Prozess: emMON.exe

#0
20.11.2006, 00:23
...neu hier

Beiträge: 5
#1 Hallo allerseits,
habe (meiner Meinung nach) erst seit kurzen diesen Prozess am laufen.
HJ-This hat ihn als unbekannt eingestuft und die anschliessende Prüfung brachte keinen Virenfund.

Hier ist der Bericht. Kennt jemand den Prozess oder sollte ich ihn einfach wegbeamen?? Danke schon mal für evtl. Antworten.

Logfile of HijackThis v1.99.1
Scan saved at 00:13:17, on 20.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ps2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\emMON.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD06] c:\Programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AutoTBar] c:\Programme\HP\Digital Imaging\bin\AUTOTBAR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKCU\..\Run: [Mess bash] C:\DOKUME~1\HP_BES~1\ANWEND~1\PROGRA~1\Glue Great.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{633F42A0-5DC2-4C66-824A-0249DED75C99}: NameServer = 141.54.100.129
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\smc.exe
Seitenanfang Seitenende
20.11.2006, 11:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 El_Lobo

auf dem Rechner ist der Swizzor-Trojaner - wer so naiv ist und den netpumper laedt, ..... ;)

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 17:32
...neu hier

Themenstarter

Beiträge: 5
#3 hmmm, das ist ja weniger erfreulich...den NetPumper hab ich schon seit Monaten nicht mehr benutzt, aber der Prozess ist erst seit kurzem da...muss ich mir wohl woanders eingefangen haben...


HP_Besitzer - 06-11-20 17:28:43.15 Service Pack 2
ComboFix 06.11.19 - Running from: "C:\Programme"

((((((((((((((((((((((((((((((( Files Created from 2006-10-20 to 2006-11-20 ))))))))))))))))))))))))))))))))))


2006-11-20 17:28 276,990 --a------ C:\Programme\combofix.exe
2006-11-20 00:16 <DIR> d-------- C:\Programme\backups
2006-11-20 00:11 218,112 --a------ C:\Programme\HijackThis.exe
2006-11-16 01:21 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-16 01:21 <DIR> d-------- C:\23248993edd2e31b30b57033
2006-11-15 18:50 <DIR> d-------- C:\Programme\Easy Video Splitter
2006-11-15 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Help
2006-11-09 01:48 <DIR> d-------- C:\Programme\a-squared Free
2006-11-09 01:31 <DIR> d-------- C:\WINDOWS\Minidump
2006-11-09 01:29 356,864 --a------ C:\WINDOWS\TrueCrypt Setup.exe
2006-11-09 01:29 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-11-06 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\InterVideo
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-02 03:31 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2006-11-02 03:31 153,088 --a------ C:\WINDOWS\system32\fldlckun.exe
2006-11-02 03:12 <DIR> d--h----- C:\WINDOWS\PIF
2006-11-01 21:48 112,640 --a------ C:\WINDOWS\lsb_un20.exe
2006-10-24 16:41 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-20 00:15 8017 --a------ C:\Programme\hijackthis.log
2006-11-16 01:21 -------- d-------- C:\Programme\Internet Explorer
2006-11-15 19:14 -------- d-------- C:\Programme\Music
2006-11-15 18:49 -------- d-------- C:\Programme\Downloads & Setup's
2006-11-14 00:03 1960 --a------ C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2006-11-09 01:29 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Mess bash"="C:\\DOKUME~1\\HP_BES~1\\ANWEND~1\\PROGRA~1\\Glue Great.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet /keeploaded /nodetect"
"HPHUPD06"="c:\\Programme\\HP\\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\\hphupd06.exe"
"HPHmon06"="C:\\WINDOWS\\system32\\hphmon06.exe"
"Recguard"="C:\\WINDOWS\\SMINST\\RECGUARD.EXE"
"PS2"="C:\\WINDOWS\\system32\\ps2.exe"
"LSBWatcher"="c:\\hp\\drivers\\hplsbwatcher\\lsburnwatcher.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SmcService"="C:\\PROGRA~1\\Sygate\\smc.exe -startgui"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"AutoTBar"="c:\\Programme\\HP\\Digital Imaging\\bin\\AUTOTBAR.EXE"
"PCMService"="\"C:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe\""
"emMON"="emMON.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20061120-001620-406
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-11-20 17:29:09.50
C:\ComboFix.txt ... 06-11-20 17:29
Seitenanfang Seitenende
20.11.2006, 18:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2006, 19:01
...neu hier

Themenstarter

Beiträge: 5
#5 Weil nur da stand kopieren, hab ichs nicht gepostet.

Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Programme

20.11.2006 00:16 <DIR> .
20.11.2006 00:16 <DIR> ..
13.08.2006 09:49 <DIR> 3DO
09.11.2006 03:00 <DIR> a-squared Free
30.03.2006 01:40 <DIR> Adobe
29.03.2006 18:07 <DIR> Ahead Nero
08.05.2006 19:31 <DIR> AntiVir PersonalEdition Classic
20.11.2006 00:16 <DIR> backups
10.09.2006 12:53 <DIR> CCleaner
06.08.2006 18:00 <DIR> Chameleon Clock
30.03.2006 01:40 <DIR> ComPlus Applications
09.09.2006 16:18 <DIR> CyberLink
12.07.2006 18:41 <DIR> DC++
18.05.2006 18:38 <DIR> DNT
15.11.2006 18:49 <DIR> Downloads & Setup's
29.03.2006 17:22 <DIR> Easy Internet signup
15.11.2006 18:50 <DIR> Easy Video Splitter
13.08.2006 20:54 <DIR> Gemeinsame Dateien
30.03.2006 01:41 <DIR> Hewlett-Packard
16.02.2005 11:06 218.112 HijackThis.exe
20.11.2006 00:15 8.017 hijackthis.log
30.03.2006 01:41 <DIR> HP
30.03.2006 01:44 <DIR> HPQ
09.09.2006 15:30 <DIR> ICQLite
16.11.2006 01:21 <DIR> Internet Explorer
30.03.2006 01:44 <DIR> InterVideo
17.04.2006 20:06 <DIR> Java
30.03.2006 12:38 <DIR> Lavasoft
30.03.2006 13:02 <DIR> Messenger
30.03.2006 01:44 <DIR> microsoft frontpage
06.08.2006 14:44 <DIR> Microsoft Games
29.03.2006 17:00 <DIR> Microsoft Office
29.03.2006 17:00 <DIR> Microsoft Works
30.03.2006 01:44 <DIR> Movie Maker
30.03.2006 12:49 <DIR> Mozilla Firefox
30.03.2006 01:44 <DIR> MSN
30.03.2006 01:44 <DIR> MSN Gaming Zone
05.06.2006 22:13 <DIR> MSN Messenger
16.11.2006 01:21 <DIR> MSXML 4.0
15.11.2006 19:14 <DIR> Music
30.03.2006 01:44 <DIR> NetMeeting
30.03.2006 01:45 <DIR> Online Services
30.03.2006 01:45 <DIR> Online-Dienste
13.04.2006 12:53 <DIR> Outlook Express
30.03.2006 01:45 <DIR> PC-Doctor for Windows
29.03.2006 17:34 <DIR> QuickTime
30.03.2006 01:46 <DIR> Real
30.03.2006 01:46 <DIR> Sonic
13.08.2006 09:47 <DIR> Spiele
29.03.2006 19:29 <DIR> Sygate
29.03.2006 17:30 <DIR> Symantec
18.06.2006 21:56 <DIR> VideoLAN
03.04.2006 08:40 <DIR> Windows Media Player
30.03.2006 01:48 <DIR> Windows NT
30.03.2006 12:34 <DIR> WinRAR
30.03.2006 01:48 <DIR> xerox
2 Datei(en) 226.129 Bytes
54 Verzeichnis(se), 212.594.692.096 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten

17.04.2006 20:29 <DIR> Adobe
11.05.2006 13:59 <DIR> Ahead
30.03.2006 01:39 <DIR> Apple Computer
30.03.2006 01:39 <DIR> ApplicationHistory
15.11.2006 19:23 49.152 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
29.03.2006 15:38 141 fusioncache.dat
02.04.2006 18:32 37.960 GDIPFONTCACHEV1.DAT
16.07.2006 22:51 <DIR> Help
31.10.2006 15:41 <DIR> Identities
14.11.2006 19:07 <DIR> Microsoft
31.10.2006 20:34 <DIR> PowerCinema
17.11.2006 16:02 <DIR> WMTools Downloaded Files
30.03.2006 01:39 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000}
3 Datei(en) 87.253 Bytes
10 Verzeichnis(se), 212.594.692.096 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten

19.04.2006 21:11 <DIR> .CannaPower
17.04.2006 20:27 <DIR> Adobe
17.04.2006 20:29 <DIR> AdobeUM
19.07.2006 11:10 <DIR> Ahead
30.03.2006 01:39 <DIR> Apple Computer
02.04.2006 18:32 <DIR> CyberLink
15.11.2006 12:12 <DIR> Help
28.06.2006 16:38 <DIR> ICQLite
30.03.2006 01:39 <DIR> Identities
06.11.2006 17:04 <DIR> InterVideo
23.04.2006 22:07 <DIR> Lavasoft
29.03.2006 17:47 <DIR> Macromedia
30.03.2006 12:49 <DIR> Mozilla
13.06.2006 23:45 <DIR> NetPumper
28.06.2006 23:46 <DIR> Program fast
29.03.2006 17:45 <DIR> Real
30.03.2006 01:39 <DIR> SampleView
13.06.2006 23:49 <DIR> SECT 1
15.05.2006 14:28 <DIR> Sun
30.03.2006 01:39 <DIR> Symantec
29.03.2006 17:03 <DIR> Template
18.06.2006 22:00 <DIR> vlc
14.11.2006 00:03 1.960 wklnhst.dat
1 Datei(en) 1.960 Bytes
22 Verzeichnis(se), 212.594.688.000 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

02.04.2006 17:26 305 addr_file.html
30.03.2006 01:39 <DIR> Adobe
29.03.2006 18:07 <DIR> Ahead
20.11.2006 17:17 <DIR> AntiVir PersonalEdition Classic
18.07.2006 19:15 <DIR> CyberLink
30.03.2006 01:39 <DIR> Hewlett-Packard
02.04.2006 18:27 3.869 hpzinstall.log
30.03.2006 01:39 <DIR> InstallShield
13.08.2006 20:54 <DIR> Macrovision
30.03.2006 01:39 <DIR> QuickTime
30.03.2006 01:39 <DIR> SBSI
29.03.2006 17:30 <DIR> Symantec
2 Datei(en) 4.174 Bytes
10 Verzeichnis(se), 212.594.688.000 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.08.2006 20:54 <DIR> .
13.08.2006 20:54 <DIR> ..
13.08.2006 09:47 <DIR> 3DO Shared
02.04.2006 21:22 <DIR> Adobe
29.03.2006 18:07 <DIR> Ahead
30.03.2006 01:40 <DIR> Dienste
30.03.2006 01:40 <DIR> Hewlett-Packard
30.03.2006 01:40 <DIR> HP
30.03.2006 01:40 <DIR> InstallShield
30.03.2006 01:40 <DIR> Java
13.08.2006 20:54 <DIR> Macrovision Shared
29.03.2006 17:00 <DIR> Microsoft Shared
30.03.2006 01:40 <DIR> MSSoap
30.03.2006 01:40 <DIR> ODBC
29.03.2006 17:45 <DIR> Real
30.03.2006 01:40 <DIR> Sonic Shared
30.03.2006 01:41 <DIR> SpeechEngines
30.03.2006 01:41 <DIR> SureThing Shared
29.03.2006 17:33 <DIR> Symantec Shared
13.04.2006 12:53 <DIR> System
30.03.2006 01:41 <DIR> TiVo Shared
29.03.2006 17:52 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 212.594.688.000 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Windows\tasks

