backdoor.win32.prorat.fl

#1 Hallo,

habe gerade einen Scan mit Spybot Search&Destroy durchgeführt, dabei wurde der Trojaner Prorat-d entdeckt, den ich auch löschen konnte. Da ich mir allerdings nicht sicher war, ob der Trojaner bereits schaden angerichtet hat,
habe ich noch einen Scan mit eScan gemacht. Dort wurde der Trojaner "backdoor.win32.prorat.fl gefunden. Hier Auszüge aus dem log:

Sat Sep 16 05:16:03 2006 => Scanne Datei D:\WINDOWS\System32\msgsple.dll
Sat Sep 16 05:16:09 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:14 2006 => Scanne Datei D:\WINDOWS\System32\msgsple.dll
Sat Sep 16 05:16:14 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:28 2006 => Scanne Datei D:\WINDOWS\System32\DRIVERS\ipnat.sys
Sat Sep 16 05:16:28 2006 => ERROR!!! Invalid Entry D:\Programme\iPod\bin\iPodService.exe in SYSTEM\CurrentControlSet\Services\iPodService...
Sat Sep 16 05:16:28 2006 => Scanne Datei D:\WINDOWS\System32\svchost.exe

Sat Sep 16 05:16:29 2006 => ERROR!!! Invalid Entry \??\D:\WINDOWS\System32\SophosMEMSWEEP.SYS in SYSTEM\CurrentControlSet\Services\MEMSWEEP2...
Sat Sep 16 05:16:29 2006 => Scanne Datei D:\WINDOWS\System32\svchost.exe

Sat Sep 16 05:16:31 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Sep 16 05:16:31 2006 => Loading Spyware Signatures from new External Database (Size: 162924).
Sat Sep 16 05:16:33 2006 => Indexed Spyware Databases Successfully Created...

Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.

Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.

Sat Sep 16 05:16:46 2006 => Offending file found: D:\WINDOWS\services.exe
Sat Sep 16 05:16:46 2006 => System found infected with bravesentry Spyware/Adware (D:\WINDOWS\services.exe)! Action taken: Keine Aktion vorgenommen.

Sat Sep 16 05:16:46 2006 => Checking CLSID Reference Entries...
Sat Sep 16 05:16:48 2006 => Checking Module Usage Entries...
Sat Sep 16 05:16:48 2006 => Checking User Trusted External App Entries...
Sat Sep 16 05:16:48 2006 => Checking Shared DLL Entries...
Sat Sep 16 05:16:55 2006 => Checking App Path Entries...
Sat Sep 16 05:16:55 2006 => Checking Installer Entries...
Sat Sep 16 05:16:56 2006 => Checking Shared Tools Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Shared Tools\DAO" verweist auf das ungültige Objekt "D:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Checking File Extension Entries...
Sat Sep 16 05:16:56 2006 => Checking Application Cache Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB810217". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB821253". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB823182". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824105". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824141". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB825119". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB826939". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB828035". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB829558". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:57 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 05:16:57 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 05:17:12 2006 => Scanne Datei D:\WINDOWS\System32\fservice.exe
Sat Sep 16 05:17:13 2006 => Datei D:\WINDOWS\System32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 05:17:28 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

6 05:46:36 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 05:46:36 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 05:46:36 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 05:46:36 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 05:46:36 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 05:46:36 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat

6 05:49:50 2006 => Scanne Datei D:\pagefile.sys
Sat Sep 16 05:49:50 2006 => Result: ERROR!!! File D:\pagefile.sys: Scanning Failure!!!
Sat Sep 16 05:49:50 2006 => ERROR!!! ScanFile fails for D:\pagefile.sys

Sat Sep 16 06:19:31 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 06:19:31 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 06:19:32 2006 => Scanne Datei D:\WINDOWS\system\sservice.exe
Sat Sep 16 06:19:32 2006 => Datei D:\WINDOWS\system\sservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 06:21:06 2006 => Scanne Datei D:\WINDOWS\system32\fservice.exe
Sat Sep 16 06:21:06 2006 => Datei D:\WINDOWS\system32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 06:21:24 2006 => Scanne Datei D:\WINDOWS\system32\msgsple.dll
Sat Sep 16 06:21:24 2006 => File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.




und zusätzlich noch der Hijackthis log:


Logfile of HijackThis v1.99.1
Scan saved at 06:02:05, on 16.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\snmp.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\DOKUME~1\Florian\LOKALE~1\Temp\mexe.com
D:\DOKUME~1\Florian\LOKALE~1\Temp\kavss.exe
D:\WINDOWS\regedit.com
C:\Programme\Hijackthis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C80CA3F7-ECCA-45A8-8A8A-7DE50B211A69}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - D:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



Könnt ihr mir da weiterhelfen? Wie werde ich den Trojaner los?




ok, hab jetzt mal den AntiVir drüber laufen lassen und hab die infizierten daten in quarantäne gestellt. Jetzt schau ich mal, ob eScan noch was findet.

Hier der Log von AntiVir:

D:\Dokumente und Einstellungen\Florian\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\sl1s020y.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\Programme\serial.dat
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d9050.qua' verschoben!
D:\Programme\serial.zip
[0] Archivtyp: ZIP
--> user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d905e.qua' verschoben!
D:\Programme\shell32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090dd.qua' verschoben!
D:\Programme\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457090f6.qua' verschoben!
D:\Programme\wunauclt.tbe
[0] Archivtyp: ZIP
--> wunauclt.exe
[WARNUNG] Das gesamte Archiv ist passwortgeschützt
D:\Programme\wunauclt.zip
[0] Archivtyp: ZIP
--> wunauclt.exe
[WARNUNG] Das gesamte Archiv ist passwortgeschützt
D:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask
[0] Archivtyp: ZIP
--> Ad-Aware SE Default.skn
[WARNUNG] Das gesamte Archiv ist passwortgeschützt
D:\WINDOWS\services.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457d93eb.qua' verschoben!
D:\WINDOWS\user32.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45709419.qua' verschoben!
D:\WINDOWS\system\sservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094dd.qua' verschoben!
D:\WINDOWS\system32\fservice.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457094ff.qua' verschoben!
D:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\drivers\sptd8365.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!
D:\WINDOWS\Temp\Perflib_Perfdata_65c.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Fehlercode: 0x000D
[WARNUNG] Zugriffsfehler! Die Datei ist gesperrt!


