1.5.0 Folder = D:\Programme\windpfind\WinPFind\ Microsoft Windows XP (Version = 5.1.2600) Internet Explorer (Version = 6.0.2600.0000) »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... PEC2 28.09.2005 10:56:46 185856 D:\Programme\7za.exe () PECompact2 28.09.2005 10:56:46 185856 D:\Programme\7za.exe () UPX! 23.07.2006 17:56:22 194101 D:\Programme\patcher.exe () aspack 28.05.2006 17:34:30 435756 D:\Programme\wunauclt.exe (Microsoft Corporation) Checking %WinDir% folder... Checking %System% folder... aspack 18.03.2005 17:19:58 2337488 D:\WINDOWS\SYSTEM32\d3dx9_25.dll (Microsoft Corporation) aspack 26.05.2005 15:34:52 2297552 D:\WINDOWS\SYSTEM32\d3dx9_26.dll (Microsoft Corporation) aspack 22.07.2005 19:59:04 2319568 D:\WINDOWS\SYSTEM32\d3dx9_27.dll (Microsoft Corporation) aspack 05.12.2005 18:09:18 2323664 D:\WINDOWS\SYSTEM32\d3dx9_28.dll (Microsoft Corporation) aspack 03.02.2006 08:43:16 2332368 D:\WINDOWS\SYSTEM32\d3dx9_29.dll (Microsoft Corporation) aspack 31.03.2006 12:40:58 2388176 D:\WINDOWS\SYSTEM32\d3dx9_30.dll (Microsoft Corporation) PEC2 18.08.2001 14:00:00 41118 D:\WINDOWS\SYSTEM32\dfrg.msc () WSUD 18.08.2001 14:00:00 1164288 D:\WINDOWS\SYSTEM32\ntbackup.exe (Microsoft Corporation) WSUD 18.08.2001 14:00:00 259072 D:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation) Umonitor 18.08.2001 14:00:00 659456 D:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation) winsync 18.08.2001 14:00:00 1309184 D:\WINDOWS\SYSTEM32\wbdbase.deu () Checking %System%\Drivers folder and sub-folders... PEC2 25.03.2005 17:18:48 82148 D:\WINDOWS\SYSTEM32\drivers\VcommMgr.sys (IVT Corporation) Items found in D:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 16.09.2006 15:45:00 S 2048 D:\WINDOWS\bootstat.dat () 16.09.2006 13:47:32 H 0 D:\WINDOWS\LastGood\INF\asferr.inf () 16.09.2006 13:47:32 H 0 D:\WINDOWS\LastGood\INF\asferr.PNF () 16.08.2006 01:26:30 H 0 D:\WINDOWS\LastGood\INF\oem20.inf () 16.08.2006 01:26:30 H 0 D:\WINDOWS\LastGood\INF\oem20.PNF () 16.09.2006 13:47:40 H 0 D:\WINDOWS\LastGood\INF\wmstypelib.inf () 16.09.2006 13:47:40 H 0 D:\WINDOWS\LastGood\INF\wmstypelib.PNF () 16.09.2006 15:52:20 H 1024 D:\WINDOWS\system32\config\default.LOG () 16.09.2006 15:47:22 H 1024 D:\WINDOWS\system32\config\SAM.LOG () 16.09.2006 15:45:52 H 1024 D:\WINDOWS\system32\config\SECURITY.LOG () 16.09.2006 15:53:10 H 1024 D:\WINDOWS\system32\config\software.LOG () 16.09.2006 15:48:22 H 1024 D:\WINDOWS\system32\config\system.LOG () 16.09.2006 15:45:04 H 6 D:\WINDOWS\Tasks\SA.DAT () Checking for CPL files... 18.08.2001 14:00:00 68096 D:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation) 18.08.2001 14:00:00 563712 D:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation) 18.08.2001 14:00:00 133120 D:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation) 18.08.2001 14:00:00 152064 D:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation) 14.01.2004 18:57:18 57344 D:\WINDOWS\SYSTEM32\ImageDrive.cpl (Ahead Software AG) 18.08.2001 14:00:00 295936 D:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation) 18.08.2001 14:00:00 123392 D:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation) 18.08.2001 05:55:10 48640 D:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation) 29.08.2002 03:41:00 208896 D:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation) 03.06.2005 03:52:54 49265 D:\WINDOWS\SYSTEM32\jpicpl32.cpl (Sun Microsystems, Inc.) 18.08.2001 14:00:00 189440 D:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation) 18.08.2001 14:00:00 566272 D:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation) 18.08.2001 14:00:00 35840 D:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation) 18.08.2001 14:00:00 259072 D:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation) 09.03.2006 15:29:00 73728 D:\WINDOWS\SYSTEM32\nvtuicpl.cpl () 18.08.2001 14:00:00 38400 D:\WINDOWS\SYSTEM32\nwc.cpl (Microsoft Corporation) 18.08.2001 14:00:00 36864 D:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation) 18.08.2001 14:00:00 111616 D:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation) 16.04.2004 16:00:22 324608 D:\WINDOWS\SYSTEM32\QuickTime.cpl (Apple Computer, Inc.) 18.08.2001 14:00:00 275456 D:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation) 18.08.2001 14:00:00 28160 D:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation) 18.08.2001 14:00:00 90112 D:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation) 18.08.2001 14:00:00 68096 D:\WINDOWS\SYSTEM32\dllcache\access.cpl (Microsoft Corporation) 18.08.2001 14:00:00 563712 D:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl (Microsoft Corporation) 18.08.2001 14:00:00 133120 D:\WINDOWS\SYSTEM32\dllcache\desk.cpl (Microsoft Corporation) 18.08.2001 14:00:00 152064 D:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl (Microsoft Corporation) 18.08.2001 14:00:00 295936 D:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl (Microsoft Corporation) 18.08.2001 14:00:00 123392 D:\WINDOWS\SYSTEM32\dllcache\intl.cpl (Microsoft Corporation) 29.08.2002 03:41:00 208896 D:\WINDOWS\SYSTEM32\dllcache\joy.cpl (Microsoft Corporation) 18.08.2001 14:00:00 189440 D:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation) 18.08.2001 14:00:00 566272 D:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl (Microsoft Corporation) 18.08.2001 14:00:00 35840 D:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation) 18.08.2001 14:00:00 259072 D:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl (Microsoft Corporation) 18.08.2001 14:00:00 38400 D:\WINDOWS\SYSTEM32\dllcache\nwc.cpl (Microsoft Corporation) 18.08.2001 14:00:00 36864 D:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl (Microsoft Corporation) 18.08.2001 14:00:00 111616 D:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl (Microsoft Corporation) 18.08.2001 14:00:00 151552 D:\WINDOWS\SYSTEM32\dllcache\sapi.cpl (Microsoft Corporation) 18.08.2001 14:00:00 275456 D:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl (Microsoft Corporation) 18.08.2001 14:00:00 28160 D:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation) 18.08.2001 14:00:00 90112 D:\WINDOWS\SYSTEM32\dllcache\timedate.cpl (Microsoft Corporation) 04.08.2003 14:05:14 R 73728 D:\WINDOWS\SYSTEM32\drivers\SCBaud.cpl (Socket Communications Inc.) Checking for Downloaded Program Files... {8AD9C840-044E-11D1-B3E9-00805F499D93} - Java Plug-in 1.5.0_04 - CodeBase = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} - Java Plug-in 1.5.0_04 - CodeBase = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 26.03.2006 16:30:22 HS 84 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini () Checking files in %ALLUSERSPROFILE%\Application Data folder... 