20.11.2006 17:19 350 Symantec NetDetect.job
1 Datei(en) 350 Bytes
0 Verzeichnis(se), 212.594.688.000 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Programme

20.11.2006 17:28 <DIR> .
20.11.2006 17:28 <DIR> ..
13.08.2006 09:49 <DIR> 3DO
09.11.2006 03:00 <DIR> a-squared Free
30.03.2006 01:40 <DIR> Adobe
29.03.2006 18:07 <DIR> Ahead Nero
08.05.2006 19:31 <DIR> AntiVir PersonalEdition Classic
20.11.2006 00:16 <DIR> backups
10.09.2006 12:53 <DIR> CCleaner
06.08.2006 18:00 <DIR> Chameleon Clock
20.11.2006 17:28 276.990 combofix.exe
30.03.2006 01:40 <DIR> ComPlus Applications
09.09.2006 16:18 <DIR> CyberLink
12.07.2006 18:41 <DIR> DC++
18.05.2006 18:38 <DIR> DNT
15.11.2006 18:49 <DIR> Downloads & Setup's
29.03.2006 17:22 <DIR> Easy Internet signup
15.11.2006 18:50 <DIR> Easy Video Splitter
13.08.2006 20:54 <DIR> Gemeinsame Dateien
30.03.2006 01:41 <DIR> Hewlett-Packard
16.02.2005 11:06 218.112 HijackThis.exe
20.11.2006 00:15 8.017 hijackthis.log
30.03.2006 01:41 <DIR> HP
30.03.2006 01:44 <DIR> HPQ
09.09.2006 15:30 <DIR> ICQLite
16.11.2006 01:21 <DIR> Internet Explorer
30.03.2006 01:44 <DIR> InterVideo
17.04.2006 20:06 <DIR> Java
30.03.2006 12:38 <DIR> Lavasoft
30.03.2006 13:02 <DIR> Messenger
30.03.2006 01:44 <DIR> microsoft frontpage
06.08.2006 14:44 <DIR> Microsoft Games
29.03.2006 17:00 <DIR> Microsoft Office
29.03.2006 17:00 <DIR> Microsoft Works
30.03.2006 01:44 <DIR> Movie Maker
30.03.2006 12:49 <DIR> Mozilla Firefox
30.03.2006 01:44 <DIR> MSN
30.03.2006 01:44 <DIR> MSN Gaming Zone
05.06.2006 22:13 <DIR> MSN Messenger
16.11.2006 01:21 <DIR> MSXML 4.0
15.11.2006 19:14 <DIR> Music
30.03.2006 01:44 <DIR> NetMeeting
30.03.2006 01:45 <DIR> Online Services
30.03.2006 01:45 <DIR> Online-Dienste
13.04.2006 12:53 <DIR> Outlook Express
30.03.2006 01:45 <DIR> PC-Doctor for Windows
29.03.2006 17:34 <DIR> QuickTime
30.03.2006 01:46 <DIR> Real
30.03.2006 01:46 <DIR> Sonic
13.08.2006 09:47 <DIR> Spiele
29.03.2006 19:29 <DIR> Sygate
29.03.2006 17:30 <DIR> Symantec
18.06.2006 21:56 <DIR> VideoLAN
03.04.2006 08:40 <DIR> Windows Media Player
30.03.2006 01:48 <DIR> Windows NT
30.03.2006 12:34 <DIR> WinRAR
30.03.2006 01:48 <DIR> xerox
3 Datei(en) 503.119 Bytes
54 Verzeichnis(se), 212.732.243.968 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Anwendungsdaten