So hier der neue eScan log:

Sat Sep 16 05:16:09 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:14 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:28 2006 => ERROR!!! Invalid Entry D:\Programme\iPod\bin\iPodService.exe in SYSTEM\CurrentControlSet\Services\iPodService...

Sat Sep 16 05:16:29 2006 => ERROR!!! Invalid Entry \??\D:\WINDOWS\System32\SophosMEMSWEEP.SYS in SYSTEM\CurrentControlSet\Services\MEMSWEEP2...

Sat Sep 16 05:16:30 2006 => ***** D:\WINDOWS\System32\Drivers\sptd.sys File Locked!!! Scanning may fail...

Sat Sep 16 05:16:31 2006 => ***** D:\WINDOWS\System32\Drivers\vaxscsi.sys File Locked!!! Scanning may fail...

Sat Sep 16 05:16:31 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Sat Sep 16 05:16:31 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Sep 16 05:16:31 2006 => Loading Spyware Signatures from new External Database (Size: 162924).
Sat Sep 16 05:16:33 2006 => Indexed Spyware Databases Successfully Created...

Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.

Sat Sep 16 05:16:46 2006 => System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen.

Sat Sep 16 05:16:46 2006 => Offending file found: D:\WINDOWS\services.exe
Sat Sep 16 05:16:46 2006 => System found infected with bravesentry Spyware/Adware (D:\WINDOWS\services.exe)! Action taken: Keine Aktion vorgenommen.

Sat Sep 16 05:16:46 2006 => Checking CLSID Reference Entries...
Sat Sep 16 05:16:48 2006 => Checking Module Usage Entries...
Sat Sep 16 05:16:48 2006 => Checking User Trusted External App Entries...
Sat Sep 16 05:16:48 2006 => Checking Shared DLL Entries...
Sat Sep 16 05:16:55 2006 => Checking App Path Entries...
Sat Sep 16 05:16:55 2006 => Checking Installer Entries...
Sat Sep 16 05:16:56 2006 => Checking Shared Tools Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Shared Tools\DAO" verweist auf das ungültige Objekt "D:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Checking File Extension Entries...
Sat Sep 16 05:16:56 2006 => Checking Application Cache Entries...
Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB810217". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB821253". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB823182". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824105". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB824141". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB825119". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB826939". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB828035". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:56 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB829558". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 05:16:57 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 05:16:57 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 05:17:12 2006 => Scanne Datei D:\WINDOWS\System32\fservice.exe
Sat Sep 16 05:17:13 2006 => Datei D:\WINDOWS\System32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 05:17:27 2006 => Scanne Datei D:\WINDOWS\System32\msgsple.dll
Sat Sep 16 05:17:28 2006 => File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 06:12:35 2006 => Scanne Datei D:\Programme\wunauclt.tbe
Sat Sep 16 06:12:35 2006 => Result: ERROR!!! File D:\Programme\wunauclt.tbe is Not Scanned
Sat Sep 16 06:12:35 2006 => D:\Programme\wunauclt.tbe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 06:12:35 2006 => Scanne Datei D:\Programme\wunauclt.zip
Sat Sep 16 06:12:35 2006 => Result: ERROR!!! File D:\Programme\wunauclt.zip is Not Scanned
Sat Sep 16 06:12:35 2006 => D:\Programme\wunauclt.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...

Sat Sep 16 06:19:31 2006 => Scanne Datei D:\WINDOWS\services.exe
Sat Sep 16 06:19:31 2006 => Datei D:\WINDOWS\services.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 06:19:32 2006 => Scanne Datei D:\WINDOWS\system\sservice.exe
Sat Sep 16 06:19:32 2006 => Datei D:\WINDOWS\system\sservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 06:21:06 2006 => Scanne Datei D:\WINDOWS\system32\fservice.exe
Sat Sep 16 06:21:06 2006 => Datei D:\WINDOWS\system32\fservice.exe infiziert von "Backdoor.Win32.Prorat.fl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Sep 16 06:21:24 2006 => Scanne Datei D:\WINDOWS\system32\msgsple.dll
Sat Sep 16 06:21:24 2006 => File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Sep 16 08:48:04 2006 => Scanne Datei C:\System Volume Information\_restore{F74667C7-9FA9-469E-BA8A-CE43AB69649B}\RP9\A0000177.exe
Sat Sep 16 08:48:07 2006 => Result: ERROR!!! File C:\System Volume Information\_restore{F74667C7-9FA9-469E-BA8A-CE43AB69649B}\RP9\A0000177.exe is Not Scanned
Sat Sep 16 08:48:07 2006 => C:\System Volume Information\_restore{F74667C7-9FA9-469E-BA8A-CE43AB69649B}\RP9\A0000177.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...

Sat Sep 16 08:55:15 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:55:15 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 08:55:15 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:55:15 2006 => Scanne Datei D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Sat Sep 16 08:55:15 2006 => Result: ERROR!!! File D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p????????? : Scanning Failure!!!
Sat Sep 16 08:55:15 2006 => ERROR!!! ScanFile fails for D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SecuROM\UserData\???????????p?????????

Sat Sep 16 08:59:05 2006 => Scanne Datei D:\pagefile.sys
Sat Sep 16 08:59:05 2006 => Result: ERROR!!! File D:\pagefile.sys: Scanning Failure!!!
Sat Sep 16 08:59:05 2006 => ERROR!!! ScanFile fails for D:\pagefile.sys

Sat Sep 16 09:21:28 2006 => Result: ERROR!!! File D:\Programme\wunauclt.tbe is Not Scanned
Sat Sep 16 09:21:28 2006 => D:\Programme\wunauclt.tbe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Sat Sep 16 09:21:28 2006 => Scanne Datei D:\Programme\wunauclt.zip
Sat Sep 16 09:21:28 2006 => Result: ERROR!!! File D:\Programme\wunauclt.zip is Not Scanned
Sat Sep 16 09:21:28 2006 => D:\Programme\wunauclt.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...

Sat Sep 16 09:30:25 2006 => Scanne Datei D:\WINDOWS\system32\msgsple.dll
Sat Sep 16 09:30:25 2006 => File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

#2 poste das log
http://virus-protect.org/winpfind.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die schnelle Hilfe. Hier der Log:



WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows sometimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Logfile created on: 16.09.2006 15:52:23
WinPFind v1.5.0 Folder = D:\Programme\windpfind\WinPFind\
Microsoft Windows XP (Version = 5.1.2600)
Internet Explorer (Version = 6.0.2600.0000)

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...
PEC2 28.09.2005 10:56:46 185856 D:\Programme\7za.exe ()
PECompact2 28.09.2005 10:56:46 185856 D:\Programme\7za.exe ()
UPX! 23.07.2006 17:56:22 194101 D:\Programme\patcher.exe ()
aspack 28.05.2006 17:34:30 435756 D:\Programme\wunauclt.exe (Microsoft Corporation)

Checking %WinDir% folder...

Checking %System% folder...
aspack 18.03.2005 17:19:58 2337488 D:\WINDOWS\SYSTEM32\d3dx9_25.dll (Microsoft Corporation)
aspack 26.05.2005 15:34:52 2297552 D:\WINDOWS\SYSTEM32\d3dx9_26.dll (Microsoft Corporation)
aspack 22.07.2005 19:59:04 2319568 D:\WINDOWS\SYSTEM32\d3dx9_27.dll (Microsoft Corporation)
aspack 05.12.2005 18:09:18 2323664 D:\WINDOWS\SYSTEM32\d3dx9_28.dll (Microsoft Corporation)
aspack 03.02.2006 08:43:16 2332368 D:\WINDOWS\SYSTEM32\d3dx9_29.dll (Microsoft Corporation)
aspack 31.03.2006 12:40:58 2388176 D:\WINDOWS\SYSTEM32\d3dx9_30.dll (Microsoft Corporation)
PEC2 18.08.2001 14:00:00 41118 D:\WINDOWS\SYSTEM32\dfrg.msc ()
WSUD 18.08.2001 14:00:00 1164288 D:\WINDOWS\SYSTEM32\ntbackup.exe (Microsoft Corporation)
WSUD 18.08.2001 14:00:00 259072 D:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
Umonitor 18.08.2001 14:00:00 659456 D:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation)
winsync 18.08.2001 14:00:00 1309184 D:\WINDOWS\SYSTEM32\wbdbase.deu ()

Checking %System%\Drivers folder and sub-folders...
PEC2 25.03.2005 17:18:48 82148 D:\WINDOWS\SYSTEM32\drivers\VcommMgr.sys (IVT Corporation)

Items found in D:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
16.09.2006 15:45:00 S 2048 D:\WINDOWS\bootstat.dat ()
16.09.2006 13:47:32 H 0 D:\WINDOWS\LastGood\INF\asferr.inf ()
16.09.2006 13:47:32 H 0 D:\WINDOWS\LastGood\INF\asferr.PNF ()
16.08.2006 01:26:30 H 0 D:\WINDOWS\LastGood\INF\oem20.inf ()
16.08.2006 01:26:30 H 0 D:\WINDOWS\LastGood\INF\oem20.PNF ()
16.09.2006 13:47:40 H 0 D:\WINDOWS\LastGood\INF\wmstypelib.inf ()
16.09.2006 13:47:40 H 0 D:\WINDOWS\LastGood\INF\wmstypelib.PNF ()
16.09.2006 15:52:20 H 1024 D:\WINDOWS\system32\config\default.LOG ()
16.09.2006 15:47:22 H 1024 D:\WINDOWS\system32\config\SAM.LOG ()
16.09.2006 15:45:52 H 1024 D:\WINDOWS\system32\config\SECURITY.LOG ()
16.09.2006 15:53:10 H 1024 D:\WINDOWS\system32\config\software.LOG ()
16.09.2006 15:48:22 H 1024 D:\WINDOWS\system32\config\system.LOG ()
16.09.2006 15:45:04 H 6 D:\WINDOWS\Tasks\SA.DAT ()

Checking for CPL files...
18.08.2001 14:00:00 68096 D:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation)
18.08.2001 14:00:00 563712 D:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation)
18.08.2001 14:00:00 133120 D:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation)
18.08.2001 14:00:00 152064 D:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation)
14.01.2004 18:57:18 57344 D:\WINDOWS\SYSTEM32\ImageDrive.cpl (Ahead Software AG)
18.08.2001 14:00:00 295936 D:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation)
18.08.2001 14:00:00 123392 D:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation)
18.08.2001 05:55:10 48640 D:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation)
29.08.2002 03:41:00 208896 D:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation)
03.06.2005 03:52:54 49265 D:\WINDOWS\SYSTEM32\jpicpl32.cpl (Sun Microsystems, Inc.)
18.08.2001 14:00:00 189440 D:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation)
18.08.2001 14:00:00 566272 D:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation)
18.08.2001 14:00:00 35840 D:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation)
18.08.2001 14:00:00 259072 D:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
09.03.2006 15:29:00 73728 D:\WINDOWS\SYSTEM32\nvtuicpl.cpl ()
18.08.2001 14:00:00 38400 D:\WINDOWS\SYSTEM32\nwc.cpl (Microsoft Corporation)
18.08.2001 14:00:00 36864 D:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation)
18.08.2001 14:00:00 111616 D:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation)
16.04.2004 16:00:22 324608 D:\WINDOWS\SYSTEM32\QuickTime.cpl (Apple Computer, Inc.)
18.08.2001 14:00:00 275456 D:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation)
18.08.2001 14:00:00 28160 D:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation)
18.08.2001 14:00:00 90112 D:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation)
18.08.2001 14:00:00 68096 D:\WINDOWS\SYSTEM32\dllcache\access.cpl (Microsoft Corporation)
18.08.2001 14:00:00 563712 D:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl (Microsoft Corporation)
18.08.2001 14:00:00 133120 D:\WINDOWS\SYSTEM32\dllcache\desk.cpl (Microsoft Corporation)
18.08.2001 14:00:00 152064 D:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl (Microsoft Corporation)
18.08.2001 14:00:00 295936 D:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl (Microsoft Corporation)
18.08.2001 14:00:00 123392 D:\WINDOWS\SYSTEM32\dllcache\intl.cpl (Microsoft Corporation)
29.08.2002 03:41:00 208896 D:\WINDOWS\SYSTEM32\dllcache\joy.cpl (Microsoft Corporation)
18.08.2001 14:00:00 189440 D:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation)
18.08.2001 14:00:00 566272 D:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl (Microsoft Corporation)
18.08.2001 14:00:00 35840 D:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation)
18.08.2001 14:00:00 259072 D:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl (Microsoft Corporation)
18.08.2001 14:00:00 38400 D:\WINDOWS\SYSTEM32\dllcache\nwc.cpl (Microsoft Corporation)
18.08.2001 14:00:00 36864 D:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl (Microsoft Corporation)
18.08.2001 14:00:00 111616 D:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl (Microsoft Corporation)
18.08.2001 14:00:00 151552 D:\WINDOWS\SYSTEM32\dllcache\sapi.cpl (Microsoft Corporation)
18.08.2001 14:00:00 275456 D:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl (Microsoft Corporation)
18.08.2001 14:00:00 28160 D:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation)
18.08.2001 14:00:00 90112 D:\WINDOWS\SYSTEM32\dllcache\timedate.cpl (Microsoft Corporation)
04.08.2003 14:05:14 R 73728 D:\WINDOWS\SYSTEM32\drivers\SCBaud.cpl (Socket Communications Inc.)