28.04.2006 21:34:58 305 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html () 26.03.2006 17:22:02 HS 62 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini () Checking files in %USERPROFILE%\Startup folder... 26.03.2006 16:30:22 HS 84 D:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\desktop.ini () Checking files in %USERPROFILE%\Application Data folder... 26.03.2006 17:22:02 HS 62 D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\desktop.ini () 07.05.2006 19:47:16 18760 D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT () »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» >>> Internet Explorer Settings <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] \\Start Page - http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home \\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch \\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome \\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch \\Local Page - %SystemRoot%\system32\blank.htm [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] \\Start Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome \\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch \\Local Page - D:\WINDOWS\System32\blank.htm [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] \\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm \\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] \\{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Microsoft Url Sucheingriff = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation) \\{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar = () >>> BHO's <<< [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] \{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class = D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) \{53707962-6F74-2D53-2644-206D7942484F} - = D:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited) >>> Internet Explorer Bars, Toolbars and Extensions <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] \{4528BBE0-4E08-11D5-AD55-00010333D0AD} - = () \{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation) [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] \{32683183-48a0-441b-a342-7c2a440a9478} - Media Band = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \{4528BBE0-4E08-11D5-AD55-00010333D0AD} - = () \{EFA24E64-B078-11D0-89E4-00C04FC9E26E} - Explorer-Band = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] \\{8E718888-423F-11D2-876E-00A0C9082467} - &Radio = D:\WINDOWS\System32\msdxm.ocx (Microsoft Corporation) [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] \ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation) \WebBrowser\\{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - = () [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping] \\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 8192 = Sun Java Konsole \\NEXTID - 8195 \\{B13B4423-2647-4cfc-A4B3-C7D56CB83487} - 8193 = Share in H&ello \\{B863453A-26C3-4e1f-A54D-A2CD196348E9} - 8194 = ICQ Lite [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] \{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - MenuText: Sun Java Konsole = D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll (Sun Microsystems, Inc.) \{B13B4423-2647-4cfc-A4B3-C7D56CB83487} - ButtonText: Share in Hello = \{B863453A-26C3-4e1f-A54D-A2CD196348E9} - ButtonText: ICQ Lite = D:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.) >>> Approved Shell Extensions (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] \\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = deskpan.dll () \\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = () \\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = () \\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = D:\WINDOWS\System32\hticons.dll (Hilgraeve, Inc.) \\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = () \\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = () \\{A70C977A-BF00-412C-90B7-034C51DA2439} - NvCpl DesktopContext Class = D:\WINDOWS\System32\nvcpl.dll (NVIDIA Corporation) \\{1CDB2949-8F65-4355-8456-263E7C208A5D} - Desktop Explorer = D:\WINDOWS\System32\nvshell.dll () \\{1E9B04FB-F9E5-4718-997B-B8DA88302A47} - Desktop Explorer Menu = D:\WINDOWS\System32\nvshell.dll () \\{1E9B04FB-F9E5-4718-997B-B8DA88302A48} - nView Desktop Context Menu = D:\WINDOWS\System32\nvshell.dll () \\{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - Shell Extensions for RealOne Player = D:\Programme\Real\RealPlayer\rpshell.dll (RealNetworks, Inc.) \\{73B24247-042E-4EF5-ADC2-42F62E6FD654} - ICQ Lite Shell Extension = D:\Programme\ICQLite\ICQLiteShell.dll () \\{32020A01-506E-484D-A2A8-BE3CF17601C3} - AlcoholShellEx = D:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll (Alcohol Soft Development Team) \\{F6C95B20-E9D5-4927-8C00-2B03B554417D} - Managed SpoolExt Extension = D:\WINDOWS\System32\msgsple.dll () \\{FFB699E0-306A-11d3-8BD1-00104B6F7516} - Play on my TV helper = D:\WINDOWS\System32\nvcpl.dll (NVIDIA Corporation) \\{45AC2688-0253-4ED8-97DE-B5370FA7D48A} - Shell Extension for Malware scanning = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] >>> Context Menu Handlers (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers] \ICQLiteMenu - {73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Programme\ICQLite\ICQLiteShell.dll () \Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH) [HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers] [HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers] \ICQLiteMenu - {73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Programme\ICQLite\ICQLiteShell.dll () [HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers] \00nView - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} = D:\WINDOWS\System32\nvshell.dll () \NvCplDesktopContext - {A70C977A-BF00-412C-90B7-034C51DA2439} = D:\WINDOWS\System32\nvcpl.dll (NVIDIA Corporation) [HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers] \Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH) >>> Column Handlers (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] \{F9DB5320-233E-11D1-9F84-707F02C10627} - PDF Column Info = D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll (Adobe Systems, Inc.) >>> Registry Run Keys <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] NvCplDaemon - RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll () nwiz - D:\WINDOWS\SYSTEM32\nwiz.exe () NvMediaCenter - RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll () KernelFaultCheck - () avgnt - D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] >>> Startup Links <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup] D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini () [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup] D:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\desktop.ini () >>> MSConfig Disabled Items <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services Macromedia Licensing Service 3 Brother XP spl Service 2 brmfrmps 3 BlueSoleil Hid Service 3 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk.disabled path D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk.disabled backup D:\WINDOWS\pss\Adobe Reader - Schnellstart.lnk.disabledCommon Startup location Common Startup command D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk.disabled item Adobe Reader - Schnellstart.lnk HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 0 services 2 startup 2 [All Users Startup Folder Disabled Items] [Current User Startup Folder Disabled Items] >>> User Agent Post Platform <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] >>> AppInit Dll's <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs] >>> Image File Execution Options <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] \Your Image File Name Here without a path - Debugger = ntsd -d >>> Shell Service Object Delay Load <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] \\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation) \\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation) \\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll (Microsoft Corporation) \\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = D:\WINDOWS\System32\stobject.dll (Microsoft Corporation) \\UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} = D:\WINDOWS\System32\upnpui.dll (Microsoft Corporation) >>> Shell Execute Hooks <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] \\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation) >>> Shared Task Scheduler <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] \\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) >>> Winlogon <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] \\UserInit = D:\WINDOWS\system32\userinit.exe, \\Shell = explorer.exe \\System = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] \crypt32chain - crypt32.dll = (Microsoft Corporation) \cryptnet - cryptnet.dll = (Microsoft Corporation) \cscdll - cscdll.dll = (Microsoft Corporation) \ScCertProp - wlnotify.dll = (Microsoft Corporation) \Schedule - wlnotify.dll = (Microsoft Corporation) \sclgntfy - sclgntfy.dll = (Microsoft Corporation) \SensLogn - WlNotify.dll = (Microsoft Corporation) \termsrv - wlnotify.dll = (Microsoft Corporation) \wlballoon - wlnotify.dll = (Microsoft Corporation) >>> DNS Name Servers <<< {4F522CA6-1D6F-4569-8D0A-24F0C75F2EC5} - () {76633998-86B6-41D4-93D6-BCF7EA4D58FE} - () {8936A691-208B-49DE-ADF0-403063E1AEB8} - (SiS 900-basierte PCI-Fast Ethernet-Adapter) {C80CA3F7-ECCA-45A8-8A8A-7DE50B211A69} - 192.168.2.1 (T-Sinus 111data) {DE0E64E9-B5B5-4E17-8EAD-6D66914B300A} - () >>> All Winsock2 Catalogs <<< [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] \000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation) \000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation) \000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries] \000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000004\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000005\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation) \000000000006\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation) \000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000010\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000011\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000018\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000019\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000020\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) >>> Protocol Handlers (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler] \ipp - () \msdaipp - () >>> Protocol Filters (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter] >>> Selected AddOn's <<< »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» hier jetzt der log der datfindbat: Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C Verzeichnis von D:\WINDOWS\system32 16.09.2006 15:47 50.159 nvapps.xml 13.09.2006 21:01 2.184 wpa.dbl 16.08.2006 01:19 380.350 perfh009.dat 16.08.2006 01:19 52.764 perfc009.dat 16.08.2006 01:19 391.000 perfh007.dat 16.08.2006 01:19 63.580 perfc007.dat 16.08.2006 01:19 895.600 PerfStringBackup.INI 30.07.2006 16:43 98.304 CmdLineExt.dll 29.07.2006 19:32 48.936 sirenacm.dll 20.06.2006 21:44 57.384 avsda.dll Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C Verzeichnis von D:\DOKUME~1\Florian\LOKALE~1\Temp Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C Verzeichnis von D:\WINDOWS 16.09.2006 15:45 0 0.log 16.09.2006 15:45 159 wiadebug.log 16.09.2006 15:45 50 wiaservc.log 16.09.2006 15:44 2.048 bootstat.dat 16.09.2006 15:44 1.368 SchedLgU.Txt 16.09.2006 13:47 342 wmsetup.log 16.09.2006 13:47 1.834 setupapi.log 16.09.2006 11:59 31 LxTrans.INI 16.09.2006 08:25 26 Lic.xxx 16.09.2006 07:25 668 win.ini 16.09.2006 06:45 162 NeroDigital.ini 16.09.2006 04:04 0 Sti_Trace.log 26.08.2006 16:50 50 ktd32.atm 24.08.2006 01:15 145 fcp5.cfg 17.08.2006 16:40 284.672 dr.exe 02.06.2006 21:56 6.104 ModemLog_Bluetooth DUN Modem.txt 02.06.2006 21:56 6.096 ModemLog_Bluetooth Fax Modem.txt 02.06.2006 21:56 2.490 ModemLog_Bluetooth LAP Modem #2.txt 02.06.2006 21:56 2.402 ModemLog_Bluetooth LAP Modem.txt Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C Verzeichnis von D:\ 16.09.2006 16:07 0 sys.txt 16.09.2006 16:07 4.963 windows.txt 16.09.2006 16:06 4.963 system.txt 16.09.2006 16:06 128 temp.txt 16.09.2006 16:06 128 systemtemp.txt 16.09.2006 16:05 106.626 system32.txt 16.09.2006 15:44 1.610.612.736 pagefile.sys 16.09.2006 09:52 0 23990098.$$$ 12.09.2006 19:39 268 sqmdata04.sqm 12.09.2006 19:39 244 sqmnoopt04.sqm 12.09.2006 19:37 244 sqmnoopt03.sqm 12.09.2006 19:37 268 sqmdata03.sqm 07.09.2006 16:20 268 sqmdata02.sqm 07.09.2006 16:20 244 sqmnoopt02.sqm 21.08.2006 00:41 268 sqmdata01.sqm 21.08.2006 00:41 244 sqmnoopt01.sqm 16.08.2006 20:27 268 sqmdata00.sqm 16.08.2006 20:27 244 sqmnoopt00.sqm 18 Datei(en) 1.610.732.104 Bytes 0 Verzeichnis(se), 4.618.915.840 Bytes frei Dieser Beitrag wurde am 16.09.2006 um 16:16 Uhr von tribe editiert.
