Virusmeldung von AntiVir: TR/DLDR.ConHook.Gen und 0 Ahnung. |
||
---|---|---|
#0
| ||
03.12.2006, 21:37
...neu hier
Beiträge: 8 |
||
|
||
04.12.2006, 00:47
Ehrenmitglied
Beiträge: 29434 |
#2
MrHiller
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb »» SCANNE AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html __________________ poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2006, 15:10
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo Sabina,
Ich habe erhebliche Schwierigkeiten bei der Durchführung Deiner Anweisungen bekommen. 1. Nachdem AVENGER gelaufen war, konnte er die avenger.txt nicht anlegen und mein Computer war blockiert, sodaß ich nochmal neu starten musste. 2. Bei diesem Neustart habe ich etwa 27 mal die ANTIVIR-Meldung erhalten: C:windows\sys32\mp4c42.dll ist das trojanische Pferd TR/DLDR.ConHook.Gen . Da etwa habe ich dann abgebrochen und rebootet. Darauf kam die Meldung nur noch zwei Mal. 3. Ich habe mich nun nicht mehr getraut, das Backup von AVENGER zu löschen, falls ich es nochmal brauche. Allerdings habe ich versucht AVENGER zu re-installieren und nochmals laufen zu lassen. Nach der Meldung "first step completed" habe ich wieder die Virusmeldung erhalten. Ich habe dann weiter gemacht mit "Zugriff verweigern" im Antivir und "reboot yes" im AVENGER. Wieder kam die Meldung: kann avenger.txt nicht finden. Neu anlegen "JA" "NEIN". Nachdem ich mit "JA" bestätigz hatte, ist diese Datei erstellt worden und blieb leer auf dem Bildschirm. Diesmal hat der Computer nicht blockiert und ich konnte weiter arbeiten um diesen Beitrag zu erstellen. Allerdings bekam ich während des ladens der Icons auf dem Desktop wieder 2x die Virusmeldung, die ich mit "Zugriff verweigern" beendet habe. 4. Beim Neustart eralte ich im Systray unten rechts die Meldung: "Die Datei c:\windows\system32\config\System.log ist beschädigt und nicht lesbar. Führen Sie chkdsk aus. chkdsk bringt eine Menge Meldungen "Datensatzsegment gelöscht". Aber am Ende steht dann: "Fehler gefunden. CHKDSK kann im schreibgeschützen Modus nicht fortgesetzt werden." 5. AVG AntiRootKit habe ich geladen. Beim Aufruf der Datei erscheint ein Fenster mit dem "Search for Rootkits"-button. Wenn ich den drücke, kommt die Meldung: "Application driver is missing.Please re-install the AVG Anti-Rootkit Beta". Das habe ich gemacht. Es kommt wieder die gleiche Meldung. Ist das alles normal????? Ich hoffe, ich habe alles verständlich genug beschrieben. Kannst Du damit was anfangen? Gruß MrHiller |
|
|
||
04.12.2006, 15:13
Ehrenmitglied
Beiträge: 29434 |
#4
Systemwiederherstellung
Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen" Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte. - gehe soweit als moeglich zurueck im Datum ! dann lade das hijackThis neu und poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2006, 18:44
...neu hier
Themenstarter Beiträge: 8 |
#5
Hallo,
Vielen Dank für den Tip. Habe es versucht mit der frühesten Einstellung am 1.10.2006. Hat leider nicht funktionier Das Programm hat mir den WEITER-Button zum Start der Zurücksetzung angezeigt. Es hat nach dem click darauf auch scheinbar einiges getan. Ist jedoch dabei hängen geblieben und hat keine weitere Reaktion ausgelöst. Ich habe die Seite ca. 1 Stunde stehen lassen, in der (irren) Hoffnung dass sie nur etwas länger Zeit braucht. Noch irgend eine Idee???? Gruß MrHiller |
|
|
||
05.12.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#6
1.
versuche es noch mal. 2. wende vundofix an http://virus-protect.org/artikel/tools/vundofixx.html 3. poste wieder das log vom HijackThis -egal von welcher Konfiguration 4. poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2006, 14:01
...neu hier
Themenstarter Beiträge: 8 |
#7
Hallo Sabina,
1. Nochmaliges Zurücksetzen auf den 1.10.06 hat genauso funktioniert, wie das erste Mal. Das Programm ist nach 2-maliger Virusmeldung, die ich mit ZUGRIFF VERWEIGERN abgeschlossen habe, wieder stehen geblieben. Der wiederherstellungskalender geht aber nur bis zum 1.10.06 zurück. Einen früheren Systemprüfpunkt gibt es leider nicht. 2. VundoFix konnte ich nich benutzen, da die angegebne Seite zum runterladen nicht gefunden werden konnte: http://www.atribune.org/ccount/click.php?id=4 Hier nun die neuen HiJackThis- und DATAFIND- Ergebnisse: HiJackThis log: Logfile of HijackThis v1.99.1 Scan saved at 13:30:17, on 12/05/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_07\bin\jusched.exe D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Yahoo!\Messenger\YahooMessenger.exe D:\Internet\NewNetMail Courier\NewNetMailCourier.exe C:\Programme\Skype\Phone\Skype.exe D:\Internet\Roboform\RoboTaskBarIcon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\WinZip\WZQKPICK.