Checking for Downloaded Program Files...
{8AD9C840-044E-11D1-B3E9-00805F499D93} - Java Plug-in 1.5.0_04 - CodeBase = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} - Java Plug-in 1.5.0_04 - CodeBase = http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
26.03.2006 16:30:22 HS 84 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()

Checking files in %ALLUSERSPROFILE%\Application Data folder...
28.04.2006 21:34:58 305 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html ()
26.03.2006 17:22:02 HS 62 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini ()

Checking files in %USERPROFILE%\Startup folder...
26.03.2006 16:30:22 HS 84 D:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\desktop.ini ()

Checking files in %USERPROFILE%\Application Data folder...
26.03.2006 17:22:02 HS 62 D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\desktop.ini ()
07.05.2006 19:47:16 18760 D:\Dokumente und Einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT ()

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

>>> Internet Explorer Settings <<<


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - %SystemRoot%\system32\blank.htm

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - D:\WINDOWS\System32\blank.htm

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
\\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
\\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
\\{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Microsoft Url Sucheingriff = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)
\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar = ()

>>> BHO's <<<
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class = D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
\{53707962-6F74-2D53-2644-206D7942484F} - = D:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)

>>> Internet Explorer Bars, Toolbars and Extensions <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
\{4528BBE0-4E08-11D5-AD55-00010333D0AD} - = ()
\{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
\{32683183-48a0-441b-a342-7c2a440a9478} - Media Band = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\{4528BBE0-4E08-11D5-AD55-00010333D0AD} - = ()
\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} - Explorer-Band = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
\\{8E718888-423F-11D2-876E-00A0C9082467} - &Radio = D:\WINDOWS\System32\msdxm.ocx (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
\ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\WebBrowser\\{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - = ()

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping]
\\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 8192 = Sun Java Konsole
\\NEXTID - 8195
\\{B13B4423-2647-4cfc-A4B3-C7D56CB83487} - 8193 = Share in H&ello
\\{B863453A-26C3-4e1f-A54D-A2CD196348E9} - 8194 = ICQ Lite

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - MenuText: Sun Java Konsole = D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll (Sun Microsystems, Inc.)
\{B13B4423-2647-4cfc-A4B3-C7D56CB83487} - ButtonText: Share in Hello =
\{B863453A-26C3-4e1f-A54D-A2CD196348E9} - ButtonText: ICQ Lite = D:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)

>>> Approved Shell Extensions (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
\\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = deskpan.dll ()
\\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = ()
\\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = ()
\\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = D:\WINDOWS\System32\hticons.dll (Hilgraeve, Inc.)
\\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = ()
\\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = ()
\\{A70C977A-BF00-412C-90B7-034C51DA2439} - NvCpl DesktopContext Class = D:\WINDOWS\System32\nvcpl.dll (NVIDIA Corporation)
\\{1CDB2949-8F65-4355-8456-263E7C208A5D} - Desktop Explorer = D:\WINDOWS\System32\nvshell.dll ()
\\{1E9B04FB-F9E5-4718-997B-B8DA88302A47} - Desktop Explorer Menu = D:\WINDOWS\System32\nvshell.dll ()
\\{1E9B04FB-F9E5-4718-997B-B8DA88302A48} - nView Desktop Context Menu = D:\WINDOWS\System32\nvshell.dll ()
\\{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - Shell Extensions for RealOne Player = D:\Programme\Real\RealPlayer\rpshell.dll (RealNetworks, Inc.)
\\{73B24247-042E-4EF5-ADC2-42F62E6FD654} - ICQ Lite Shell Extension = D:\Programme\ICQLite\ICQLiteShell.dll ()
\\{32020A01-506E-484D-A2A8-BE3CF17601C3} - AlcoholShellEx = D:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll (Alcohol Soft Development Team)
\\{F6C95B20-E9D5-4927-8C00-2B03B554417D} - Managed SpoolExt Extension = D:\WINDOWS\System32\msgsple.dll ()
\\{FFB699E0-306A-11d3-8BD1-00104B6F7516} - Play on my TV helper = D:\WINDOWS\System32\nvcpl.dll (NVIDIA Corporation)
\\{45AC2688-0253-4ED8-97DE-B5370FA7D48A} - Shell Extension for Malware scanning = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

>>> Context Menu Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
\ICQLiteMenu - {73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Programme\ICQLite\ICQLiteShell.dll ()
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)

[HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers]
\ICQLiteMenu - {73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Programme\ICQLite\ICQLiteShell.dll ()

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers]
\00nView - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} = D:\WINDOWS\System32\nvshell.dll ()
\NvCplDesktopContext - {A70C977A-BF00-412C-90B7-034C51DA2439} = D:\WINDOWS\System32\nvcpl.dll (NVIDIA Corporation)

[HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers]
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)

>>> Column Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
\{F9DB5320-233E-11D1-9F84-707F02C10627} - PDF Column Info = D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll (Adobe Systems, Inc.)

>>> Registry Run Keys <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon - RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll ()
nwiz - D:\WINDOWS\SYSTEM32\nwiz.exe ()
NvMediaCenter - RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll ()
KernelFaultCheck - ()
avgnt - D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

>>> Startup Links <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup]
D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup]
D:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\desktop.ini ()

>>> MSConfig Disabled Items <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
Macromedia Licensing Service 3
Brother XP spl Service 2
brmfrmps 3
BlueSoleil Hid Service 3


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk.disabled
path D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk.disabled
backup D:\WINDOWS\pss\Adobe Reader - Schnellstart.lnk.disabledCommon Startup
location Common Startup
command D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk.disabled
item Adobe Reader - Schnellstart.lnk

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 2
startup 2


[All Users Startup Folder Disabled Items]

[Current User Startup Folder Disabled Items]

>>> User Agent Post Platform <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

>>> AppInit Dll's <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs]

>>> Image File Execution Options <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
\Your Image File Name Here without a path - Debugger = ntsd -d

>>> Shell Service Object Delay Load <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
\\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll (Microsoft Corporation)
\\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = D:\WINDOWS\System32\stobject.dll (Microsoft Corporation)
\\UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} = D:\WINDOWS\System32\upnpui.dll (Microsoft Corporation)

>>> Shell Execute Hooks <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation)

>>> Shared Task Scheduler <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)

>>> Winlogon <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
\\UserInit = D:\WINDOWS\system32\userinit.exe,
\\Shell = explorer.exe
\\System =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
\crypt32chain - crypt32.dll = (Microsoft Corporation)
\cryptnet - cryptnet.dll = (Microsoft Corporation)
\cscdll - cscdll.dll = (Microsoft Corporation)
\ScCertProp - wlnotify.dll = (Microsoft Corporation)
\Schedule - wlnotify.dll = (Microsoft Corporation)
\sclgntfy - sclgntfy.dll = (Microsoft Corporation)
\SensLogn - WlNotify.dll = (Microsoft Corporation)
\termsrv - wlnotify.dll = (Microsoft Corporation)
\wlballoon - wlnotify.dll = (Microsoft Corporation)

>>> DNS Name Servers <<<
{4F522CA6-1D6F-4569-8D0A-24F0C75F2EC5} - ()
{76633998-86B6-41D4-93D6-BCF7EA4D58FE} - ()
{8936A691-208B-49DE-ADF0-403063E1AEB8} - (SiS 900-basierte PCI-Fast Ethernet-Adapter)
{C80CA3F7-ECCA-45A8-8A8A-7DE50B211A69} - 192.168.2.1 (T-Sinus 111data)
{DE0E64E9-B5B5-4E17-8EAD-6D66914B300A} - ()

>>> All Winsock2 Catalogs <<<
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
\000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
\000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation)
\000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]
\000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000004\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000005\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000006\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000010\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000011\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000018\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000019\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000020\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)

>>> Protocol Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler]
\ipp - ()
\msdaipp - ()

>>> Protocol Filters (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

>>> Selected AddOn's <<<


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»




hier jetzt der log der datfindbat:

Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C

Verzeichnis von D:\WINDOWS\system32

16.09.2006 15:47 50.159 nvapps.xml
13.09.2006 21:01 2.184 wpa.dbl
16.08.2006 01:19 380.350 perfh009.dat
16.08.2006 01:19 52.764 perfc009.dat
16.08.2006 01:19 391.000 perfh007.dat
16.08.2006 01:19 63.580 perfc007.dat
16.08.2006 01:19 895.600 PerfStringBackup.INI
30.07.2006 16:43 98.304 CmdLineExt.dll
29.07.2006 19:32 48.936 sirenacm.dll
20.06.2006 21:44 57.384 avsda.dll


Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C

Verzeichnis von D:\DOKUME~1\Florian\LOKALE~1\Temp


Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C

Verzeichnis von D:\WINDOWS

16.09.2006 15:45 0 0.log
16.09.2006 15:45 159 wiadebug.log
16.09.2006 15:45 50 wiaservc.log
16.09.2006 15:44 2.048 bootstat.dat
16.09.2006 15:44 1.368 SchedLgU.Txt
16.09.2006 13:47 342 wmsetup.log
16.09.2006 13:47 1.834 setupapi.log
16.09.2006 11:59 31 LxTrans.INI
16.09.2006 08:25 26 Lic.xxx
16.09.2006 07:25 668 win.ini
16.09.2006 06:45 162 NeroDigital.ini
16.09.2006 04:04 0 Sti_Trace.log
26.08.2006 16:50 50 ktd32.atm
24.08.2006 01:15 145 fcp5.cfg
17.08.2006 16:40 284.672 dr.exe
02.06.2006 21:56 6.104 ModemLog_Bluetooth DUN Modem.txt
02.06.2006 21:56 6.096 ModemLog_Bluetooth Fax Modem.txt
02.06.2006 21:56 2.490 ModemLog_Bluetooth LAP Modem #2.txt
02.06.2006 21:56 2.402 ModemLog_Bluetooth LAP Modem.txt



Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C

Verzeichnis von D:\

16.09.2006 16:07 0 sys.txt
16.09.2006 16:07 4.963 windows.txt
16.09.2006 16:06 4.963 system.txt
16.09.2006 16:06 128 temp.txt
16.09.2006 16:06 128 systemtemp.txt
16.09.2006 16:05 106.626 system32.txt
16.09.2006 15:44 1.610.612.736 pagefile.sys
16.09.2006 09:52 0 23990098.$$$
12.09.2006 19:39 268 sqmdata04.sqm
12.09.2006 19:39 244 sqmnoopt04.sqm
12.09.2006 19:37 244 sqmnoopt03.sqm
12.09.2006 19:37 268 sqmdata03.sqm
07.09.2006 16:20 268 sqmdata02.sqm
07.09.2006 16:20 244 sqmnoopt02.sqm
21.08.2006 00:41 268 sqmdata01.sqm
21.08.2006 00:41 244 sqmnoopt01.sqm
16.08.2006 20:27 268 sqmdata00.sqm
16.08.2006 20:27 244 sqmnoopt00.sqm
18 Datei(en) 1.610.732.104 Bytes
0 Verzeichnis(se), 4.618.915.840 Bytes frei

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
D:\WINDOWS\System32\msgsple.dll
D:\WINDOWS\services.exe
D:\WINDOWS\System32\fservice.exe
D:\WINDOWS\system\sservice.exe
D:\WINDOWS\ktd32.atm
D:\WINDOWS\fcp5.cfg
D:\WINDOWS\dr.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

poste das log vom avenger, was nach neustart erscheint

Avenger konnte leider kein Log erstellen, aber ich glaube die Dateien wurden entfernt. Auf jeden Fall kann ich Avenger jetzt mit diesem Befehl nicht mehr ausführen.

*edit:

Die letzten drei Einträge sind immer noch da.

D:\WINDOWS\ktd32.atm
D:\WINDOWS\fcp5.cfg
D:\WINDOWS\dr.exe

#6 Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

D:\WINDOWS\ktd32.atm
D:\WINDOWS\fcp5.cfg
D:\WINDOWS\dr.exe

PC neustarten

gehe in die registry
Start - Ausfuehren - regedit

klicke dich durch zum schluessel:

[HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings]
schreibe oder kopiere , was du dort findest
__________
MfG Sabina

rund um die PC-Sicherheit

#7 HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings

Den Eintrag [b]Windows NT Script Host gibt es nicht.

regedit /e Info.txt "HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings"

#8 tribe

dann hat der Antivirus wahrscheinlich schon die registry gesaeubert.....
loesche das backup von avenger unter : C:\Avenger\backup.zip und auch von der killbox unter: C:\!KillBox\......

1.
poste den report von TcpView
http://virus-protect.org/artikel/tools/tcpview.html

2.
scane mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 edit

und der Report von eScan:

File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\EpsBroker.EpsBroker" verweist auf das ungültige Objekt "{CB4FF1E0-8D28-11D3-B367-00105A427133}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\EpsBroker.EpsBroker.2" verweist auf das ungültige Objekt "{9C45F6B6-9060-4AD5-AF3E-45CA2B799F28}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\EpsBroker.HRInfo" verweist auf das ungültige Objekt "{9CB25C7D-AA82-4270-A9CA-0B08048EEFCE}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\Lexware.FkCrypto10" verweist auf das ungültige Objekt "{7DE2830C-3BC6-4790-A413-AC891BA2C661}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\LXActivationAssi.ActivationAssi" verweist auf das ungültige Objekt "{1B3160B6-EB68-452C-B21C-DDE301DB5C6A}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\LXActivationAssi.ActivationAssi.1" verweist auf das ungültige Objekt "{1B3160B6-EB68-452C-B21C-DDE301DB5C6A}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\LxTransInetSrv.Application" verweist auf das ungültige Objekt "{09558BE1-95A6-409A-8FB1-64E957A4BF2E}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\PCFK2.Kasse" verweist auf das ungültige Objekt "{52FE9A21-53F0-417c-83C2-382060AE1A62}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\TMProto.LxTransferManager" verweist auf das ungültige Objekt "{32A65AC2-6D00-11D4-B8C4-0050046969F2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\TMProto.LxUrl" verweist auf das ungültige Objekt "{D07F7C47-9A95-11D4-B8BB-00105AEFAB6C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WMSServer.Server" verweist auf das ungültige Objekt "{845FB959-4279-11D2-BF23-00805FBE84A6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WMSServer.Server.9" verweist auf das ungültige Objekt "{845FB959-4279-11D2-BF23-00805FBE84A6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (1.5.0.6)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\WINDOWS\System32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\WINDOWS\system32\msgsple.dll markiert als "not-a-virus:AdWare.Win32.Agent.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Hab übrigens seit ein paar Tagen plötzlich einige Dateien im Programme Ordner, die ich dort nicht abgelegt habe.
Poste die hier mal:

dr.exe
patcher.exe
7za.exe
wunauclt.exe
wunauclt.tbe
wunauclt.zip

Is mir gerade eingefallen, weil im Verzeichnis von "C:/!killbox/..." auch eine "dr.exe" Datei war.

Hmm, welche Art von Zugriff hat jemand mit diesem Trojaner eigentlich auf meinen Rechner? Hab bei Google keinerlei Informationen über genau dieses Trojanische Pferd finden können.


Hier noch der KAV Online report:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 17. September 2006 16:55:09
Betriebssystem: Microsoft Windows XP Professional, (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 17/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 210982
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 61087
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:21:01

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001046.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001047.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001048.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001049.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001050.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{16054BD5-069F-491F-8C17-F2FD981EEDDF}\RP11\A0001051.exe Das Objekt ist gesperrt übersprungen
C:\System Volume F-491F-8C17-F2FD

edit

#10 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
dann scanne noch mal mit kaspersky und berichte

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "D:\Programme\serial.dat" >>files.txt
dir "D:\Programme" >>files.txt
dir "D:\Programme\wunauclt.tbe" >>files.txt
dir "D:\Programme\serial.zip" >>files.txt
notepad files.txt

4.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"

- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )
---------------------------------------------------

(was den escan bertrifft, du postest immer das gleiche, du musst vor einem neuen scan die alte log-File loeschen)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Die Systemwiederherstellung war bereits deaktiviert, also spar ich mir mal den erneuten Scan mit Kaspersky.