17.04.2006 20:29 <DIR> Adobe
11.05.2006 13:59 <DIR> Ahead
30.03.2006 01:39 <DIR> Apple Computer
30.03.2006 01:39 <DIR> ApplicationHistory
15.11.2006 19:23 49.152 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
29.03.2006 15:38 141 fusioncache.dat
02.04.2006 18:32 37.960 GDIPFONTCACHEV1.DAT
16.07.2006 22:51 <DIR> Help
31.10.2006 15:41 <DIR> Identities
14.11.2006 19:07 <DIR> Microsoft
31.10.2006 20:34 <DIR> PowerCinema
17.11.2006 16:02 <DIR> WMTools Downloaded Files
30.03.2006 01:39 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150000}
3 Datei(en) 87.253 Bytes
10 Verzeichnis(se), 212.732.243.968 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten

19.04.2006 21:11 <DIR> .CannaPower
17.04.2006 20:27 <DIR> Adobe
17.04.2006 20:29 <DIR> AdobeUM
19.07.2006 11:10 <DIR> Ahead
30.03.2006 01:39 <DIR> Apple Computer
02.04.2006 18:32 <DIR> CyberLink
15.11.2006 12:12 <DIR> Help
28.06.2006 16:38 <DIR> ICQLite
30.03.2006 01:39 <DIR> Identities
06.11.2006 17:04 <DIR> InterVideo
23.04.2006 22:07 <DIR> Lavasoft
29.03.2006 17:47 <DIR> Macromedia
30.03.2006 12:49 <DIR> Mozilla
13.06.2006 23:45 <DIR> NetPumper
28.06.2006 23:46 <DIR> Program fast
29.03.2006 17:45 <DIR> Real
30.03.2006 01:39 <DIR> SampleView
13.06.2006 23:49 <DIR> SECT 1
15.05.2006 14:28 <DIR> Sun
30.03.2006 01:39 <DIR> Symantec
29.03.2006 17:03 <DIR> Template
18.06.2006 22:00 <DIR> vlc
14.11.2006 00:03 1.960 wklnhst.dat
1 Datei(en) 1.960 Bytes
22 Verzeichnis(se), 212.732.239.872 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

02.04.2006 17:26 305 addr_file.html
30.03.2006 01:39 <DIR> Adobe
29.03.2006 18:07 <DIR> Ahead
20.11.2006 18:35 <DIR> AntiVir PersonalEdition Classic
18.07.2006 19:15 <DIR> CyberLink
30.03.2006 01:39 <DIR> Hewlett-Packard
02.04.2006 18:27 3.869 hpzinstall.log
30.03.2006 01:39 <DIR> InstallShield
13.08.2006 20:54 <DIR> Macrovision
30.03.2006 01:39 <DIR> QuickTime
30.03.2006 01:39 <DIR> SBSI
29.03.2006 17:30 <DIR> Symantec
2 Datei(en) 4.174 Bytes
10 Verzeichnis(se), 212.732.239.872 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.08.2006 20:54 <DIR> .
13.08.2006 20:54 <DIR> ..
13.08.2006 09:47 <DIR> 3DO Shared
02.04.2006 21:22 <DIR> Adobe
29.03.2006 18:07 <DIR> Ahead
30.03.2006 01:40 <DIR> Dienste
30.03.2006 01:40 <DIR> Hewlett-Packard
30.03.2006 01:40 <DIR> HP
30.03.2006 01:40 <DIR> InstallShield
30.03.2006 01:40 <DIR> Java
13.08.2006 20:54 <DIR> Macrovision Shared
29.03.2006 17:00 <DIR> Microsoft Shared
30.03.2006 01:40 <DIR> MSSoap
30.03.2006 01:40 <DIR> ODBC
29.03.2006 17:45 <DIR> Real
30.03.2006 01:40 <DIR> Sonic Shared
30.03.2006 01:41 <DIR> SpeechEngines
30.03.2006 01:41 <DIR> SureThing Shared
29.03.2006 17:33 <DIR> Symantec Shared
13.04.2006 12:53 <DIR> System
30.03.2006 01:41 <DIR> TiVo Shared
29.03.2006 17:52 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 212.732.239.872 Bytes frei
Datentr„ger in Laufwerk C: ist DATEN
Volumeseriennummer: 284C-6B41