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\WINDOWS\System32\locator.exe D:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\msiexec.exe C:\Dokumente und Einstellungen\Ich\Desktop\DATENRETTUNG\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Internet/Surf%20Starter%20Pro/index.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing) O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {9CAEFE60-74A0-42D4-A30F-574459C93EE3} - C:\WINDOWS\system32\mp4c42.dll O3 - Toolbar: StockBar Class - {07A3D336-90D3-4C90-922D-7257D56434BF} - D:\Internet\TrafficToolbar\Traffic_Toolbar\htmlbar.dll O3 - Toolbar: Instant Bu&zz - {7475D3FD-5D85-49DB-8B9B-6968467B2D80} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing) O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\Anti-Virus-eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE /App O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [NewNetMailCourier] D:\Internet\NewNetMail Courier\NewNetMailCourier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [RoboForm] "D:\Internet\Roboform\RoboTaskBarIcon.exe" O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: RF - Formular ausfüllen - file://D:\Internet\Roboform\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://D:\Internet\Roboform\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://D:\Internet\Roboform\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://D:\Internet\Roboform\RoboFormComShowToolbar.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Instant Buzz - {066040F0-5018-4E15-8AA0-81D36136D989} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing) O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{75D7AE23-4283-4D78-9F57-EF40C1F89B07}: NameServer = 192.168.178.1 O20 - Winlogon Notify: mp4c42 - C:\WINDOWS\SYSTEM32\mp4c42.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing) O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing) O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing) O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe DATFIND 1 Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\WINDOWS\system32 12/05/2006 13:28 8.891 jupdate-1.5.0_09-b03.log 12/05/2006 13:22 1.158 wpa.dbl 12/03/2006 23:48 41 AuxDrv32ds_k.ods 12/03/2006 23:48 41 SndDrv32ds_k.ods 11/28/2006 23:22 381.692 perfh009.dat 11/28/2006 23:22 392.512 perfh007.dat 11/28/2006 23:22 53.436 perfc009.dat 11/28/2006 23:22 64.452 perfc007.dat 11/28/2006 23:22 902.476 PerfStringBackup.INI 11/16/2006 06:20 10.474.920 MRT.exe 11/04/2006 14:14 1.245.696 msxml4.dll 10/16/2006 11:40 123.392 xpsp3res.dll 10/13/2006 13:35 146.432 nwprovau.dll 10/12/2006 03:10 127.078 javaws.exe 10/12/2006 03:10 49.265 jpicpl32.cpl 10/12/2006 01:35 53.346 javaw.exe 10/12/2006 01:35 49.248 java.exe 09/22/2006 08:05 16.934 mp4c42.dll 09/22/2006 08:04 23.470 ddcyw.exe 09/14/2006 09:39 474.624 shlwapi.dll 09/14/2006 09:39 615.936 urlmon.dll 09/14/2006 09:39 664.576 wininet.dll 09/14/2006 09:39 39.424 pngfilt.dll 09/14/2006 09:39 532.480 mstime.dll 09/14/2006 09:39 146.432 msrating.dll 09/14/2006 09:39 448.512 mshtmled.dll 09/14/2006 09:39 3.075.584 mshtml.dll 09/14/2006 09:39 16.384 jsproxy.dll 09/14/2006 09:39 205.312 dxtrans.dll 09/14/2006 09:39 55.808 extmgr.dll 09/14/2006 09:39 251.392 iepeers.dll 09/14/2006 09:39 96.768 inseng.dll 09/14/2006 09:39 357.888 dxtmsft.dll 09/14/2006 09:39 152.064 cdfview.dll 09/14/2006 09:39 1.056.256 danim.dll 09/14/2006 09:39 1.022.976 browseui.dll 09/13/2006 06:02 1.084.416 msxml3.dll 09/04/2006 07:12 1.494.016 shdocvw.dll 08/30/2006 17:56 565.170 large.bnk 08/30/2006 17:56 278.528 livesnth.dll 08/30/2006 17:56 11.333 cf_lic.txt 08/25/2006 16:46 617.472 comctl32.dll 08/21/2006 13:26 16.896 fltlib.dll 08/21/2006 10:14 23.040 fltmc.exe 08/17/2006 13:28 729.600 lsasrv.dll 08/17/2006 13:28 332.288 netapi32.dll 08/17/2006 13:28 132.096 wkssvc.dll 08/16/2006 12:58 100.352 6to4svc.dll DATFIND 2 Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\DOKUME~1\Ich\LOKALE~1\Temp 12/05/2006 13:28 6.436 jusched.log 12/05/2006 13:28 874 java_install_reg.log 12/05/2006 13:28 23.528 java_install.log 12/05/2006 13:27 1.151 jinstall.cfg 12/05/2006 13:23 16.384 Perflib_Perfdata_710.dat 12/05/2006 13:22 1.430 MARB.tmp 12/05/2006 13:21 16.384 ~DF2721.tmp 12/05/2006 13:21 49.152 ~DFDE74.tmp 12/05/2006 13:21 32.768 ~DF8A12.tmp 12/04/2006 17:50 1.430 MARA.tmp 12/04/2006 17:49 49.152 ~DFE848.tmp 12/04/2006 17:49 32.768 ~DF874B.tmp 12/04/2006 14:39 1.430 MAR9.tmp 12/04/2006 13:31 1.430 MAR8.tmp 12/04/2006 13:31 49.152 ~DF29CE.tmp 12/04/2006 13:31 32.768 ~DF8ED2.tmp 12/04/2006 13:10 1.430 MAR7.tmp 12/04/2006 13:10 49.152 ~DFC9A1.tmp 12/04/2006 13:10 32.768 ~DF88FD.tmp 12/04/2006 12:48 1.430 MAR6.tmp 12/04/2006 12:48 49.152 ~DFFEF9.tmp 12/04/2006 12:47 32.768 ~DF8C64.tmp 12/04/2006 12:39 1.430 MAR5.tmp 12/04/2006 12:39 49.152 ~DF9D8.tmp 12/04/2006 12:39 32.768 ~DF90B4.tmp 12/04/2006 12:04 1.430 MAR4.tmp 12/04/2006 12:04 32.768 ~DF89E0.tmp 12/04/2006 11:31 1.430 MAR3.tmp 12/04/2006 11:31 32.768 ~DF905E.tmp 12/04/2006 11:07 44.105 P13470493-505260613-124276817-ver.pdf 12/04/2006 11:06 43.635 P13470493-505260613-124276817-sig.pdf 12/04/2006 00:47 1.430 MAR2.tmp 12/04/2006 00:47 49.152 ~DFDBA4.tmp 12/04/2006 00:47 32.768 ~DF8A39.tmp 12/03/2006 23:48 72.748 _iu14D2N.tmp 12/03/2006 18:43 49.152 ~DFC2A6.tmp 12/03/2006 18:43 32.768 ~DF8AEE.tmp 12/02/2006 17:21 160 DFC5A2B2.TMP 11/21/2006 22:46 1.430 MARAF.tmp 10/16/2006 21:10 251.656 AutoDL%3FBundleId=10750_b1977f85.exe 40 Datei(en) 1.213.687 Bytes 0 Verzeichnis(se), 18.071.187.456 Bytes frei DATFIND 3 Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\WINDOWS 12/05/2006 13:33 2.822 win.ini 12/05/2006 13:27 1.812.991 WindowsUpdate.log 12/05/2006 13:24 498.462 ESCAN.LOG 12/05/2006 13:24 2.822 win.tmp 12/05/2006 13:22 207.931 setupapi.log 12/05/2006 13:21 0 0.log 12/05/2006 13:21 3.832 ModemLog_Agere Systems AC'97 Modem.txt 12/05/2006 13:21 159 wiadebug.log 12/05/2006 13:21 50 wiaservc.log 12/05/2006 13:21 27.435 frights.log 12/05/2006 13:21 2.048 bootstat.dat 12/05/2006 13:18 32.556 SchedLgU.Txt 12/05/2006 10:00 114.830 KB922760.log 12/04/2006 11:33 206 EurekaLog.ini 12/03/2006 01:20 20.639 ie7_main.log 12/03/2006 01:20 3.521 KB915865.log 12/03/2006 01:19 3.795 KB914440.log 12/03/2006 01:19 7.548 KB904942.log 11/28/2006 23:11 248.780 ntbtlog.txt 11/28/2006 22:41 127 CPERROR.LOG 11/27/2006 01:59 86 klif.spi 11/23/2006 10:24 214 HP_48BitScanUpdatePatch.ini 11/18/2006 13:03 54.156 QTFont.qfn 11/17/2006 10:30 39.695 ntdtcsetup.log 11/17/2006 10:30 31.576 iis6.log 11/17/2006 10:30 65.350 comsetup.log 11/17/2006 10:30 1.393 imsins.log 11/17/2006 10:30 10.944 ocmsn.log 11/17/2006 10:30 75.488 tsoc.log 11/17/2006 10:30 17.675 KB923980.log 11/17/2006 10:30 9.888 msgsocm.log 11/17/2006 10:30 93.312 ocgen.log 11/17/2006 10:30 197.069 FaxSetup.log 11/17/2006 10:30 1.393 imsins.BAK 11/17/2006 10:30 17.763 KB924270.log 11/17/2006 10:30 16.409 updspapi.log 11/17/2006 10:29 16.204 KB920213.log 10/12/2006 02:03 14.223 KB924191.log 10/12/2006 02:03 13.820 KB922819.log 10/12/2006 02:02 12.025 KB923414.log 10/12/2006 02:02 12.074 KB924496.log 10/12/2006 02:02 9.450 KB923191.log 09/27/2006 21:31 10.557 KB925486.log 09/25/2006 23:59 107 avmsysnet.log 09/25/2006 23:57 2.482 avmadd32.log 09/14/2006 00:12 13.098 KB920685.log 09/14/2006 00:12 14.738 KB920872.log 09/14/2006 00:12 13.245 KB919007.log 09/14/2006 00:12 9.313 KB922582.log 08/30/2006 17:56 44 liveup.ini 08/25/2006 11:08 7.909 wmsetup.log 08/13/2006 09:00 17.598 KB920214.log 08/13/2006 09:00 17.903 KB922616.log 08/13/2006 09:00 17.481 KB921398.log 08/13/2006 08:59 19.876 KB918899.log 08/13/2006 08:58 10.766 KB920670.log 08/13/2006 08:58 11.259 KB917422.log 08/11/2006 20:56 11.731 KB920683.log 08/11/2006 09:47 206 HPGdiPlus.ini 08/10/2006 08:26 11.094 KB921883.log DATFIND 4 Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\WINDOWS\Temp 12/05/2006 13:22 409 WGANotify.settings 12/05/2006 13:21 255 WGAErrLog.txt 12/04/2006 00:47 0 T30DebugLogFile.txt 3 Datei(en) 664 Bytes 0 Verzeichnis(se), 18.071.187.456 Bytes frei DATFIND 5 Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\WINDOWS\Downloaded Program Files 11/22/2006 23:10 2.072 vscanmsx.dat 11/15/2006 01:00 453 tinf.dat 11/15/2006 01:00 32 virscant.dat 11/15/2006 01:00 2.504 catalog.dat 11/15/2006 01:00 3.846.955 virscan9.dat 11/15/2006 01:00 1.632.046 virscan8.dat 11/15/2006 01:00 4.935.638 virscan7.dat 11/15/2006 01:00 6.899 ecbootil.vxd 11/15/2006 01:00 272.040 ecmsvr32.dll 11/15/2006 01:00 389.846 virscan6.dat 11/15/2006 01:00 2.933.516 virscan5.dat 11/15/2006 01:00 124.584 naveng32.dll 11/15/2006 01:00 882.344 navex32a.dll 11/15/2006 01:00 97.680 scrauth.dat 11/15/2006 01:00 9.237 symaveng.cat 11/15/2006 01:00 1.061 symaveng.inf 11/15/2006 01:00 186.790 tcdefs.dat 11/15/2006 01:00 1.048.656 tcscan7.dat 11/15/2006 01:00 320.725 tcscan8.dat 11/15/2006 01:00 709.177 tcscan9.dat 11/15/2006 01:00 224 zdone.dat 11/15/2006 01:00 148 tinfidx.dat 11/15/2006 01:00 1.957 tinfl.dat 11/15/2006 01:00 320.186 virscan4.dat 11/15/2006 01:00 61.669 tscan1.dat 11/15/2006 01:00 3.027 tscan1hd.dat 11/15/2006 01:00 4.778 v.grd 11/15/2006 01:00 2.269 v.sig 11/15/2006 01:00 106.244 virscan.inf 11/15/2006 01:00 971.811 virscan1.dat 11/15/2006 01:00 569.844 virscan2.dat 11/15/2006 01:00 146.864 virscan3.dat 11/10/2006 23:43 23.801 index.html DATFIND 6 Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\ 12/05/2006 13:56 0 sys.txt 12/05/2006 13:55 2.242 down.txt 12/05/2006 13:54 382 tmp.txt 12/05/2006 13:53 10.680 system.txt 12/05/2006 13:52 2.266 systemtemp.txt 12/05/2006 13:50 98.756 system32.txt 12/05/2006 13:21 536.268.800 hiberfil.sys 12/05/2006 13:21 1.073.741.824 pagefile.sys 12/04/2006 13:31 0 avenger.txt 12/03/2006 18:51 11.216 ComboFix.txt 12/03/2006 17:49 11.075 ComboFix2.txt 11/07/2006 18:48 2.586 ttt.ttt 07/16/2006 10:53 146 YServer.txt 01/03/2006 10:21 211 boot.ini Das wars für diesmal. Gruß MrHiller |
|
|
||
05.12.2006, 15:43
Ehrenmitglied
Beiträge: 29434 |
#8
««
Vundofix: ich habe das proggie (nur fuer dich) mal auf meinen Server geladen.... http://virus-protect.org/zip/VundoFix.exe poste dann den scanreport «« versuche es noch mal: Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2006, 17:05
...neu hier
Themenstarter Beiträge: 8 |
#9
Hallo Sabina
Vielen Dank für die Datei VundoFix. Dieser Download hat geklappt. Der Durchlauf des Programmes wurde unterbrochen als es auf die Datei mp4c42.dll stiess durch die Virusmeldung von ANTIVIR mit dem aktuellen conHook.gen, den wir runterkriegen wollen. Als Ergebnis von VundoFix kam: Done searching for files. No infected files found. Avenger läuft nicht: Nach Eingabe des Scriptes erscheint: ERROR "could not create zip file" Nach "OK" kommt ne neue Meldung: ERROR "Press OK to log error and continue or cancel to abort". Nach "OK" neue ERROR Meldung: "ERROR code 5". Danach neue ERROR Meldung: "could not create service key" verbunden mit der ANTIVIR Meldung unseres Viruses. Danch neue ERROR Meldung: "Error code 1813. Error logged to error.txt. Aborting now." Danach war das Programm beendet. ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 5 Fatal error: could not create Services key. Error code: 1813 Error logged to errorlog.txt. Aborting now! Langsam befürchte ich, daß wir das Ding nicht mehr wegbekommen. Oder noch chancen????? Gruß MrHiller |
|
|
||
06.12.2006, 00:18
Ehrenmitglied
Beiträge: 29434 |
#10
ich habe den Verdacht dass du das avengerscript nicht korrekt anwendest
kopierst du "Zitat" mit rein ???? « Input script manually (anhaken) « die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) « kopiere das script rein (ohne Zitat) « - Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2006, 01:36
...neu hier
Themenstarter Beiträge: 8 |
#11
Hi Sabina,
Hier ist der Text, den ich als avengerscript manuell einkopiere: registry keys to delete: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CAEFE60-74A0-42D4-A30F-574459C93EE3} HKLM\SOFTWARE\Classes\CLSID\{9CAEFE60-74A0-42D4-A30F-574459C93EE3} HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yyptdwn HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp4c42 Files to delete: C:\WINDOWS\system32\mp4c42.dll C:\WINDOWS\system32\ddcyw.exe Diesmal hat das Programm sogar soweit gearbeitet, daß es automatisch neugestartet ist, nachdem es mir gesagt hat, daß der 1. Schritt erledigt sei. Nach dem Neustart ist Windows bis in die Icons auf dem Desktop gekommen und hat dann mehrmals automatisch neu gestartet. Als mir das zuviel wurde, habe ich ihn ausgeschaltet und neu gestartet. Dann lief er wieder einwandfrei. Aber KASPERSKY hat ununterbrochen alle 20 Sekunden die Virusmeldung rausgekrächtst. Nachdem ich dann KASPERSKY abgeschltet habe, hat AntiVir angefangen ständig den Virus anzuzeigen. Aveneger hat keine neue TextDatei angelegt und auch keine neue LOG-Datei bzw. finde ich erstmal keine indem AVENGER Ordner. Gruß MrHiller |
|
|
||
06.12.2006, 11:47
Ehrenmitglied
Beiträge: 29434 |
#12
««
Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere den Code rein: Zitat echo ** This batch was originally written by OSC **3. Speichere die Datei als findtheother.bat auf dem Desktop 4. Doppel klick auf diese Datei findtheother.bat ((abkopieren und posten) _______ «« poste den report RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2006, 01:11
...neu hier
Themenstarter Beiträge: 8 |
#13
Hi,
Hier ist der angeforderte LOG von findtheother.bat ************************************ **These are the hidden files found** ************************************ Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS\system32 **These are the system files found** ************************************ Datentr?ger in Laufwerk C: ist VAIO Volumeseriennummer: B06E-6CFF Verzeichnis von C:\WINDOWS\system32 Mehr kam hier nicht raus. Beim Abarbeiten der Batchdatei erschin am Ende eine Meldung "zugriff verweigert" oder so ähnlich und es stand irgendwas von "Flash....." oder ähnliches dabei. Genau konnte ich das nicht lesen, da das Ablauffenster sofort verschand und die Listdatei aufgebaut wurde. Als Ergebnis des Rootkit Durchlaufes habe ich als letzte Meldung erhalten: "Scan complete. 69118 discrepancies found." Danach wollte ich die Datei speichern und als Anhang schicken, da sie sehr lang zu sein schien. Aber während des Abspeicherns hat sich das Programm aufgehäng un ist nun blockiert (im Taskmanager: "keine Rückmeldung " ). Darauf habe ich es geshlossen, ohne nun den Scan schicken zu können. Während des Suchlaufes hat Antivirus 2x unseren LieblingsVirus gemeldet. Wär ja auch noch shöner, wenn mal was korrekt funktionieren würde. Was kann ich noch tun? Gruß MrHiller, |
|
|
||
07.12.2006, 01:22
Ehrenmitglied
Beiträge: 29434 |
#14
0.
http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste den text 1. wenn du es in die killbox kopierst und so loeschst ??? C:\WINDOWS\system32\mp4c42.dll http://virus-protect.org/killbox.html 2. scanne mit antivirus im abgesicherten Modus, speichere den scanreport und poste ihn hier, damit ich sehe, was /wie/wo der scanner findet __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2006, 00:25
...neu hier
Themenstarter Beiträge: 8 |
#15
Hallo,
Punkt 1 Ich habe blacklight laufen lassen. Aber ich bekam nach ner Weile die Meldung: "Scan partially completed. (Error 8001 2)" No hidden items found. Hier ist die Textdatei: 12/07/06 23:37:31 [Info]: BlackLight Engine 1.0.47 initialized 12/07/06 23:37:31 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/07/06 23:37:31 [Note]: 7019 4 12/07/06 23:37:31 [Note]: 7005 0 12/07/06 23:37:31 [Error]: 6002 0 12/07/06 23:37:37 [Note]: 7006 0 12/07/06 23:37:37 [Note]: 7011 1596 12/07/06 23:37:37 [Note]: 8001 2 12/07/06 23:37:57 [Note]: FSRAW library version 1.7.1020 12/07/06 23:38:01 [Note]: 4020 6607 131072 12/07/06 23:38:01 [Note]: 4018 6607 131072 12/07/06 23:38:04 [Note]: 4020 6607 131072 12/07/06 23:38:04 [Note]: 4018 6607 131072 12/07/06 23:50:58 [Note]: 7006 0 12/07/06 23:50:58 [Note]: 7011 1596 12/07/06 23:50:58 [Note]: 8001 2 12/07/06 23:51:03 [Note]: FSRAW library version 1.7.1020 12/07/06 23:51:07 [Note]: 4020 6607 131072 12/07/06 23:51:07 [Note]: 4018 6607 131072 12/07/06 23:51:10 [Note]: 4020 6607 131072 12/07/06 23:51:10 [Note]: 4018 6607 131072 Punkt 2 Ich habe das programm killbox.exe gestartet und die Virusdatei eingegeben. Das programm meldet: "File could not be deleted. Danch beomme ich nun alle ca. 20sec von Antivir die Virusmeldung, die ich jeweils mit "Zugriff verweigérn oder "Löschen" oder "Quarantäne" abschliesse. Sie kommt immer wieder, sodaß ich nun erstmal den computer neu starte, bevor ich den Rest meiner Hausaufgabe (Antivir laufen lassen) erledige. Hier das AntiVir LOG: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Freitag, 8. Dezember 2006 01:36 Es wird nach 571968 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Ich Computername: WOLFGANG Versionsinformationen: AVSCAN.EXE : 7.0.0.47 200744 11/20/2006 20:29:33 AVSCAN.DLL : 7.0.0.45 41000 11/20/2006 20:29:33 LUKE.DLL : 7.0.0.47 118824 11/20/2006 20:29:34 LUKERES.DLL : 7.0.0.47 9256 11/20/2006 20:29:34 ANTIVIR0.VDF : 6.35.0.1 7371264 05/31/2006 16:06:51 ANTIVIR1.VDF : 6.36.1.24 2212864 11/14/2006 20:29:34 ANTIVIR2.VDF : 6.36.1.113 221696 12/01/2006 23:49:14 ANTIVIR3.VDF : 6.36.1.120 36864 12/02/2006 23:49:14 AVEWIN32.DLL : 7.2.0.46 1925632 12/03/2006 23:49:15 AVPREF.DLL : 7.0.0.2 23080 11/20/2006 20:29:33 AVREP.DLL : 6.36.1.111 983080 12/03/2006 23:49:14 AVRPBASE.DLL : 7.0.0.0 2162728 05/17/2006 10:56:20 AVPACK32.DLL : 7.2.0.5 368680 11/20/2006 20:29:35 AVREG.DLL : 6.31.0.90 27688 07/28/2005 10:06:24 NETNT.DLL : 6.32.0.0 6696 09/27/2005 07:56:48 NETNW.DLL : 7.0.0.0 9768 11/20/2006 20:29:34 RCIMAGE.DLL : 7.0.0.74 1642536 11/20/2006 20:29:28 RCTEXT.DLL : 7.0.1.4 77864 11/20/2006 20:29:28 Konfiguration für den aktuellen Suchlauf: Job Name......................: Manuelle Auswahl Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Bootsektoren..................: A,C,D,E,F,G,H,I Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: 0 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Freitag, 8. Dezember 2006 01:36 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 4 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'G:\' [HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt! Bootsektor 'H:\' [HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Bootsektor 'I:\' [HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 32 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\ntuser.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\NTUSER.DAT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\MARAF.tmp [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IST0BYX\bg_ebiz_left[1].jpg [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IST0BYX\bg_ebiz_right[1].jpg [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6FUXOBQH\clickinfingers[1].htm [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7J1J35KW\start[7].pl [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5ER0HM3\wafooter[1].jpg [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I8AD39SS\leftline[2].gif [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB824141$\user32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB824141$\win32k.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\hh.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\html32.cnv [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\itircl.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\itss.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\locator.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\magnify.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\narrator.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\newdev.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ole32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\shdocvw.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\shell32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\srv.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\urlmon.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\user32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\win32k.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ828026$\wmp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\mp4c42.dll [FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\DEFAULT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SOFTWARE.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SYSTEM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad I:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Freitag, 8. Dezember 2006 08:40 Benötigte Zeit: 7:03:38 min Der Suchlauf wurde vollständig durchgeführt. 8623 Verzeichnisse wurden überprüft 369165 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 9497 Archive wurden durchsucht 66 Warnungen 20 Hinweise Ich hoff es hilft jetzt etwas weiter. Gruß MrHiller Dieser Beitrag wurde am 08.12.2006 um 23:12 Uhr von MrHiller editiert.
|
|
|
||
seit einer Weile bekomme ich immer wieder die Meldung:
Virus gefunden:
C:windows\sys32\mp4c42.dll ist das trojanische Pferd TR/DLDR.ConHook.Gen .
Diese Datei lässt sich nicht löschen.
Inzwischen sind nun auch einige Dateien von Windows zerstört bzw werden als defekt gemeldet.
Leider bin ich sehr unerfahren mit solchen Dingen.
Zu diesem Virus war von TomTom bereits ein Beitrag im Forum drin, den ich zwar gelesen aber nicht wirklich verstanden habe.
Aber anhand Eurer Anleitung habe ich versucht die logfiles zu erstellen.
1. HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 19:30:39, on 12/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
D:\Internet\NewNetMail Courier\NewNetMailCourier.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Internet\Roboform\RoboTaskBarIcon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\locator.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Internet\Crazy Browser\Crazy Browser.exe
D:\Internet\MozillaThunderbird\thunderbird.exe
C:\WINDOWS\NOTEPAD.EXE
D:\Internet\Opera723\Opera.exe
D:\DOWNLOAD\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Internet/Surf%20Starter%20Pro/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll
O2 - BHO: (no name) - {9CAEFE60-74A0-42D4-A30F-574459C93EE3} - C:\WINDOWS\system32\mp4c42.dll
O3 - Toolbar: StockBar Class - {07A3D336-90D3-4C90-922D-7257D56434BF} - D:\Internet\TrafficToolbar\Traffic_Toolbar\htmlbar.dll
O3 - Toolbar: Instant Bu&zz - {7475D3FD-5D85-49DB-8B9B-6968467B2D80} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\Anti-Virus-eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NewNetMailCourier] D:\Internet\NewNetMail Courier\NewNetMailCourier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RoboForm] "D:\Internet\Roboform\RoboTaskBarIcon.exe"
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: RF - Formular ausfüllen - file://D:\Internet\Roboform\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://D:\Internet\Roboform\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://D:\Internet\Roboform\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Instant Buzz - {066040F0-5018-4E15-8AA0-81D36136D989} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{75D7AE23-4283-4D78-9F57-EF40C1F89B07}: NameServer = 192.168.178.1
O20 - Winlogon Notify: mp4c42 - C:\WINDOWS\SYSTEM32\mp4c42.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
2. Cleanup scheint es nicht mehr zu geben, da der angegebene Link sich
nicht laden lässt (mit copy & paste in verschiedenen browsern ausprobiert).
3. combofix
Ich - 06-12-03 18:49:55,18 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Ich\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))
2006-11-28 23:26 <DIR> d-------- C:\WINDOWS\LastGood
2006-11-26 22:35 <DIR> d-------- C:\Programme\Little Big Backup 2
2006-11-26 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-11-22 23:08 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2006-11-17 10:30 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]
[color=red]Rootkit driver msguard is present. A rootkit scan is required[/color]
[color=red]Rootkit driver lzx32 is present. A rootkit scan is required[/color]
2006-12-03 18:48 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Skype
2006-12-03 15:10 -------- d-------- C:\Programme\HP
2006-11-23 10:23 5686 --a------ C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\BestModePatch_RubenMain.log
2006-11-17 10:29 -------- d-------- C:\Programme\Internet Explorer
2006-11-11 17:45 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\AdobeUM
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-05 23:33 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\FRITZ!
2006-09-22 08:05 16934 --------- C:\WINDOWS\system32\mp4c42.dll
2006-09-22 08:04 23470 --a------ C:\WINDOWS\system32\ddcyw.exe
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"D:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe\" -quiet"
"ProfiDialer"=""
"NewNetMailCourier"="D:\\Internet\\NewNetMail Courier\\NewNetMailCourier.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"RoboForm"="\"D:\\Internet\\Roboform\\RoboTaskBarIcon.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ezShieldProtector for Px"="C:\\WINDOWS\\System32\\ezSP_Px.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"MailScan Dispatcher"="\"D:\\Programme\\Anti-Virus-eScan\\LAUNCH.EXE\""
"eScan Updater"="D:\\PROGRA~1\\ANTI-V~1\\TRAYICOS.EXE /App"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"RegistryMechanic"=""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"D:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"D:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Ich^Startmenü^Programme^Autostart^ScreenJump23.exe]
"path"="d:\\internet\\screenjump\\screenjump23.exe"
"backup"="C:\\WINDOWS\\pss\\ScreenJump23.exeStartup"
"location"="Startup"
"command"="d:\\internet\\screenjump\\screenjump23.exe"
"item"="ScreenJump23"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Ich^Startmenü^Programme^Autostart^SpamPal.lnk]
"backup"="C:\\WINDOWS\\pss\\SpamPal.lnkStartup"
"location"="Startup"
"command"="D:\\Internet\\SpamPal\\spampal.exe "
"item"="SpamPal"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\conscorr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="conscorr"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DragDrop"
"hkey"="HKLM"
"command"="C:\\Programme\\drag'n drop cd+dvd\\BinFiles\\DragDrop.exe /StartUp"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FSCBoss]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FSCBoss"
"hkey"="HKCU"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Marketing Tips Messenger]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Marketing Tips Messenger"
"hkey"="HKLM"
"command"="c:\\windows\\ablage\\marketing tips messenger.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDT]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MDT"
"hkey"="HKCU"
"command"="D:\\Internet\\MillionDollarTraffic\\MDT.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaPilot]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MediaPilot"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msbb"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\satmat]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="satmat"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Subliminal Power]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SubliminalPower"
"hkey"="HKLM"
"command"="D:\\Programme\\Subliminal Power\\SubliminalPower.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wmplayer"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\WINDOW~2\\wmplayer.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebArmyKnife]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wak"
"hkey"="HKLM"
"command"="D:\\Internet\\Web Army Knife\\wak.exe q"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinPatrol]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winpatrol"
"hkey"="HKLM"
"command"="D:\\Internet\\BillP Studios\\WinPatrol\\winpatrol.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ypager"
"hkey"="HKCU"
"command"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\ypager.exe\" -quiet"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YourEasyStreet]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MediaPilot"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yyptdwn]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bzrqdz"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zlclient"
"hkey"="HKLM"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zticker.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zticker"
"hkey"="HKCU"
"command"="D:\\Programme\\Dale Carnegie\\zticker.exe"
"inimapping"="0"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp4c42
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-03 18:51:57.88
C:\ComboFix.txt ... 06-12-03 18:51
C:\ComboFix2.txt ... 06-12-03 17:49
4. DATFIND 1
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF
Verzeichnis von C:\WINDOWS\system32
12/03/2006 18:44 1.158 wpa.dbl
11/28/2006 23:22 381.692 perfh009.dat
11/28/2006 23:22 392.512 perfh007.dat
11/28/2006 23:22 53.436 perfc009.dat
11/28/2006 23:22 64.452 perfc007.dat
11/28/2006 23:22 902.476 PerfStringBackup.INI
11/16/2006 06:20 10.474.920 MRT.exe
11/04/2006 14:14 1.245.696 msxml4.dll
10/16/2006 11:40 123.392 xpsp3res.dll
10/13/2006 13:35 146.432 nwprovau.dll
09/22/2006 08:05 16.934 mp4c42.dll
09/22/2006 08:04 23.470 ddcyw.exe
09/14/2006 09:39 474.624 shlwapi.dll
09/14/2006 09:39 615.936 urlmon.dll
09/14/2006 09:39 664.576 wininet.dll
09/14/2006 09:39 39.424 pngfilt.dll
09/14/2006 09:39 532.480 mstime.dll
09/14/2006 09:39 3.075.584 mshtml.dll
09/14/2006 09:39 146.432 msrating.dll
09/14/2006 09:39 448.512 mshtmled.dll
09/14/2006 09:39 96.768 inseng.dll
09/14/2006 09:39 357.888 dxtmsft.dll
09/14/2006 09:39 251.392 iepeers.dll
09/14/2006 09:39 55.808 extmgr.dll
09/14/2006 09:39 16.384 jsproxy.dll
09/14/2006 09:39 205.312 dxtrans.dll
09/14/2006 09:39 1.056.256 danim.dll
09/14/2006 09:39 1.022.976 browseui.dll
09/14/2006 09:39 152.064 cdfview.dll
09/13/2006 06:02 1.084.416 msxml3.dll
09/04/2006 07:12 1.494.016 shdocvw.dll
Datfind 2
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF
Verzeichnis von C:\DOKUME~1\Ich\LOKALE~1\Temp
12/03/2006 19:30 16.384 ~DF7E09.tmp
12/03/2006 18:45 16.384 Perflib_Perfdata_704.dat
12/03/2006 18:43 16.384 ~DF24CE.tmp
12/03/2006 18:43 49.152 ~DFC2A6.tmp
12/03/2006 18:43 32.768 ~DF8AEE.tmp
11/21/2006 22:46 1.430 MARAF.tmp
6 Datei(en) 132.502 Bytes
0 Verzeichnis(se), 18.054.840.320 Bytes frei
DATFIND 3
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF
Verzeichnis von C:\WINDOWS
12/03/2006 19:21 2.822 win.ini
12/03/2006 18:50 1.644.110 WindowsUpdate.log
12/03/2006 18:45 2.822 win.tmp
12/03/2006 18:44 474.580 ESCAN.LOG
12/03/2006 18:44 172.111 setupapi.log
12/03/2006 18:43 0 0.log
12/03/2006 18:43 3.832 ModemLog_Agere Systems AC'97 Modem.txt
12/03/2006 18:43 159 wiadebug.log
12/03/2006 18:43 50 wiaservc.log
12/03/2006 18:43 26.775 frights.log
12/03/2006 18:43 2.048 bootstat.dat
12/03/2006 18:41 32.556 SchedLgU.Txt
12/03/2006 14:08 63.481 KB922760.log
12/03/2006 01:20 20.639 ie7_main.log
12/03/2006 01:20 3.521 KB915865.log
12/03/2006 01:19 3.795 KB914440.log
12/03/2006 01:19 7.548 KB904942.log
11/28/2006 23:11 248.780 ntbtlog.txt
11/28/2006 22:41 127 CPERROR.LOG
11/27/2006 01:59 86 klif.spi
11/23/2006 10:24 214 HP_48BitScanUpdatePatch.ini
11/18/2006 13:03 54.156 QTFont.qfn
11/17/2006 10:30 31.576 iis6.log
11/17/2006 10:30 65.350 comsetup.log
11/17/2006 10:30 39.695 ntdtcsetup.log
11/17/2006 10:30 75.488 tsoc.log
11/17/2006 10:30 1.393 imsins.log
11/17/2006 10:30 10.944 ocmsn.log
11/17/2006 10:30 17.675 KB923980.log
11/17/2006 10:30 93.312 ocgen.log
11/17/2006 10:30 9.888 msgsocm.log
11/17/2006 10:30 197.069 FaxSetup.log
11/17/2006 10:30 1.393 imsins.BAK
11/17/2006 10:30 17.763 KB924270.log
11/17/2006 10:30 16.409 updspapi.log
11/17/2006 10:29 16.204 KB920213.log
10/12/2006 02:03 14.223 KB924191.log
10/12/2006 02:03 13.820 KB922819.log
10/12/2006 02:02 12.025 KB923414.log
10/12/2006 02:02 12.074 KB924496.log
10/12/2006 02:02 9.450 KB923191.log
09/27/2006 21:31 10.557 KB925486.log
09/25/2006 23:59 107 avmsysnet.log
09/25/2006 23:57 2.482 avmadd32.log
09/14/2006 00:12 13.098 KB920685.log
09/14/2006 00:12 14.738 KB920872.log
09/14/2006 00:12 13.245 KB919007.log
09/14/2006 00:12 9.313 KB922582.log
DATFIND 4
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF
Verzeichnis von C:\WINDOWS\Temp
DATFIND 5
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF
Verzeichnis von C:\WINDOWS\Downloaded Program Files
11/22/2006 23:10 2.072 vscanmsx.dat
11/15/2006 01:00 453 tinf.dat
11/15/2006 01:00 32 virscant.dat
11/15/2006 01:00 2.504 catalog.dat
11/15/2006 01:00 3.846.955 virscan9.dat
11/15/2006 01:00 1.632.046 virscan8.dat
11/15/2006 01:00 4.935.638 virscan7.dat
11/15/2006 01:00 6.899 ecbootil.vxd
11/15/2006 01:00 272.040 ecmsvr32.dll
11/15/2006 01:00 389.846 virscan6.dat
11/15/2006 01:00 2.933.516 virscan5.dat
11/15/2006 01:00 124.584 naveng32.dll
11/15/2006 01:00 882.344 navex32a.dll
11/15/2006 01:00 97.680 scrauth.dat
11/15/2006 01:00 9.237 symaveng.cat
11/15/2006 01:00 1.061 symaveng.inf
11/15/2006 01:00 186.790 tcdefs.dat
11/15/2006 01:00 1.048.656 tcscan7.dat
11/15/2006 01:00 320.725 tcscan8.dat
11/15/2006 01:00 709.177 tcscan9.dat
11/15/2006 01:00 224 zdone.dat
11/15/2006 01:00 148 tinfidx.dat
11/15/2006 01:00 1.957 tinfl.dat
11/15/2006 01:00 320.186 virscan4.dat
11/15/2006 01:00 61.669 tscan1.dat
11/15/2006 01:00 3.027 tscan1hd.dat
11/15/2006 01:00 4.778 v.grd
11/15/2006 01:00 2.269 v.sig
11/15/2006 01:00 106.244 virscan.inf
11/15/2006 01:00 971.811 virscan1.dat
11/15/2006 01:00 569.844 virscan2.dat
11/15/2006 01:00 146.864 virscan3.dat
11/10/2006 23:43 23.801 index.html
10/07/2004 14:08 313 ActiveX.inf
03/09/2004 23:13 32 basis.key
03/09/2004 23:13 1.035 toolbar2.inf
03/09/2004 23:09 14.010 basis.xml
12/02/2003 18:09 65 desktop.ini
07/25/2002 17:13 24.576 dwusplay.dll
07/25/2002 17:13 196.608 dwusplay.exe
07/25/2002 17:05 172.032 isusweb.dll
41 Datei(en) 20.023.748 Bytes
0 Verzeichnis(se), 18.054.823.936 Bytes frei
DATFIND 6
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF
Verzeichnis von C:\
12/03/2006 21:32 0 sys.txt
12/03/2006 21:32 2.242 down.txt
12/03/2006 21:31 108 tmp.txt
12/03/2006 21:30 10.629 system.txt
12/03/2006 21:29 537 systemtemp.txt
12/03/2006 21:25 98.694 system32.txt
12/03/2006 18:51 11.216 ComboFix.txt
12/03/2006 18:43 536.268.800 hiberfil.sys
12/03/2006 18:43 1.073.741.824 pagefile.sys
12/03/2006 17:49 11.075 ComboFix2.txt
11/07/2006 18:48 2.586 ttt.ttt
07/16/2006 10:53 146 YServer.txt
01/03/2006 10:21 211 boot.ini
09/16/2005 13:06 47.564 NTDETECT.COM
09/16/2005 13:06 251.184 ntldr
05/28/2005 11:45 2 AVPCallback.log
12/13/2004 13:23 1.121 1.txt
11/14/2004 09:27 9.742 adp_inst.log
07/11/2004 22:15 55 AUTOEXEC.SOL
12/02/2003 18:10 0 IO.SYS
12/02/2003 18:10 0 CONFIG.SYS
12/02/2003 18:10 0 MSDOS.SYS
04/02/2003 13:00 4.952 bootfont.bin
23 Datei(en) 1.610.462.688 Bytes
0 Verzeichnis(se), 18.054.819.840 Bytes frei
Ich hoff, dass mir jemand helfen wird und möchte mich vorab schonmal bedanken. Weiterer Dank folgt dann..
Gruß
MrHiller