|
|
|
||
16.09.2006, 17:13
Ehrenmitglied
Beiträge: 29434 |
#4
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.09.2006, 18:09
Member
Themenstarter Beiträge: 13 |
#5
Zitat poste das log vom avenger, was nach neustart erscheintAvenger konnte leider kein Log erstellen, aber ich glaube die Dateien wurden entfernt. Auf jeden Fall kann ich Avenger jetzt mit diesem Befehl nicht mehr ausführen. *edit: Die letzten drei Einträge sind immer noch da. D:\WINDOWS\ktd32.atm D:\WINDOWS\fcp5.cfg D:\WINDOWS\dr.exe Dieser Beitrag wurde am 16.09.2006 um 18:13 Uhr von tribe editiert.
|
|
|
||
16.09.2006, 20:23
Ehrenmitglied
Beiträge: 29434 |
#6
Pocket KillBox
http://virus-protect.org/killbox.html Options: "Delete on Reboot" und "Single File"--> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ...... D:\WINDOWS\ktd32.atm D:\WINDOWS\fcp5.cfg D:\WINDOWS\dr.exe PC neustarten gehe in die registry Start - Ausfuehren - regedit klicke dich durch zum schluessel: [HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings] schreibe oder kopiere , was du dort findest __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.09.2006, 00:30
Member
Themenstarter Beiträge: 13 |
#7
HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings
Den Eintrag [b]Windows NT Script Host gibt es nicht. regedit /e Info.txt "HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings" |
|
|
||
17.09.2006, 14:26
Ehrenmitglied
Beiträge: 29434 |
#8
tribe
dann hat der Antivirus wahrscheinlich schon die registry gesaeubert..... loesche das backup von avenger unter : C:\Avenger\backup.zip und auch von der killbox unter: C:\!KillBox\...... 1. poste den report von TcpView http://virus-protect.org/artikel/tools/tcpview.html 2. scane mit kaspersky und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.09.2006, 15:26
Member
Themenstarter Beiträge: 13 |
#9
edit
und der Report von eScan: File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\EpsBroker.EpsBroker" verweist auf das ungültige Objekt "{CB4FF1E0-8D28-11D3-B367-00105A427133}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\EpsBroker.EpsBroker.2" verweist auf das ungültige Objekt "{9C45F6B6-9060-4AD5-AF3E-45CA2B799F28}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\EpsBroker.HRInfo" verweist auf das ungültige Objekt "{9CB25C7D-AA82-4270-A9CA-0B08048EEFCE}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\Lexware.FkCrypto10" verweist auf das ungültige Objekt "{7DE2830C-3BC6-4790-A413-AC891BA2C661}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\LXActivationAssi.ActivationAssi" verweist auf das ungültige Objekt "{1B3160B6-EB68-452C-B21C-DDE301DB5C6A}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\LXActivationAssi.ActivationAssi.1" verweist auf das ungültige Objekt "{1B3160B6-EB68-452C-B21C-DDE301DB5C6A}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\LxTransInetSrv.Application" verweist auf das ungültige Objekt "{09558BE1-95A6-409A-8FB1-64E957A4BF2E}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\PCFK2.Kasse" verweist auf das ungültige Objekt "{52FE9A21-53F0-417c-83C2-382060AE1A62}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\TMProto.LxTransferManager" verweist auf das ungültige Objekt "{32A65AC2-6D00-11D4-B8C4-0050046969F2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\TMProto.LxUrl" verweist auf das ungültige Objekt "{D07F7C47-9A95-11D4-B8BB-00105AEFAB6C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\WMSServer.Server" verweist auf das ungültige Objekt "{845FB959-4279-11D2-BF23-00805FBE84A6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\WMSServer.Server.9" verweist auf das ungültige Objekt "{845FB959-4279-11D2-BF23-00805FBE84A6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (1.5.0.6)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Hab übrigens seit ein paar Tagen plötzlich einige Dateien im Programme Ordner, die ich dort nicht abgelegt habe. Poste die hier mal: dr.exe patcher.exe 7za.exe wunauclt.exe wunauclt.tbe wunauclt.zip Is mir gerade eingefallen, weil im Verzeichnis von "C:/!killbox/..." auch eine "dr.exe" Datei war. Hmm, welche Art von Zugriff hat jemand mit diesem Trojaner eigentlich auf meinen Rechner? Hab bei Google keinerlei Informationen über genau dieses Trojanische Pferd finden können. Hier noch der KAV Online report: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Sonntag, 17. September 2006 16:55:09 Betriebssystem: Microsoft Windows XP Professional, (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 17/09/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 210982 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 61087 Viren gefunden: 0 Infizierte Objekte gefunden: 0 / 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 01:21:01 Name des infizierten Objekts / Virusname / Letzte Aktion C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001046.exe Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001047.dll Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001048.dll Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001049.exe Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001050.dll Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001051.exe Das Objekt ist gesperrt übersprungen C:\System Volume F-491F-8C17-F2FD edit Dieser Beitrag wurde am 17.09.2006 um 17:01 Uhr von tribe editiert.
|
|
|
||
17.09.2006, 20:09
Ehrenmitglied
Beiträge: 29434 |
#10
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. dann scanne noch mal mit kaspersky und berichte 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\4. Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"- Speichern als: Test.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt ) --------------------------------------------------- (was den escan bertrifft, du postest immer das gleiche, du musst vor einem neuen scan die alte log-File loeschen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.09.2006, 20:31
Member
Themenstarter Beiträge: 13 |
#11
Die Systemwiederherstellung war bereits deaktiviert, also spar ich mir mal den erneuten Scan mit Kaspersky.