Verzeichnis von C:\Windows\tasks

20.11.2006 18:59 350 Symantec NetDetect.job
1 Datei(en) 350 Bytes
0 Verzeichnis(se), 212.732.239.872 Bytes frei
Seitenanfang Seitenende
21.11.2006, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\23248993edd2e31b30b57033
C:\WINDOWS\PIF
C:\WINDOWS\emMON.exe

poste die reporte

--------------------------------------------------------------
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Folders to delete:
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Program fast
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKCU\..\Run: [Mess bash] C:\DOKUME~1\HP_BES~1\ANWEND~1\PROGRA~1\Glue Great.exe

O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.11.2006, 17:38
...neu hier

Themenstarter

Beiträge: 5
#7 Complete scanning result of "msxml4-KB927978-enu.log", received in VirusTotal at 11.21.2006, 17:27:45 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.21.2006 no virus found
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 no virus found
AVG 386 11.20.2006 no virus found
BitDefender 7.2 11.21.2006 no virus found
CAT-QuickHeal 8.00 11.21.2006 no virus found
ClamAV devel-20060426 11.21.2006 no virus found
DrWeb 4.33 11.21.2006 no virus found
eSafe 7.0.14.0 11.20.2006 no virus found
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.21.2006 no virus found
Fortinet 2.82.0.0 11.21.2006 no virus found
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 no virus found
McAfee 4900 11.20.2006 no virus found
Microsoft 1.1804 11.21.2006 no virus found
NOD32v2 1875 11.21.2006 no virus found
Norman 5.80.02 11.21.2006 no virus found
Panda 9.0.0.4 11.21.2006 no virus found
Prevx1 V2 11.21.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.122 11.21.2006 no virus found
UNA 1.83 11.20.2006 no virus found
VBA32 3.11.1 11.21.2006 no virus found
VirusBuster 4.3.15:9 11.21.2006 no virus found

Aditional Information
File size: 289738 bytes
MD5: 3ebda20efebc6f601f5cd627ebf27594
SHA1: b060df197760c8450c3394ea7423966cc33d8c1b
packers: Unicode
packers: Unicode

Complete scanning result of "emMON.exe", received in VirusTotal at 11.21.2006, 17:34:12 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.21.2006 no virus found
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 no virus found
AVG 386 11.20.2006 no virus found
BitDefender 7.2 11.21.2006 no virus found
CAT-QuickHeal 8.00 11.21.2006 no virus found
ClamAV devel-20060426 11.21.2006 no virus found
DrWeb 4.33 11.21.2006 no virus found
eSafe 7.0.14.0 11.20.2006 no virus found
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.21.2006 no virus found
Fortinet 2.82.0.0 11.21.2006 no virus found
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 no virus found
McAfee 4900 11.20.2006 no virus found
Microsoft 1.1804 11.21.2006 no virus found
NOD32v2 1875 11.21.2006 no virus found
Norman 5.80.02 11.21.2006 no virus found
Panda 9.0.0.4 11.21.2006 no virus found
Prevx1 V2 11.21.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.122 11.21.2006 no virus found
UNA 1.83 11.20.2006 no virus found
VBA32 3.11.1 11.21.2006 no virus found
VirusBuster 4.3.15:9 11.21.2006 no virus found

Aditional Information
File size: 61440 bytes
MD5: b0b8429b03a488f11fb46b66923f5d5e
SHA1: f159f566460394123c425a372131bd4217858e66
Seitenanfang Seitenende
22.11.2006, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich denke, du kannst beruhigt sein, die emMON.exe scheint zu einem Programm von XP zu gehoeren - schau mal das datum (rechtklick auf die exe) - Eigenschaften - und ueberpruefe, was du am gleichen Tag installiert hast.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 18:04
...neu hier

Themenstarter

Beiträge: 5
#9 Bei der Dateibeschreibung steht, dass es eine 60KB große Anwendung names BDA Monitor Application. Die Datei gibts allerdings schon seit 30. Mai diesen Jahres...
Nun gut, danke für deine Hilfe. Ich hoffe mal, dass ich den Prozess nur so lange übersehen hab, obwahl ich das nicht glaube.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: