komischer Traffic auf port 135 - svchost.exe

#1 Hallo, ich hab seit einigen tagen komischen Traffic auf Port 135. Ich nutze einen Vigor Draytec 2500 router. In der NAT-Adress- und Port-Mapping-Tabelle finde ich dann 10-20 mal einen Eintrag.

-------------------------------------------------------------------------------
Private IP ort #Pseudo Port Peer IP ort Info Status
-------------------------------------------------------------------------------
192.168.1.$mySubIp$ 4726 34998 223.1.1.128 135 3 0

Die Peer ip ist dabei immer die selbe. Nur die Pseudoports innen wechseln.

Hinter der Ip 223.1.1.128 verbergen sich laut http://whois.webhosting.info/223.1.1.128

Domain Name
1 ABARRON.COM.
2 ABTSOFT.COM.
3 AUTOMATIONSTRATEGIES.COM.
4 CITIFIED.NET.
5 CPUROOM.COM.
6 CYBERWOLF.BIZ.
7 EXAMINAIR.COM.
8 GAGNEFUNERALHOME.COM.
9 JOHNCHEUNG.NET.

Wenn ich meine ip von aussen scannen lasse sagen mir scandienste alles sei Stealth. Hin und wieder tauchen auch komische verbindungen auf Port 23 und 22 auf (Telnet und SSH) die ich eigentlich nicht bewusst initiiert habe. Dort sind dann aber auch innen die pseudoports auf 22 bzw 23.

Ich habe schon virenscanner, spybots, rootkitdetektoren und sonstewas drüber laufen lassen aber finde nix.

Fragen:

1) Ist das normal (ich denke nicht...)
2) Kann ich irgendworan erkennen, ob die Verbindung von außen oder von innen initiiert wurde=
3) was kann ich noch tun (außer Format c: )

Bin für jeden rat dankbar...

#2 1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
versuche es hiermit rauszufinden:
http://virus-protect.org/artikel/tools/portexplorer.html
http://virus-protect.org/artikel/tools/tcpview.html

IceSword - laufende Prozesse, offene Ports, gestartete Dienste, Kernel-Module darstellen
http://virus-protect.org/artikel/tools/icesword.html

Port Authority Edition , Internet Vulnerability Profiling
http://virus-protect.org/portauthority.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke schön. Werd ich heute abend gleich mal testen.

Hab heute nacht mal Knoppicillin drüber gejagt (mit 3 Virenscannern). Er hat 1 Datei gefunden die infiziert war. Aber irgendwie hat er mir nicht verraten welche :/

#4 du kannst das log von combofix hier posten und von allen anderen Proggies, wenn sie etwas aufzeigen - berichten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Werd ich tun. Ich bin mir übrigens recht sicher, dass das von innen kommt.

http://virus-protect.org/portauthority.html hab ich nämlich schon gemacht, ( das meinte ich mit externen "Scandiensten" ). Und da war alles grasgrün.

Dieses "phänomen" wurde bereits bei 2 PC's im Subnet beobachtet (jeweils mit anderen peer-ip's). Vorgestern bei meinem PC. Gestern bei dem meines Bruders. Ich hatte das problem gestern abend dann erstmal dadurch "gelöst", dass ich auf dem Vigor-Router alles was auf Port 135 nach draußen geht auch gesperrt hab. Ansich sperrt man ja nur alles ungewollte, das von außen rein kommt. Ich hoffe, dass sich auch wieder was rührt, wenn ich den Port wieder öffne. Weil sonst kann ich mit den netten Tools da oben auch nix finden. Eigentlich wär es mir lieber wenn ich was finde, weil sonst bleibt ewig dieser fade beigeschmack, "da ist doch irgendwas...".

#6 sobald du was findest - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Das Problem ist so nicht mehr aufgetreten. Kann auch nix weiter finden. Habe jetzt allerdings eine neue Kuriosität. Auf meinem Router findet sich eine Verbindung von sub-ip 192.168.1.130 auf port 25 nach außen. Die verbindung geht zum yahoo mailserver. Soweit so gut. Es gibt keinen PC mit dieser sub-ip. die pc's hier haben hard kodierte ips und nutzen dhcp nicht. und die .130 ist nicht darunter. WLAN ist auch ausgeschaltet.