Hier der Text beim listen.bat Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C Verzeichnis von D:\Programme 17.09.2006 14:40 <DIR> . 17.09.2006 14:40 <DIR> .. 28.09.2005 10:56 185.856 7za.exe 28.03.2006 19:38 <DIR> Adobe 12.09.2006 00:44 <DIR> Advanced GIF Animator 26.03.2006 18:16 <DIR> Ahead 26.03.2006 17:33 <DIR> Alcohol Soft 28.04.2006 23:06 <DIR> AnalogX 28.04.2006 21:31 <DIR> Anti-Blaxx 1.18 21.07.2006 22:26 <DIR> AntiVir PersonalEdition Classic 15.08.2006 22:38 <DIR> Audacity 1.3 Beta 16.09.2006 18:03 <DIR> avanger 13.04.2006 10:56 <DIR> BitComet 26.03.2006 18:23 <DIR> Brother 26.03.2006 16:43 <DIR> C-Media 3D Audio 15.05.2006 18:24 <DIR> CCleaner 16.09.2006 15:39 <DIR> CleanUp! 05.05.2006 23:00 <DIR> clonespy 26.03.2006 17:58 <DIR> Common Files 29.04.2006 14:58 <DIR> concept design 23.01.2006 15:36 429 datFind.bat 03.04.2006 18:48 <DIR> directx 17.08.2006 16:40 284.672 dr.exe 28.04.2006 21:49 <DIR> driver_view 26.03.2006 17:20 <DIR> eBay 06.09.2006 01:16 <DIR> eDonkey2000 16.09.2006 12:01 <DIR> Gemeinsame Dateien 26.03.2006 17:22 <DIR> Google 03.06.2006 22:25 <DIR> Hamachi 27.04.2006 18:14 <DIR> Hello 26.08.2006 12:25 <DIR> ICQLite 26.03.2006 21:44 <DIR> Internet Explorer 10.09.2006 20:06 <DIR> IrfanView 26.03.2006 17:17 <DIR> IVT Corporation 28.04.2006 22:03 <DIR> Jap 26.03.2006 18:46 <DIR> Java 26.03.2006 17:33 <DIR> Lavasoft 16.09.2006 11:58 <DIR> Lexware 26.03.2006 16:35 <DIR> Messenger 26.03.2006 16:30 <DIR> microsoft frontpage 26.03.2006 18:12 <DIR> Microsoft Office 26.03.2006 16:28 <DIR> Movie Maker 17.09.2006 20:18 <DIR> Mozilla Firefox 28.04.2006 21:31 <DIR> Mozilla Thunderbird 26.03.2006 16:27 <DIR> MSN Gaming Zone 16.08.2006 00:07 <DIR> MSN Messenger 29.06.2006 13:59 <DIR> NetMeeting 26.03.2006 16:29 <DIR> Online-Dienste 30.03.2006 20:39 <DIR> Opera 26.03.2006 16:28 <DIR> Outlook Express 23.07.2006 17:56 194.101 patcher.exe 26.03.2006 17:10 <DIR> QuickTime 26.03.2006 17:07 <DIR> Real 26.03.2006 17:57 <DIR> ScanSoft 15.05.2006 18:26 <DIR> Skype 26.03.2006 17:29 <DIR> Smart Projects 18.07.2006 21:42 <DIR> Sony 18.07.2006 21:42 <DIR> Sony Setup 27.08.2006 01:18 <DIR> sophos 02.04.2006 11:39 <DIR> Spybot - Search & Destroy 13.04.2006 14:15 <DIR> Sunbelt Software 15.08.2006 23:08 <DIR> TVAnts 30.07.2006 16:40 <DIR> Ubisoft 26.03.2006 17:37 <DIR> VGA USB Camera 26.06.2006 20:13 <DIR> Winamp 26.03.2006 17:30 <DIR> Windows Media Player 16.09.2006 13:47 <DIR> Windows Media-Komponenten 26.03.2006 16:27 <DIR> Windows NT 17.09.2006 14:40 <DIR> windpfind 28.04.2006 21:31 <DIR> WinRAR 15.04.2006 21:38 <DIR> WinZip 28.05.2006 17:34 435.756 wunauclt.exe 28.05.2006 17:46 397.306 wunauclt.tbe 28.05.2006 17:46 397.306 wunauclt.zip 26.03.2006 16:30 <DIR> xerox 26.03.2006 17:23 <DIR> xp-AntiSpy 7 Datei(en) 1.895.426 Bytes 69 Verzeichnis(se), 4.209.917.952 Bytes frei Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C Verzeichnis von D:\Programme 28.05.2006 17:46 397.306 wunauclt.tbe 1 Datei(en) 397.306 Bytes 0 Verzeichnis(se), 4.209.913.856 Bytes frei Datentr„ger in Laufwerk D: ist System Volumeseriennummer: D0DB-868C info.bat: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" |
|
|
||
17.09.2006, 21:23
Ehrenmitglied
Beiträge: 29434 |
#12
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html D:\Programme\wunauclt.exe D:\Programme\patcher.exe D:\Programme\7za.exe D:\Programme\dr.exe poste die reporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.09.2006, 22:36
Member
Themenstarter Beiträge: 13 |
#13
Complete scanning result of "7za.exe", received in VirusTotal at 09.17.2006, 22:23:32 (CET).
Antivirus Version Update Result AntiVir 7.2.0.16 09.16.2006 no virus found Authentium 4.93.8 09.17.2006 no virus found Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.15.2006 no virus found BitDefender 7.2 09.17.2006 no virus found CAT-QuickHeal 8.00 09.15.2006 (Suspicious) - DNAScan ClamAV devel-20060426 09.17.2006 no virus found DrWeb 4.33 09.17.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3078 09.15.2006 no virus found Ewido 4.0 09.17.2006 no virus found Fortinet 2.82.0.0 09.17.2006 no virus found F-Prot 3.16f 09.17.2006 no virus found F-Prot4 4.2.1.29 09.17.2006 no virus found Ikarus 0.2.65.0 09.16.2006 Trojan-Spy.Win32.Bancos.ha Kaspersky 4.0.2.24 09.17.2006 no virus found McAfee 4853 09.15.2006 no virus found Microsoft 1.1560 09.17.2006 no virus found NOD32v2 1.1759 09.16.2006 no virus found Norman 5.90.23 09.15.2006 no virus found Panda 9.0.0.4 09.17.2006 no virus found Sophos 4.09.0 09.17.2006 no virus found Symantec 8.0 09.17.2006 no virus found TheHacker 6.0.1.071 09.17.2006 no virus found UNA 1.83 09.15.2006 no virus found VBA32 3.11.1 09.17.2006 no virus found VirusBuster 4.3.7:9 09.17.2006 no virus found Aditional Information File size: 185856 bytes MD5: 3282e12c74e33297b1f1a545dfe3b0af SHA1: 503a07b04109ecd63aacd398852df95de55462f0 packers: PecBundle, PECompact Complete scanning result of "dr.exe", received in VirusTotal at 09.17.2006, 22:24:37 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.16.2006 no virus found Authentium 4.93.8 09.17.2006 no virus found Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.15.2006 no virus found BitDefender 7.2 09.17.2006 no virus found CAT-QuickHeal 8.00 09.15.2006 (Suspicious) - DNAScan ClamAV devel-20060426 09.17.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3078 09.15.2006 no virus found DrWeb 4.33 09.17.2006 no virus found Ewido 4.0 09.17.2006 no virus found Fortinet 2.82.0.0 09.17.2006 no virus found F-Prot 3.16f 09.17.2006 no virus found F-Prot4 4.2.1.29 09.17.2006 no virus found Ikarus 0.2.65.0 09.16.2006 no virus found Kaspersky 4.0.2.24 09.17.2006 no virus found McAfee 4853 09.15.2006 W32/Kelvir.worm.gen Microsoft 1.1560 09.17.2006 no virus found NOD32v2 1.1759 09.16.2006 no virus found Norman 5.80.02 09.15.2006 no virus found Panda 9.0.0.4 09.17.2006 Suspicious file Sophos 4.09.0 09.17.2006 no virus found Symantec 8.0 09.17.2006 no virus found TheHacker 6.0.1.071 09.17.2006 W32/Kelvir.worm.gen UNA 1.83 09.15.2006 no virus found VBA32 3.11.1 09.17.2006 no virus found VirusBuster 4.3.7:9 09.17.2006 no virus found Aditional Information File size: 284672 bytes MD5: b769c3dfec6db76909478deec5391979 SHA1: b187441c755a6f196f56f155cd7cce3c870d3328 packers: Aspack Complete scanning result of "patcher.exe", received in VirusTotal at 09.17.2006, 22:24:49 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.16.2006 no virus found Authentium 4.93.8 09.17.2006 no virus found Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.15.2006 no virus found BitDefender 7.2 09.17.2006 no virus found CAT-QuickHeal 8.00 09.15.2006 no virus found ClamAV devel-20060426 09.17.2006 no virus found DrWeb 4.33 09.17.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3078 09.15.2006 no virus found Ewido 4.0 09.17.2006 no virus found Fortinet 2.82.0.0 09.17.2006 suspicious F-Prot 3.16f 09.17.2006 no virus found F-Prot4 4.2.1.29 09.17.2006 no virus found Ikarus 0.2.65.0 09.16.2006 no virus found Kaspersky 4.0.2.24 09.17.2006 no virus found McAfee 4853 09.15.2006 no virus found Microsoft 1.1560 09.17.2006 no virus found NOD32v2 1.1759 09.16.2006 no virus found Norman 5.90.23 09.15.2006 no virus found Panda 9.0.0.4 09.17.2006 no virus found Sophos 4.09.0 09.17.2006 no virus found Symantec 8.0 09.17.2006 no virus found TheHacker 6.0.1.071 09.17.2006 no virus found UNA 1.83 09.15.2006 no virus found VBA32 3.11.1 09.17.2006 no virus found VirusBuster 4.3.7:9 09.17.2006 no virus found Aditional Information File size: 194101 bytes MD5: cdd9907d0be9082e89f0c9b7291cfe82 SHA1: fd36b7cc59adce9034ea4ef97e54b3a0f1c6d6e0 packers: UPX Complete scanning result of "wunauclt.exe", received in VirusTotal at 09.17.2006, 22:25:15 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.16.2006 no virus found Authentium 4.93.8 09.17.2006 Possibly a new variant of W32/Thread-HLLAN-based!Maximus Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.15.2006 no virus found BitDefender 7.2 09.17.2006 no virus found CAT-QuickHeal 8.00 09.15.2006 no virus found ClamAV devel-20060426 09.17.2006 no virus found DrWeb 4.33 09.17.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3078 09.15.2006 no virus found Ewido 4.0 09.17.2006 no virus found Fortinet 2.82.0.0 09.17.2006 W32/Istbar.ZE!tr.dldr F-Prot 3.16f 09.17.2006 Possibly a new variant of W32/Thread-HLLAN-based!Maximus F-Prot4 4.2.1.29 09.17.2006 W32/Thread-HLLAN-based!Maximus Ikarus 0.2.65.0 09.16.2006 Backdoor.Win32.Hupigon.BV Kaspersky 4.0.2.24 09.17.2006 no virus found McAfee 4853 09.15.2006 New Malware.u Microsoft 1.1560 09.17.2006 no virus found NOD32v2 1.1759 09.16.2006 no virus found Norman 5.90.23 09.15.2006 no virus found Panda 9.0.0.4 09.17.2006 no virus found Sophos 4.09.0 09.17.2006 no virus found Symantec 8.0 09.17.2006 no virus found TheHacker 6.0.1.071 09.17.2006 no virus found UNA 1.83 09.15.2006 no virus found VBA32 3.11.1 09.17.2006 no virus found VirusBuster 4.3.7:9 09.17.2006 no virus found Aditional Information File size: 435756 bytes MD5: 5cdeae3cf73a9d1490a4c83eb0e543e9 SHA1: edbaaa2107217ec2df0c4c0b96031da37b6b9d38 packers: Packed |
|
|
||
18.09.2006, 01:22
Ehrenmitglied
Beiträge: 29434 |
#14
1.
lade von dieser Seite: bankerfix, scanne und poste den report http://virus-protect.org/artikel/spyware/tasklist32_remove.html 2. Avenger Zitat Files to delete:poste den report 3. scanne mit Free Online Virus Scan - Authentium und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.09.2006, 13:02
Member
Themenstarter Beiträge: 13 |
#15
1:
INICIANDO BANKER FIX ======================================================= INICIANDO FOX FIX ======================================================= Iniciando Log do PV ----------------------------------- Killing '*' Arquivos a remover ----------------------------------- Arquivos ruins restantes ----------------------------------- Reg Importado ----------------------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 2: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\oeyturte ******************* Script file located at: \??\D:\WINDOWS\bwwjwfva.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at D:\Avenger ******************* Beginning to process script file: File D:\WINDOWS\System32\msgsple.dll deleted successfully. File D:\Programme\7za.exe deleted successfully. File D:\Programme\dr.exe deleted successfully. File D:\Programme\wunauclt.exe deleted successfully. File D:\Programme\wunauclt.tbe deleted successfully. deleted successfully. Completed script processing. ******************* Finished! Terminate. Hier sind allerdings noch Einträge von der Datei "C:\WINDOWS\System32\msgsple.dll" vorhanden: HKEY_CLASSES_ROOT\CLSID\{F6C95B20-E9D5-4927-8C00-2B03B554417D}\InprocServer32 HKEY_CLASSES_ROOT\TypeLib\{114C761E-82E0-4AD7-8501-ACAB07232804}\1.0\0\win32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6C95B20-E9D5-4927-8C00-2B03B554417D}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{114C761E-82E0-4AD7-8501-ACAB07232804}\1.0\0\win32 Hat das was zu bedeuten oder sind diese Einträge normal und nicht auf den Trojaner zurückzuführen? 3: eine reportdatei find ich dirgends, aber COD hat bei der Liste der infizierten dateien nur das Backup von Avanger angeprangert. |
|
|
||
habe gerade einen Scan mit Spybot Search&Destroy durchgeführt, dabei wurde der Trojaner Prorat-d entdeckt, den ich auch löschen konnte. Da ich mir allerdings nicht sicher war, ob der Trojaner bereits schaden angerichtet hat,
habe ich noch einen Scan mit eScan gemacht. Dort wurde der Trojaner "backdoor.win32.prorat.fl gefunden. Hier Auszüge aus dem log:
Sat Sep 16 05:16:03 2006 => Scanne Datei D:\WINDOWS\System32\msgsple.dll
Sat Sep 16 05:16:09 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:14 2006 => Scanne Datei D:\WINDOWS\System32\msgsple.dll
Sat Sep 16 05:16:14 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:28 2006 => Scanne Datei D:\WINDOWS\System32\DRIVERS\ipnat.sys
Sat Sep 16 05:16:28 2006 => ERROR!!! Invalid Entry D:\Programme\iPod\bin\iPodService.exe in SYSTEM\CurrentControlSet\Services\iPodService...
Sat Sep 16 05:16:28 2006 => Scanne Datei D:\WINDOWS\System32\svchost.exe
Sat Sep 16 05:16:29 2006 => ERROR!!! Invalid Entry \??\D:\WINDOWS\System32\SophosMEMSWEEP.SYS in SYSTEM\CurrentControlSet\Services\MEMSWEEP2...
Sat Sep 16 05:16:29 2006 => Scanne Datei D:\WINDOWS\System32\svchost.exe
Sat Sep 16 05:16:31 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Sep 16 05:16:31 2006 => Loading Spyware Signatures from new External Database (Size: 162924).
Sat Sep 16 05:16:33 2006 => Indexed Spyware Databases Successfully Created...
Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
Sat Sep 16 05:16:46 2006 => Offending file found: D:\WINDOWS\services.exe
Sat Sep 16 05:16:46 2006 => System found infected with bravesentry Spyware/Adware (D:\WINDOWS\services.exe)! Action taken: Keine Aktion vorgenommen.
Sat Sep 16 05:16:46 2006 => Checking CLSID Reference Entries...
Sat Sep 16 05:16:48 2006 => Checking Module Usage Entries...
Sat Sep 16 05:16:48 2006 => Checking User Trusted External App Entries...
Sat Sep 16 05:16:48 2006 => Checking Shared DLL Entries...
Sat Sep 16 05:16:55 2006 => Checking App Path Entries...
Sat Sep 16 05:16:55 2006 => Checking Installer Entries...
Sat Sep 16 05:16:56 2006 => Checking Shared Tools Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Shared Tools\DAO" verweist auf das ungültige Objekt "D:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Checking File Extension Entries...
Sat Sep 16 05:16:56 2006 => Checking Application Cache Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB810217". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB821253". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB823182". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824105". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824141". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB825119". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB826939". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB828035". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB829558". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:57 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 05:16:57 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 05:17:12 2006 => Scanne Datei D:\WINDOWS\System32\fservice.exe
Sat Sep 16 05:17:13 2006 => Datei D:\WINDOWS\System32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 05:17:28 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
6 05:46:36 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 05:46:36 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 05:46:36 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 05:46:36 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 05:46:36 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 05:46:36 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat
6 05:49:50 2006 => Scanne Datei D:\pagefile.sys
Sat Sep 16 05:49:50 2006 => Result: ERROR!!! File D:\pagefile.sys: Scanning Failure!!!
Sat Sep 16 05:49:50 2006 => ERROR!!! ScanFile fails for D:\pagefile.sys
Sat Sep 16 06:19:31 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 06:19:31 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 06:19:32 2006 => Scanne Datei D:\WINDOWS\system\sservice.exe
Sat Sep 16 06:19:32 2006 => Datei D:\WINDOWS\system\sservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 06:21:06 2006 => Scanne Datei D:\WINDOWS\system32\fservice.exe
Sat Sep 16 06:21:06 2006 => Datei D:\WINDOWS\system32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 06:21:24 2006 => Scanne Datei D:\WINDOWS\system32\msgsple.dll
Sat Sep 16 06:21:24 2006 => File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
und zusätzlich noch der Hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 06:02:05, on 16.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\snmp.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\DOKUME~1\Florian\LOKALE~1\Temp\mexe.com
D:\DOKUME~1\Florian\LOKALE~1\Temp\kavss.exe
D:\WINDOWS\regedit.com
C:\Programme\Hijackthis\HijackThis.exe
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C80CA3F7-ECCA-45A8-8A8A-7DE50B211A69}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - D:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Könnt ihr mir da weiterhelfen? Wie werde ich den Trojaner los?
ok, hab jetzt mal den AntiVir drüber laufen lassen und hab die infizierten daten in quarantäne gestellt. Jetzt schau ich mal, ob eScan noch was findet.
Hier der Log von AntiVir:
D:\Dokumente und Einstellungen\Florian\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\sl1s020y.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Programme\serial.dat
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d9050.qua' verschoben!
D:\Programme\serial.zip
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d905e.qua' verschoben!
D:\Programme\shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090dd.qua' verschoben!
D:\Programme\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090f6.qua' verschoben!
D:\Programme\wunauclt.tbe
[0] Archivtyp: ZIP
--> wunauclt.exe
[WARNUNG] Das gesamte Archiv ist passwortgeschützt
D:\Programme\wunauclt.zip
[0] Archivtyp: ZIP
--> wunauclt.exe
[WARNUNG] Das gesamte Archiv ist passwortgeschützt
D:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask
[0] Archivtyp: ZIP
--> Ad-Aware SE Default.skn
[WARNUNG] Das gesamte Archiv ist passwortgeschützt
D:\WINDOWS\services.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d93eb.qua' verschoben!
D:\WINDOWS\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45709419.qua' verschoben!
D:\WINDOWS\system\sservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094dd.qua' verschoben!
D:\WINDOWS\system32\fservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094ff.qua' verschoben!
D:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\drivers\sptd8365.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\Temp\Perflib_Perfdata_65c.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
So hier der neue eScan log:
Sat Sep 16 05:16:09 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:14 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:28 2006 => ERROR!!! Invalid Entry D:\Programme\iPod\bin\iPodService.exe in SYSTEM\CurrentControlSet\Services\iPodService...
Sat Sep 16 05:16:29 2006 => ERROR!!! Invalid Entry \??\D:\WINDOWS\System32\SophosMEMSWEEP.SYS in SYSTEM\CurrentControlSet\Services\MEMSWEEP2...
Sat Sep 16 05:16:30 2006 => ***** D:\WINDOWS\System32\Drivers\sptd.sys File Locked!!! Scanning may fail...
Sat Sep 16 05:16:31 2006 => ***** D:\WINDOWS\System32\Drivers\vaxscsi.sys File Locked!!! Scanning may fail...
Sat Sep 16 05:16:31 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Sat Sep 16 05:16:31 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Sep 16 05:16:31 2006 => Loading Spyware Signatures from new External Database (Size: 162924).
Sat Sep 16 05:16:33 2006 => Indexed Spyware Databases Successfully Created...
Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.
Sat Sep 16 05:16:46 2006 => Offending file found: D:\WINDOWS\services.exe
Sat Sep 16 05:16:46 2006 => System found infected with bravesentry Spyware/Adware (D:\WINDOWS\services.exe)! Action taken: Keine Aktion vorgenommen.
Sat Sep 16 05:16:46 2006 => Checking CLSID Reference Entries...
Sat Sep 16 05:16:48 2006 => Checking Module Usage Entries...
Sat Sep 16 05:16:48 2006 => Checking User Trusted External App Entries...
Sat Sep 16 05:16:48 2006 => Checking Shared DLL Entries...
Sat Sep 16 05:16:55 2006 => Checking App Path Entries...
Sat Sep 16 05:16:55 2006 => Checking Installer Entries...
Sat Sep 16 05:16:56 2006 => Checking Shared Tools Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Shared Tools\DAO" verweist auf das ungültige Objekt "D:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Checking File Extension Entries...
Sat Sep 16 05:16:56 2006 => Checking Application Cache Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB810217". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB821253". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB823182". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824105". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824141". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB825119". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB826939". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB828035". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB829558". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 05:16:57 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 05:16:57 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 05:17:12 2006 => Scanne Datei D:\WINDOWS\System32\fservice.exe
Sat Sep 16 05:17:13 2006 => Datei D:\WINDOWS\System32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 05:17:27 2006 => Scanne Datei D:\WINDOWS\System32\msgsple.dll
Sat Sep 16 05:17:28 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 06:12:35 2006 => Scanne Datei D:\Programme\wunauclt.tbe
Sat Sep 16 06:12:35 2006 => Result: ERROR!!! File D:\Programme\wunauclt.tbe is Not Scanned
Sat Sep 16 06:12:35 2006 => D:\Programme\wunauclt.tbe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 06:12:35 2006 => Scanne Datei D:\Programme\wunauclt.zip
Sat Sep 16 06:12:35 2006 => Result: ERROR!!! File D:\Programme\wunauclt.zip is Not Scanned
Sat Sep 16 06:12:35 2006 => D:\Programme\wunauclt.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 06:19:31 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 06:19:31 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 06:19:32 2006 => Scanne Datei D:\WINDOWS\system\sservice.exe
Sat Sep 16 06:19:32 2006 => Datei D:\WINDOWS\system\sservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 06:21:06 2006 => Scanne Datei D:\WINDOWS\system32\fservice.exe
Sat Sep 16 06:21:06 2006 => Datei D:\WINDOWS\system32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Sat Sep 16 06:21:24 2006 => Scanne Datei D:\WINDOWS\system32\msgsple.dll
Sat Sep 16 06:21:24 2006 => File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Sep 16 08:48:04 2006 => Scanne Datei C:\System Volume Information\_restore{F74667C7-9FA9-469E-BA8A-CE43AB69649B}\RP9\A0000177.exe
Sat Sep 16 08:48:07 2006 => Result: ERROR!!! File C:\System Volume Information\_restore{F74667C7-9FA9-469E-BA8A-CE43AB69649B}\RP9\A0000177.exe is Not Scanned
Sat Sep 16 08:48:07 2006 => C:\System Volume Information\_restore{F74667C7-9FA9-469E-BA8A-CE43AB69649B}\RP9\A0000177.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 08:55:15 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:55:15 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 08:55:15 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:55:15 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:55:15 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 08:55:15 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:59:05 2006 => Scanne Datei D:\pagefile.sys
Sat Sep 16 08:59:05 2006 => Result: ERROR!!! File D:\pagefile.sys: Scanning Failure!!!
Sat Sep 16 08:59:05 2006 => ERROR!!! ScanFile fails for D:\pagefile.sys
Sat Sep 16 09:21:28 2006 => Result: ERROR!!! File D:\Programme\wunauclt.tbe is Not Scanned
Sat Sep 16 09:21:28 2006 => D:\Programme\wunauclt.tbe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 09:21:28 2006 => Scanne Datei D:\Programme\wunauclt.zip
Sat Sep 16 09:21:28 2006 => Result: ERROR!!! File D:\Programme\wunauclt.zip is Not Scanned
Sat Sep 16 09:21:28 2006 => D:\Programme\wunauclt.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 09:30:25 2006 => Scanne Datei D:\WINDOWS\system32\msgsple.dll
Sat Sep 16 09:30:25 2006 => File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.