Hier der Text beim listen.bat

Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C

Verzeichnis von D:\Programme

17.09.2006 14:40 <DIR> .
17.09.2006 14:40 <DIR> ..
28.09.2005 10:56 185.856 7za.exe
28.03.2006 19:38 <DIR> Adobe
12.09.2006 00:44 <DIR> Advanced GIF Animator
26.03.2006 18:16 <DIR> Ahead
26.03.2006 17:33 <DIR> Alcohol Soft
28.04.2006 23:06 <DIR> AnalogX
28.04.2006 21:31 <DIR> Anti-Blaxx 1.18
21.07.2006 22:26 <DIR> AntiVir PersonalEdition Classic
15.08.2006 22:38 <DIR> Audacity 1.3 Beta
16.09.2006 18:03 <DIR> avanger
13.04.2006 10:56 <DIR> BitComet
26.03.2006 18:23 <DIR> Brother
26.03.2006 16:43 <DIR> C-Media 3D Audio
15.05.2006 18:24 <DIR> CCleaner
16.09.2006 15:39 <DIR> CleanUp!
05.05.2006 23:00 <DIR> clonespy
26.03.2006 17:58 <DIR> Common Files
29.04.2006 14:58 <DIR> concept design
23.01.2006 15:36 429 datFind.bat
03.04.2006 18:48 <DIR> directx
17.08.2006 16:40 284.672 dr.exe
28.04.2006 21:49 <DIR> driver_view
26.03.2006 17:20 <DIR> eBay
06.09.2006 01:16 <DIR> eDonkey2000
16.09.2006 12:01 <DIR> Gemeinsame Dateien
26.03.2006 17:22 <DIR> Google
03.06.2006 22:25 <DIR> Hamachi
27.04.2006 18:14 <DIR> Hello
26.08.2006 12:25 <DIR> ICQLite
26.03.2006 21:44 <DIR> Internet Explorer
10.09.2006 20:06 <DIR> IrfanView
26.03.2006 17:17 <DIR> IVT Corporation
28.04.2006 22:03 <DIR> Jap
26.03.2006 18:46 <DIR> Java
26.03.2006 17:33 <DIR> Lavasoft
16.09.2006 11:58 <DIR> Lexware
26.03.2006 16:35 <DIR> Messenger
26.03.2006 16:30 <DIR> microsoft frontpage
26.03.2006 18:12 <DIR> Microsoft Office
26.03.2006 16:28 <DIR> Movie Maker
17.09.2006 20:18 <DIR> Mozilla Firefox
28.04.2006 21:31 <DIR> Mozilla Thunderbird
26.03.2006 16:27 <DIR> MSN Gaming Zone
16.08.2006 00:07 <DIR> MSN Messenger
29.06.2006 13:59 <DIR> NetMeeting
26.03.2006 16:29 <DIR> Online-Dienste
30.03.2006 20:39 <DIR> Opera
26.03.2006 16:28 <DIR> Outlook Express
23.07.2006 17:56 194.101 patcher.exe
26.03.2006 17:10 <DIR> QuickTime
26.03.2006 17:07 <DIR> Real
26.03.2006 17:57 <DIR> ScanSoft
15.05.2006 18:26 <DIR> Skype
26.03.2006 17:29 <DIR> Smart Projects
18.07.2006 21:42 <DIR> Sony
18.07.2006 21:42 <DIR> Sony Setup
27.08.2006 01:18 <DIR> sophos
02.04.2006 11:39 <DIR> Spybot - Search & Destroy
13.04.2006 14:15 <DIR> Sunbelt Software
15.08.2006 23:08 <DIR> TVAnts
30.07.2006 16:40 <DIR> Ubisoft
26.03.2006 17:37 <DIR> VGA USB Camera
26.06.2006 20:13 <DIR> Winamp
26.03.2006 17:30 <DIR> Windows Media Player
16.09.2006 13:47 <DIR> Windows Media-Komponenten
26.03.2006 16:27 <DIR> Windows NT
17.09.2006 14:40 <DIR> windpfind
28.04.2006 21:31 <DIR> WinRAR
15.04.2006 21:38 <DIR> WinZip
28.05.2006 17:34 435.756 wunauclt.exe
28.05.2006 17:46 397.306 wunauclt.tbe
28.05.2006 17:46 397.306 wunauclt.zip
26.03.2006 16:30 <DIR> xerox
26.03.2006 17:23 <DIR> xp-AntiSpy
7 Datei(en) 1.895.426 Bytes
69 Verzeichnis(se), 4.209.917.952 Bytes frei
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C

Verzeichnis von D:\Programme

28.05.2006 17:46 397.306 wunauclt.tbe
1 Datei(en) 397.306 Bytes
0 Verzeichnis(se), 4.209.913.856 Bytes frei
Datentr„ger in Laufwerk D: ist System
Volumeseriennummer: D0DB-868C




info.bat:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

#12 virustotal

Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

D:\Programme\wunauclt.exe
D:\Programme\patcher.exe
D:\Programme\7za.exe
D:\Programme\dr.exe

poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Complete scanning result of "7za.exe", received in VirusTotal at 09.17.2006, 22:23:32 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.16.2006 no virus found
Authentium 4.93.8 09.17.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 no virus found
BitDefender 7.2 09.17.2006 no virus found
CAT-QuickHeal 8.00 09.15.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.17.2006 no virus found
DrWeb 4.33 09.17.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
Ewido 4.0 09.17.2006 no virus found
Fortinet 2.82.0.0 09.17.2006 no virus found
F-Prot 3.16f 09.17.2006 no virus found
F-Prot4 4.2.1.29 09.17.2006 no virus found
Ikarus 0.2.65.0 09.16.2006 Trojan-Spy.Win32.Bancos.ha
Kaspersky 4.0.2.24 09.17.2006 no virus found
McAfee 4853 09.15.2006 no virus found
Microsoft 1.1560 09.17.2006 no virus found
NOD32v2 1.1759 09.16.2006 no virus found
Norman 5.90.23 09.15.2006 no virus found
Panda 9.0.0.4 09.17.2006 no virus found
Sophos 4.09.0 09.17.2006 no virus found
Symantec 8.0 09.17.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.15.2006 no virus found
VBA32 3.11.1 09.17.2006 no virus found
VirusBuster 4.3.7:9 09.17.2006 no virus found

Aditional Information
File size: 185856 bytes
MD5: 3282e12c74e33297b1f1a545dfe3b0af
SHA1: 503a07b04109ecd63aacd398852df95de55462f0
packers: PecBundle, PECompact

Complete scanning result of "dr.exe", received in VirusTotal at 09.17.2006, 22:24:37 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.16.2006 no virus found
Authentium 4.93.8 09.17.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 no virus found
BitDefender 7.2 09.17.2006 no virus found
CAT-QuickHeal 8.00 09.15.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.17.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
DrWeb 4.33 09.17.2006 no virus found
Ewido 4.0 09.17.2006 no virus found
Fortinet 2.82.0.0 09.17.2006 no virus found
F-Prot 3.16f 09.17.2006 no virus found
F-Prot4 4.2.1.29 09.17.2006 no virus found
Ikarus 0.2.65.0 09.16.2006 no virus found
Kaspersky 4.0.2.24 09.17.2006 no virus found
McAfee 4853 09.15.2006 W32/Kelvir.worm.gen
Microsoft 1.1560 09.17.2006 no virus found
NOD32v2 1.1759 09.16.2006 no virus found
Norman 5.80.02 09.15.2006 no virus found
Panda 9.0.0.4 09.17.2006 Suspicious file
Sophos 4.09.0 09.17.2006 no virus found
Symantec 8.0 09.17.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 W32/Kelvir.worm.gen
UNA 1.83 09.15.2006 no virus found
VBA32 3.11.1 09.17.2006 no virus found
VirusBuster 4.3.7:9 09.17.2006 no virus found

Aditional Information
File size: 284672 bytes
MD5: b769c3dfec6db76909478deec5391979
SHA1: b187441c755a6f196f56f155cd7cce3c870d3328
packers: Aspack

Complete scanning result of "patcher.exe", received in VirusTotal at 09.17.2006, 22:24:49 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.16.2006 no virus found
Authentium 4.93.8 09.17.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 no virus found
BitDefender 7.2 09.17.2006 no virus found
CAT-QuickHeal 8.00 09.15.2006 no virus found
ClamAV devel-20060426 09.17.2006 no virus found
DrWeb 4.33 09.17.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
Ewido 4.0 09.17.2006 no virus found
Fortinet 2.82.0.0 09.17.2006 suspicious
F-Prot 3.16f 09.17.2006 no virus found
F-Prot4 4.2.1.29 09.17.2006 no virus found
Ikarus 0.2.65.0 09.16.2006 no virus found
Kaspersky 4.0.2.24 09.17.2006 no virus found
McAfee 4853 09.15.2006 no virus found
Microsoft 1.1560 09.17.2006 no virus found
NOD32v2 1.1759 09.16.2006 no virus found
Norman 5.90.23 09.15.2006 no virus found
Panda 9.0.0.4 09.17.2006 no virus found
Sophos 4.09.0 09.17.2006 no virus found
Symantec 8.0 09.17.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.15.2006 no virus found
VBA32 3.11.1 09.17.2006 no virus found
VirusBuster 4.3.7:9 09.17.2006 no virus found

Aditional Information
File size: 194101 bytes
MD5: cdd9907d0be9082e89f0c9b7291cfe82
SHA1: fd36b7cc59adce9034ea4ef97e54b3a0f1c6d6e0
packers: UPX

Complete scanning result of "wunauclt.exe", received in VirusTotal at 09.17.2006, 22:25:15 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.16.2006 no virus found
Authentium 4.93.8 09.17.2006 Possibly a new variant of W32/Thread-HLLAN-based!Maximus
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 no virus found
BitDefender 7.2 09.17.2006 no virus found
CAT-QuickHeal 8.00 09.15.2006 no virus found
ClamAV devel-20060426 09.17.2006 no virus found
DrWeb 4.33 09.17.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
Ewido 4.0 09.17.2006 no virus found
Fortinet 2.82.0.0 09.17.2006 W32/Istbar.ZE!tr.dldr
F-Prot 3.16f 09.17.2006 Possibly a new variant of W32/Thread-HLLAN-based!Maximus
F-Prot4 4.2.1.29 09.17.2006 W32/Thread-HLLAN-based!Maximus
Ikarus 0.2.65.0 09.16.2006 Backdoor.Win32.Hupigon.BV
Kaspersky 4.0.2.24 09.17.2006 no virus found
McAfee 4853 09.15.2006 New Malware.u
Microsoft 1.1560 09.17.2006 no virus found
NOD32v2 1.1759 09.16.2006 no virus found
Norman 5.90.23 09.15.2006 no virus found
Panda 9.0.0.4 09.17.2006 no virus found
Sophos 4.09.0 09.17.2006 no virus found
Symantec 8.0 09.17.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.15.2006 no virus found
VBA32 3.11.1 09.17.2006 no virus found
VirusBuster 4.3.7:9 09.17.2006 no virus found

Aditional Information
File size: 435756 bytes
MD5: 5cdeae3cf73a9d1490a4c83eb0e543e9
SHA1: edbaaa2107217ec2df0c4c0b96031da37b6b9d38
packers: Packed

#14 1.
lade von dieser Seite: bankerfix, scanne und poste den report
http://virus-protect.org/artikel/spyware/tasklist32_remove.html

2.
Avenger

Zitat

Files to delete:
D:\WINDOWS\System32\msgsple.dll
D:\Programme\7za.exe
D:\Programme\dr.exe
D:\Programme\wunauclt.exe
D:\Programme\wunauclt.tbe
D:\Programme\wunauclt.zip

poste den report

3.
scanne mit Free Online Virus Scan - Authentium und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 1:

INICIANDO BANKER FIX
=======================================================


INICIANDO FOX FIX
=======================================================
Iniciando Log do PV
-----------------------------------

Killing '*'

Arquivos a remover
-----------------------------------


Arquivos ruins restantes
-----------------------------------


Reg Importado
-----------------------------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


2:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oeyturte

*******************

Script file located at: \??\D:\WINDOWS\bwwjwfva.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

File D:\WINDOWS\System32\msgsple.dll deleted successfully.
File D:\Programme\7za.exe deleted successfully.
File D:\Programme\dr.exe deleted successfully.
File D:\Programme\wunauclt.exe deleted successfully.
File D:\Programme\wunauclt.tbe deleted successfully.
deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Hier sind allerdings noch Einträge von der Datei "C:\WINDOWS\System32\msgsple.dll" vorhanden:

HKEY_CLASSES_ROOT\CLSID\{F6C95B20-E9D5-4927-8C00-2B03B554417D}\InprocServer32

HKEY_CLASSES_ROOT\TypeLib\{114C761E-82E0-4AD7-8501-ACAB07232804}\1.0\0\win32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6C95B20-E9D5-4927-8C00-2B03B554417D}\InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{114C761E-82E0-4AD7-8501-ACAB07232804}\1.0\0\win32

Hat das was zu bedeuten oder sind diese Einträge normal und nicht auf den Trojaner zurückzuführen?


3:

eine reportdatei find ich dirgends, aber COD hat bei der Liste der infizierten dateien nur das Backup von Avanger angeprangert.