Gibt es Trojaner oder sonstewas, die sich über die selbe NW-karte mit einer anderen ip ans netz hängen können !?

#8 Sooo. Konnte den "übeltäter" finden. Es ist die svchost.exe. Nach wie vor:

TCP 192.168.1.11 : 4376 223.1.1.128 : 135 SYN_SENT 1860 C:\WINDOWS\System32\SVCHOST.EXE

Was ist das? Symatec antivirus sagt nix. :/. Irgendeine Idee was zu tun ist?

#9 Möglich wäre ein Virus oder Wurm, ich gehe davon aus das du google entsprechend bedienen kannst.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#10 borgg

http://virus-protect.org/artikel/tools/svchost_run.html
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

Poste, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Verzeichnis von c:\WINDOWS\system32

08/04/2004 02:00 PM 14,336 svchost.exe
1 Datei(en) 14,336 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

08/04/2004 02:00 PM 14,336 svchost.exe
1 Datei(en) 14,336 Bytes

Verzeichnis von c:\WINDOWS\I386

08/04/2004 02:00 PM 7,278 SVCHOST.EX_
1 Datei(en) 7,278 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8OT5UVN

01/31/2007 09:32 AM 12,324 svchost_run[1].htm
1 Datei(en) 12,324 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 48,274 Bytes
0 Verzeichnis(se), 2,082,406,400 Bytes frei

edit:
tasklist /SVC geht nicht

Der befehl "tasklist" wird garnicht angenommen. Der betreffende PC hat eine XP-Home drauf. Kann es sein, dass das nur unter XP-Prof geht ?

edit2:
Vielleicht noch interessant:

Auf dem Rechnr ist ein SonicWALL VPN client installiert. Zwar ist er gerade nicht aktiviert, aber ich habe einige Forenbeiträge gefunden, die die 223.1.1.128 mit SonicWALL in Verbindung bringen.

http://www.governmentsecurity.org/archive/t13559.html

http://www.velocityreviews.com/forums/t37778-vpn-error.html

http://www.sonicusers.com/forum/display_topic_threads.asp?ForumID=9&TopicID=1653&PagePosition=1

Mit ICESWORD habe ich bei nicht aktiver VPN software folgendes port log bekommen in dem diese Adresse als LOCAL auftaucht.:
Protocol Local Address Foreign Address State PID PathName
TCP 192.168.1.11 : 2175 64.12.28.200 : 5190 ESTABLISHED 3512 C:\Programme\Trillian\trillian.exe
TCP 223.1.1.128 : 2924 223.1.1.128 : 135 SYN_SENT 1864 C:\WINDOWS\System32\SVCHOST.EXE
TCP 192.168.1.11 : 2922 223.1.1.128 : 139 TIME_WAIT 0 ----
TCP 223.1.1.128 : 139 192.168.1.11 : 2917 TIME_WAIT 0 ----
TCP 192.168.1.11 : 2923 223.1.1.128 : 139 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2905 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2901 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2909 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2897 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 139 192.168.1.11 : 2922 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2906 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 139 192.168.1.11 : 2923 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2907 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2911 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 223.1.1.128 : 2915 223.1.1.128 : 445 TIME_WAIT 0 ----
TCP 192.168.1.11 : 2917 223.1.1.128 : 139 TIME_WAIT 0 ----
TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 192.168.1.11 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 223.1.1.128 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 1864 C:\WINDOWS\System32\SVCHOST.EXE
TCP 127.0.0.1 : 1025 0.0.0.0 : 0 LISTENING 1108 C:\WINDOWS\System32\ALG.EXE
TCP 127.0.0.1 : 5679 0.0.0.0 : 0 LISTENING 2252 C:\Programme\Microsoft ActiveSync\wcescomm.exe
TCP 0.0.0.0 : 990 0.0.0.0 : 0 LISTENING 3624 C:\Programme\Microsoft ActiveSync\rapimgr.exe
TCP 127.0.0.1 : 7438 0.0.0.0 : 0 LISTENING 2252 C:\Programme\Microsoft ActiveSync\wcescomm.exe
TCP 0.0.0.0 : 5225 0.0.0.0 : 0 LISTENING 3040 C:\Programme\Hewlett-Packard\Toolbox\JRE\BIN\JAVAW.EXE
TCP 0.0.0.0 : 8008 0.0.0.0 : 0 LISTENING 3040 C:\Programme\Hewlett-Packard\Toolbox\JRE\BIN\JAVAW.EXE
TCP 127.0.0.1 : 8005 0.0.0.0 : 0 LISTENING 3040 C:\Programme\Hewlett-Packard\Toolbox\JRE\BIN\JAVAW.EXE
TCP 0.0.0.0 : 2173 0.0.0.0 : 0 LISTENING 3512 C:\Programme\Trillian\trillian.exe
UDP 192.168.1.11 : 138 * : * 4 NT OS Kernel
UDP 223.1.1.128 : 137 * : * 4 NT OS Kernel
UDP 0.0.0.0 : 500 * : * 1628 C:\WINDOWS\System32\LSASS.EXE
UDP 192.168.1.11 : 123 * : * 260 C:\WINDOWS\System32\SVCHOST.EXE
UDP 0.0.0.0 : 1028 * : * 528 C:\WINDOWS\System32\SVCHOST.EXE
UDP 223.1.1.128 : 138 * : * 4 NT OS Kernel
UDP 223.1.1.128 : 123 * : * 260 C:\WINDOWS\System32\SVCHOST.EXE
UDP 0.0.0.0 : 2967 * : * 1900 C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
UDP 127.0.0.1 : 123 * : * 260 C:\WINDOWS\System32\SVCHOST.EXE
UDP 192.168.1.11 : 1900 * : * 932 C:\WINDOWS\System32\SVCHOST.EXE
UDP 0.0.0.0 : 1859 * : * 528 C:\WINDOWS\System32\SVCHOST.EXE
UDP 192.168.1.11 : 137 * : * 4 NT OS Kernel
UDP 223.1.1.128 : 1900 * : * 932 C:\WINDOWS\System32\SVCHOST.EXE
UDP 127.0.0.1 : 1900 * : * 932 C:\WINDOWS\System32\SVCHOST.EXE
UDP 0.0.0.0 : 4500 * : * 1628 C:\WINDOWS\System32\LSASS.EXE
UDP 0.0.0.0 : 1860 * : * 528 C:\WINDOWS\System32\SVCHOST.EXE
UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel
RAW --- --- --- 4 NT OS Kernel
RAW --- --- --- 4 NT OS Kernel
RAW --- --- --- 4 NT OS Kernel
RAW --- --- --- 1628 C:\WINDOWS\System32\LSASS.EXE
RAW --- --- --- 828 C:\WINDOWS\System32\ZoneLabs\VSMON.EXE

#12 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Folders to delete:
c:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8OT5UVN

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
--------------------------------------------------------------------------------
««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

--------------

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 AVENGER LOG:

---------------------------------------------------------------------------
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\diwfxuvy

*******************

Script file located at: \??\C:\WINDOWS\system32\cmkthgsd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder c:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8OT5UVN deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
---------------------------------------------------------------------------

SDFix log:
---------------------------------------------------------------------------
SDFix: Version 1.63

Thu 02/01/2007 - 0:01:22.85

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"
"C:\\Programme\\Hewlett-Packard\\Toolbox\\JRE\\BIN\\JAVAW.EXE"="C:\\Programme\\Hewlett-Packard\\Toolbox\\JRE\\BIN\\JAVAW.EXE:*isabled:JAVAW"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\hiberfil.sys
C:\temp\~WRL0002.tmp
C:\Recycled\Dc208.tmp

Finished
---------------------------------------------------------------------------

Cleanup log ist ganz schön lang

---------------------------------------------------------------------------

SYSTEM32.TXT:
---------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS\system32

02/01/2007 12:29 AM 1,158 wpa.dbl
02/01/2007 12:05 AM 54,112 vsconfig.xml
01/23/2007 03:29 PM 102,608 GDIPFONTCACHEV1.DAT
01/21/2007 03:17 PM 415,698 perfh007.dat
01/21/2007 03:17 PM 75,384 perfc007.dat
01/21/2007 03:17 PM 62,620 perfc009.dat
01/21/2007 03:17 PM 400,958 perfh009.dat
01/21/2007 03:17 PM 965,954 PerfStringBackup.INI
01/21/2007 03:08 PM 355,360 FNTCACHE.DAT
01/21/2007 03:00 PM 5,670 mapisvc.inf
01/08/2007 03:42 PM 0 _r_a_p_.tmp
01/02/2007 03:19 PM 10,980,776 MRT.exe
12/22/2006 03:59 PM 98,304 CmdLineExt.dll
12/07/2006 05:02 PM 2,174,976 wmvcore.dll
11/17/2006 06:54 PM 1,040,384 ieframe.dll.mui
11/17/2006 06:53 PM 12,288 advpack.dll.mui
11/08/2006 06:06 AM 679,424 inetcomm.dll
11/07/2006 09:03 PM 475,648 mshtmled.dll
11/07/2006 09:03 PM 180,736 ieui.dll
11/07/2006 09:03 PM 156,160 msls31.dll
11/07/2006 09:03 PM 3,577,856 mshtml.dll
11/07/2006 09:03 PM 231,424 webcheck.dll
11/07/2006 09:03 PM 670,720 mstime.dll
11/07/2006 09:03 PM 191,488 iepeers.dll
11/07/2006 09:03 PM 6,049,280 ieframe.dll
11/07/2006 09:03 PM 818,688 wininet.dll
11/07/2006 09:03 PM 413,696 vbscript.dll
11/07/2006 09:03 PM 458,752 msfeeds.dll
11/07/2006 09:03 PM 50,688 msfeedsbs.dll
11/07/2006 09:03 PM 27,136 jsproxy.dll
11/07/2006 09:03 PM 1,162,240 urlmon.dll
11/07/2006 09:03 PM 131,584 extmgr.dll
11/07/2006 03:27 AM 382,976 iedkcs32.dll
11/07/2006 03:27 AM 229,376 ieaksie.dll
11/07/2006 03:26 AM 152,064 ieakeng.dll
11/07/2006 03:26 AM 71,680 admparse.dll
11/07/2006 03:26 AM 55,296 iesetup.dll
11/07/2006 03:26 AM 13,312 ieudinit.exe
11/07/2006 03:26 AM 43,008 iernonce.dll
11/07/2006 03:26 AM 54,784 ie4uinit.exe
11/07/2006 03:26 AM 123,904 advpack.dll
11/07/2006 03:26 AM 92,672 inseng.dll
11/07/2006 03:25 AM 161,792 ieakui.dll
11/07/2006 03:24 AM 56,483 ieuinit.inf
11/04/2006 02:14 PM 1,245,696 msxml4.dll
10/23/2006 04:34 PM 474,624 shlwapi.dll
10/23/2006 04:34 PM 1,497,600 shdocvw.dll
10/23/2006 04:34 PM 1,056,256 danim.dll
10/23/2006 04:34 PM 152,064 cdfview.dll
10/23/2006 04:34 PM 1,022,976 browseui.dll
10/23/2006 12:43 PM 270,336 xpsp3res.dll
10/20/2006 02:38 AM 715,776 sxs.dll
10/17/2006 12:06 PM 443,904 html.iec
10/17/2006 12:06 PM 78,336 ieencode.dll
10/17/2006 12:05 PM 206,336 WinFXDocObj.exe
10/17/2006 12:05 PM 1,817,088 inetcpl.cpl
10/17/2006 12:05 PM 105,984 url.dll
10/17/2006 12:05 PM 192,000 msrating.dll
10/17/2006 12:05 PM 40,960 licmgr10.dll
10/17/2006 12:04 PM 101,376 occache.dll
10/17/2006 12:03 PM 17,408 corpol.dll
10/17/2006 12:00 PM 491,520 jscript.dll
10/17/2006 11:58 AM 12,288 msfeedssync.exe
10/17/2006 11:58 AM 61,952 icardie.dll
10/17/2006 11:58 AM 44,544 pngfilt.dll
10/17/2006 11:58 AM 346,624 dxtmsft.dll
10/17/2006 11:57 AM 36,352 imgutil.dll
10/17/2006 11:57 AM 214,528 dxtrans.dll
10/17/2006 11:57 AM 266,752 iertutil.dll
10/17/2006 11:56 AM 45,568 mshta.exe
10/17/2006 11:55 AM 66,560 tdc.ocx
10/17/2006 11:28 AM 48,128 mshtmler.dll
10/17/2006 11:27 AM 380,928 ieapfltr.dll
10/17/2006 11:19 AM 1,383,424 mshtml.tlb
10/13/2006 01:35 PM 146,432 nwprovau.dll
09/30/2006 11:10 AM 4,212 zllictbl.dat
09/23/2006 12:12 PM 82,428 IE7Eula.rtf
09/13/2006 06:02 AM 1,084,416 msxml3.dll
09/06/2006 04:42 PM 22,752 spupdsvc.exe
09/05/2006 11:01 PM 2,451,824 ieapfltr.dat
09/01/2006 07:44 AM 1,988 ticrf.rat
09/01/2006 07:44 AM 8,798 icrav03.rat


---------------------------------------------------------------------------
SYSTEMTEMP.TXT
---------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\DOKUME~1\Ralf\LOKALE~1\Temp

02/01/2007 12:30 AM 1,365,875 jar_cache4974.tmp
02/01/2007 12:30 AM 7,529 jar_cache4973.tmp
02/01/2007 12:30 AM 436,249 jar_cache4975.tmp
02/01/2007 12:30 AM 198 toolbox_healer4972.log
02/01/2007 12:30 AM 436,249 jar_cache4971.tmp
02/01/2007 12:30 AM 48,421 jar_cache4970.tmp
02/01/2007 12:30 AM 512,635 jar_cache4969.tmp
02/01/2007 12:29 AM 33,381 jar_cache4965.tmp
02/01/2007 12:29 AM 1,365,875 jar_cache4966.tmp
02/01/2007 12:29 AM 11,321 jar_cache4967.tmp
02/01/2007 12:29 AM 7,529 jar_cache4963.tmp
02/01/2007 12:29 AM 444,591 jar_cache4964.tmp
02/01/2007 12:29 AM 5,830 jar_cache4968.tmp
02/01/2007 12:29 AM 1,365,875 jar_cache4961.tmp
02/01/2007 12:29 AM 304,699 jar_cache4960.tmp
02/01/2007 12:29 AM 7,529 jar_cache4959.tmp
02/01/2007 12:29 AM 436,249 jar_cache4962.tmp
02/01/2007 12:29 AM 468 WCESCOMM.LOG
02/01/2007 12:29 AM 201 newtb1handler.log
02/01/2007 12:28 AM 81,920 ~DFD819.tmp
02/01/2007 12:28 AM 198 toolbox_healer49569.log
02/01/2007 12:28 AM 20,227 WCESLog.log
22 Datei(en) 6,893,049 Bytes
0 Verzeichnis(se), 2,650,882,048 Bytes frei
---------------------------------------------------------------------------
SYSTEM.TXT
---------------------------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS

02/01/2007 12:05 AM 159 wiadebug.log
02/01/2007 12:04 AM 0 0.log
02/01/2007 12:04 AM 2,048 bootstat.dat
01/31/2007 11:59 PM 442,696 ntbtlog.txt
01/31/2007 11:58 PM 1,781,688 WindowsUpdate.log
01/31/2007 11:58 PM 50 wiaservc.log
01/31/2007 11:58 PM 32,626 SchedLgU.Txt
01/31/2007 09:06 PM 5,571,584 outlook.pst
01/31/2007 08:51 PM 61,064 Ralf8.xlb
01/31/2007 08:51 PM 706,560 offitems.log
01/31/2007 07:28 PM 7,297 MSFSLOG.TXT
01/30/2007 09:09 AM 989 win.ini
01/26/2007 12:09 PM 233,054 setupapi.log
01/21/2007 11:12 PM 155 winamp.ini
01/21/2007 11:02 PM 12,688 KB909394.log
01/21/2007 06:28 PM 12,352 ModemLog_Sony Ericsson Device 039 USB WMC Data Modem.txt
01/21/2007 03:05 PM 29,472 ocmsn.log
01/21/2007 03:05 PM 26,588 msgsocm.log
01/21/2007 03:05 PM 209,842 tsoc.log
01/21/2007 03:05 PM 111,268 ntdtcsetup.log
01/21/2007 03:05 PM 184,735 comsetup.log
01/21/2007 03:05 PM 83,599 iis6.log
01/21/2007 03:05 PM 1,374 imsins.log
01/21/2007 03:05 PM 268,088 ocgen.log
01/21/2007 03:05 PM 532,862 FaxSetup.log
01/21/2007 03:05 PM 60,316 updspapi.log
01/21/2007 03:01 PM 774 ODBC.INI
01/19/2007 10:58 AM 95,400 wmsetup.log
01/19/2007 10:58 AM 316,640 WMSysPr9.prx
01/19/2007 10:57 AM 25,659 DirectX.log
01/17/2007 10:30 AM 7,200 spupdsvc.log
01/17/2007 10:07 AM 21,273 ie7_main.log
01/17/2007 10:07 AM 1,374 imsins.BAK
01/17/2007 10:07 AM 72,403 ie7.log
01/17/2007 10:05 AM 25,450 IDNMitigationAPIs.log
01/17/2007 10:04 AM 25,154 NLSDownlevelMapping.log
01/17/2007 10:04 AM 20,402 KB915865.log
01/17/2007 10:03 AM 57,503 KB925454.log
01/17/2007 10:03 AM 19,683 KB914440.log
01/17/2007 09:11 AM 26,210 KB929969.log
01/17/2007 09:11 AM 27,947 KB923689.log
01/17/2007 09:11 AM 27,252 KB925398.log
01/17/2007 09:10 AM 26,479 KB923694.log
01/17/2007 09:10 AM 25,934 KB926255.log
01/17/2007 09:09 AM 25,669 KB923980.log
01/17/2007 09:09 AM 20,571 KB924270.log
01/17/2007 09:08 AM 19,535 KB920213.log
01/17/2007 09:03 AM 17,477 KB922819.log
01/17/2007 09:03 AM 15,681 KB924191.log
01/17/2007 09:03 AM 12,664 KB923191.log
01/17/2007 09:03 AM 14,810 KB924496.log
01/17/2007 09:03 AM 14,298 KB923414.log
01/17/2007 09:03 AM 16,007 KB920872.log
01/17/2007 09:03 AM 14,194 KB920685.log
01/17/2007 09:02 AM 14,353 KB919007.log
01/17/2007 09:02 AM 10,344 KB922582.log
01/08/2007 03:38 PM 0 eDrawingOfficeAutomator.INI
01/08/2007 03:35 PM 23 yacht.xws
01/08/2007 03:19 PM 11,973 KB911993-V2.log
01/08/2007 03:19 PM 17,553 dasetup.log
01/08/2007 03:19 PM 1,785,190 setupapi.log.0.old
01/03/2007 05:55 PM 791 hpclj2550.ini
01/03/2007 05:55 PM 3,888 hpclj2550.his
01/03/2007 05:55 PM 5,355 hpclj2550.bu1
01/03/2007 05:55 PM 66,477 hpclj2550.hi1
01/03/2007 05:54 PM 377 hpbvspst.ini
01/03/2007 05:54 PM 2,323 hpbvspst.his
01/03/2007 05:53 PM 1,030 hpbvnstp.ini
01/03/2007 05:53 PM 3,572 hpbvnstp.his
12/23/2006 12:24 PM 223,248 setupact.log
12/22/2006 02:29 PM 25 SIERRA.INI
11/22/2006 01:43 PM 9,728 Ralf.pcb
11/07/2006 03:08 PM 4,484 ModemLog_AC97 SoftV92 Data Fax Modem with SmartCP.txt
11/06/2006 10:58 AM 8,192 Thumbs.db
10/09/2006 11:28 PM 0 mngui.INI
10/09/2006 08:19 PM 1,454 COM+.log
10/09/2006 07:46 PM 844,092 DPINST.LOG
10/02/2006 10:19 AM 1,994 ModemLog_Standard Modem over IR link.txt
09/26/2006 11:53 PM 8,192 REGULOCS.OLD
09/18/2006 06:53 PM 1,364 ECHOVIEW.INI
08/20/2006 04:26 PM 43,266 KB920214.log
08/20/2006 04:25 PM 43,263 KB922616.log
08/20/2006 04:25 PM 44,504 KB921398.log
08/20/2006 04:25 PM 44,269 KB920683.log
08/20/2006 04:25 PM 42,729 KB920670.log
08/20/2006 04:25 PM 42,888 KB917422.log
08/20/2006 04:25 PM 46,955 KB918899.log
08/20/2006 04:24 PM 37,485 KB921883.log
08/20/2006 04:24 PM 36,971 KB917159.log
08/20/2006 04:24 PM 37,200 KB914388.log
08/20/2006 04:24 PM 35,531 KB916595.log
08/20/2006 04:24 PM 35,556 KB904942.log
08/20/2006 04:24 PM 31,297 WgaNotify.log
08/20/2006 04:09 PM 34,506 KB911280.log
08/20/2006 04:09 PM 34,015 KB917953.log
08/20/2006 04:09 PM 35,572 KB913580.log
08/20/2006 04:09 PM 33,870 KB918439.log
08/20/2006 04:09 PM 34,554 KB917344.log
08/20/2006 04:08 PM 34,191 KB914389.log
08/20/2006 04:08 PM 29,873 KB917734.log
08/20/2006 04:01 PM 34,483 KB908531.log
08/20/2006 04:00 PM 34,273 KB900485.log
08/20/2006 04:00 PM 33,468 KB911562.log
08/20/2006 04:00 PM 33,250 KB911567.log
08/20/2006 04:00 PM 29,034 KB911564.log
08/20/2006 03:59 PM 32,781 KB911927.log
08/20/2006 03:59 PM 32,847 KB912919.log
08/20/2006 03:59 PM 32,155 KB908519.log
08/20/2006 03:59 PM 31,959 KB904706.log
08/20/2006 03:59 PM 26,613 KB910437.log
08/20/2006 03:59 PM 32,375 KB896424.log
08/20/2006 03:59 PM 32,721 KB900725.log
08/20/2006 03:58 PM 29,987 KB905749.log
08/20/2006 03:58 PM 29,459 KB905414.log
08/20/2006 03:58 PM 28,642 KB901017.log
08/20/2006 03:58 PM 34,226 KB902400.log
08/20/2006 03:55 PM 25,156 KB894391.log
08/20/2006 03:55 PM 23,287 KB896423.log
08/20/2006 03:55 PM 22,780 KB899587.log
08/20/2006 03:55 PM 22,273 KB899591.log
08/20/2006 03:55 PM 22,459 KB893756.log
08/20/2006 03:54 PM 21,814 KB896358.log
08/20/2006 03:54 PM 21,266 KB900930.log
08/20/2006 03:54 PM 23,487 KB890859.log
08/20/2006 03:54 PM 19,664 KB901214.log
08/20/2006 03:54 PM 8,476 KB898458.log
08/20/2006 03:54 PM 18,653 KB896428.log
08/20/2006 03:54 PM 19,366 KB890046.log
08/20/2006 03:54 PM 17,129 KB891781.log
08/20/2006 03:54 PM 17,118 KB888302.log
08/20/2006 03:21 PM 9,927 WGA.log
08/20/2006 03:21 PM 7,188 KB898461.log
08/20/2006 03:21 PM 11,533 KB893803v2.log
---------------------------------------------------------------------------
TMP.TXT
---------------------------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS\Temp

02/01/2007 12:29 AM 409 WGANotify.settings
02/01/2007 12:29 AM 255 WGAErrLog.txt
02/01/2007 12:05 AM 256 ZLT03e92.TMP
02/01/2007 12:05 AM 256 ZLT05d8b.TMP
4 Datei(en) 1,176 Bytes
0 Verzeichnis(se), 2,650,783,744 Bytes frei

---------------------------------------------------------------------------
DOWN.TXT
---------------------------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06/25/2006 12:50 PM 1,793 erma.inf
06/22/2006 11:41 AM 5,032 swflash.inf
05/26/2005 04:19 AM 291 wuweb.inf
11/29/2004 05:40 PM 65 desktop.ini
4 Datei(en) 7,181 Bytes
0 Verzeichnis(se), 2,650,734,592 Bytes frei
---------------------------------------------------------------------------
SYS.TXT
--------------------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\

02/01/2007 12:36 AM 0 sys.txt
02/01/2007 12:36 AM 450 down.txt
02/01/2007 12:35 AM 446 tmp.txt
02/01/2007 12:35 AM 13,695 system.txt
02/01/2007 12:35 AM 1,512 systemtemp.txt
02/01/2007 12:04 AM 535,678,976 hiberfil.sys
02/01/2007 12:04 AM 805,306,368 pagefile.sys
01/31/2007 09:39 AM 896 find.txt
01/26/2007 04:44 PM 27 temp.ERR
01/22/2007 09:36 AM 825 statusclient.log
06/03/2006 02:23 PM 0 BRDNO.TXT
08/10/2005 04:04 PM 241,664 ffastun.ffo
08/10/2005 04:04 PM 5,798 ffastun.ffa
08/10/2005 04:04 PM 2,592,768 ffastun0.ffx
08/10/2005 04:04 PM 524,288 ffastun.ffl
05/25/2005 12:50 PM 0 Log.txt
04/07/2005 01:22 PM 1,033 belden.sql
03/09/2005 03:09 PM 1,033 belden_1.sql
03/08/2005 08:24 PM 0 belden1.sql
03/08/2005 08:21 PM 0 belden2.sql
03/01/2005 09:54 PM 23,259 _NavCClt.Log
12/14/2004 08:58 PM 211 boot.ini
11/29/2004 06:01 PM 9 Finish.log
11/29/2004 05:41 PM 0 MSDOS.SYS
11/29/2004 05:41 PM 0 IO.SYS
11/29/2004 05:41 PM 0 AUTOEXEC.BAT
11/29/2004 05:41 PM 0 CONFIG.SYS
11/29/2004 03:25 PM 0 BOOTLOG.TXT
09/07/2004 01:21 PM 14 XPHG_SP2.GER
08/04/2004 02:00 PM 251,184 ntldr
08/04/2004 02:00 PM 4,952 bootfont.bin
08/04/2004 02:00 PM 47,564 NTDETECT.COM
11/21/2003 04:21 PM 1,443 logo.gif
11/05/2003 07:02 PM 6 A3G.10
02/19/2003 04:28 PM 37 Store.LOG
35 Datei(en) 1,344,698,458 Bytes
0 Verzeichnis(se), 2,650,685,440 Bytes frei
---------------------------------------------------------------------------

Hoffe das hilft Euch weiter.

#14 Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\_r_a_p_.tmp

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
Sophos waehlen - 3 : wird Sophos geladen

option 6 - dann scannen lassen und hier den scanreport posten
__________
MfG Sabina

rund um die PC-Sicherheit

#15 System time 13:52:26, System date 01 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE


Could not open C:\hiberfil.sys
Password protected file D:\BELDEN\CUSTOMERS\yyy\xxxx\zzzzzzz.pdf

2 boot sectors swept.
34942 files swept in 36 minutes and 46 seconds.
2 errors were encountered.
No viruses were discovered.
1 encrypted file was not checked.
Ending Sophos Anti-Virus.

----------------------------------
habe heute noch keiner der komischen Verbindungen bemwerkt