ieav.exe Achtung Malware!

#0
28.04.2008, 17:26
...neu hier

Beiträge: 5
#1 hi..ich habe diesen Thread geöffnet
damit nicht evtl. Leichtgläubigen auf eine hinterhältige Art
diese Malware untergeschoben wird..
Was sie letztendlich bewirkt weiß ich nicht da ich sie weder
runtergeladen geschweige denn gestartet hab...
Es handelt sich aber offensichtlich um einen
Trojaner bzw. ein Programm das auf dem Rechner
erheblichen schaden anrichten kann..
Wie ich darauf komme werd ich im folgenden Beitrag erläutern..


Seit gestern bekomme ich immer wenn ich den Internetexplorer öffne
folgende FAKE-Trojanerwarnung:




wenn man auf "ok" klickt wird die mb.exe runtergeladen..
(das sollte man natürlich NICHT machen!..)

klickt man auf "abbrechen" so wird man zu einer
Seite weitergeleitet wo die Festplatte zum Schein automatisch
nach Viren durchsucht wird..diese werden natürlich auch angeblich gefunden
damit man im Anschluss das Tool IE-Antvir herunterläd um so
sein System zu schützen..dabei handelt es sich natürlich nicht um ein AV
sondern um den eigentlichen TROJANER..
darum gilt hier wieder AUF KEINEN FALL diese Datei runterladen!



hier sieht man eine Seite die den Anschein erweckt
das es sich um das Windows-Securitycenter handelt..
es ist aber wieder nur ein Fake um einem Leichtgläubigen
wieder diesen TROJANER unterzujubeln was höchstwahrscheinlich
passiert sobald man auf den grünen "CLEAR SYSTEM"-Button kickt..



hier wird einem vorgegaukelt das System hätte wieder
etwas entdeckt dabei handelt es sich aber nicht um den
Arbeitsplatz sondern wieder nur um eine Inet-Seite dieses Domains...



aber egal wo man im Endeffekt landet..ob auf einer Av-seite
oder bei einem gefakten Arbeitsplatz oder Windows-Securitycenter..
man landet immer auf der gleichen domain:
"online-malewarescanner.com"
(dient nur zur Erläuterung..NICHT auf diese Seite gehen!)

die dreisteste Sache in diesem Zusammenhang habe ich aber erst entdeckt
als ich diesen "Browser-hijack" rückgängig machen wollte..
ich habe bei Google nach der datei ieav.exe gesucht..
dabei wurde klar das es diese Malware erst seit kurzer Zeit geben kann
oder sie relativ unbekannt ist da ich als ich deutsche Seiten
mit diesem Inhalt gesucht hab nur wenige Treffer landete..
Jedoch bei einer Seite wurde ich skeptisch...
Sie offerierte mir die Möglichkeit diese "ieav.exe" mit einem Tool
ganz leicht zu entfernen...das kam mir komisch vor denn warum sollte
jemand ein Tool entwickeln das SPEZIELL auf diesen Trojaner zugeschnitten is
und das bei der Tatsache das es diesen Trojaner noch garnicht so lange
geben kann..ich persönlich denke das es sich dabei nur um eine besonders
dreiste Art handelt jemanden einen Trojaner unterzujubeln...
ob dieses Tool nun wirklich dazu dient den Trojaner ieav.exe zu entfernen
oder ob es sich nur um eine äußerst dreiste Art handelt jemandem weitere
Maleware unterzuschieben kann ich nicht beurteilen..Als ich mir diese
Seite mal genauer angesehen hab entstand bei mir jedoch der Eindruck das
es sich dabei nur um weiter Malware handelt..



Bis jetz habe ich noch keine Möglichkeit gefunden diesen Browserhijack
rückgängig zu machen..
Weder befindet sich momentan ein Trojaner auf meinem System..
(Taskmanager ist sauber und meine Ports funken auch nicht nachhause)
noch wurde die Iexplorer.exe überschrieben...
Wenn man also wieder mit dem Internetexplorer surfen will bleibt einem
scheinbar nichts übrig als ihn neu zu installieren...
Ich werde allerdings nicht weiter versuchen diesen Hijack rückgängig
zu machen sondern werde zukünftig nurnoch mit alternativen
Browsern surfen (Opera/Firefox) da diese gegenüber solchen
Angriffen relativ sicher zu sein scheinen...

Ich hoffe ich konnte mit diesem Beitrag einige Leute davor bewaren
sich mit dieser Malware zu infizieren...

mfg
Dieser Beitrag wurde am 28.04.2008 um 21:39 Uhr von Ice81 editiert.
Seitenanfang Seitenende
28.04.2008, 20:27
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#2 Bedeutet das nun, das du keine Probleme hast und bei dir alles normal funktioniert?
Seitenanfang Seitenende
28.04.2008, 21:20
...neu hier

Themenstarter

Beiträge: 5
#3 Also soweit ich das beurteilen kann läuft hier alles normal..
Ich bin scheinbar nicht infiziert..das einzige Problem
was besteht ist das ich den IExplorer nichtmehr nutzen kann
da er manipuliert wurde und ich immer wieder indirekt genötigt
werde diese Malware/Tojaner runterzuladen.. (mb.exe bzw. ieav.exe)

Aber da der IE eh sehr anfällig für solche Art Malware ist
werde ich eben auf einen anderen Browser ausweichen..
Denn ich habe keine lust den IE ständig neu zu installieren
nur weil dieser einige Sicherheitslücken besitzt..
Dieser Beitrag wurde am 28.04.2008 um 21:49 Uhr von Ice81 editiert.
Seitenanfang Seitenende
28.04.2008, 22:30
Moderator

Beiträge: 5694
#4 Das ist aber auch nicht so normal was du beschreibst.
Am besten erstelle ein Combofix Log und poste es hier:

>>
wende Combofix an - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html

>>
Erstelle eine Hijackthis-Logfile

http://virus-protect.org/hjtkurz.html
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


Gruss Swiss
Seitenanfang Seitenende
29.04.2008, 01:08
...neu hier

Beiträge: 4
#5 Sorry wenn mein Deutsch nicht so gut ist, aber was erwartet man vom Schotten... :p

Tja leider habe ich das gleiche problem...... w.o aber es gibt noch hoffnung.

Leider habe ich CANCEL gedrückt.... tja dan hat es mich auf diese malware geleitet....... auch w.o. beschrieben, ich hatte mein browser auf 7.0 hab aber den 8.0 runtergeladen

Kollege von mir, sagte ich soll windows one care mal versuchen
Und habe von windows live one care test version für 90 tage runtergeladen:-

http://virus-protect.org/artikel/tools/windowslivesafetycenter.html
http://www.microsoft.com/switzerland/athome/de/security/update/onecare_live.mspx


Es hat den trojaner gefunden....... aber ich bin noch am scannen, ich werde euch bescheid geben.


Ich hoffe es hilft ja euch auch weiter
Dieser Beitrag wurde am 29.04.2008 um 01:16 Uhr von Highland lad editiert.
Seitenanfang Seitenende
29.04.2008, 08:24
Moderator

Beiträge: 5694
#6 Hallo Highland lad

>>
Cleaner anwenden
http://www.ccleaner.de/?protecus.de

>>
wende Combofix an - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html

>>
Erstelle eine Hijackthis-Logfile

http://virus-protect.org/hjtkurz.html
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


Gruss Swiss
Seitenanfang Seitenende
29.04.2008, 09:40
...neu hier

Beiträge: 4
#7 hi

hab seit gestern genau das gleiche problem wie Ice81 und hoffe das ihr mir helfen könnt.

Combofix-LOG

ComboFix 08-04-28.2 - Christian 2008-04-29 9:33:18.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1081 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Christian\Desktop\combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\smp.bat
C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-29 ))))))))))))))))))))))))))))))
.

2008-04-29 09:25 . 2008-04-29 09:25 <DIR> d-------- C:\Programme\CCleaner
2008-04-29 08:52 . 2008-04-29 08:52 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-29 08:52 . 2008-04-29 08:52 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
2008-04-29 08:52 . 2008-04-29 08:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-29 00:57 . 2008-04-29 00:57 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-29 00:21 . 2008-04-29 00:21 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-29 00:21 . 2008-04-29 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-29 00:13 . 2008-04-29 00:13 <DIR> d-------- C:\Programme\Trend Micro
2008-04-28 23:40 . 2008-04-28 23:40 218,112 --a------ C:\WINDOWS\zona.dll
2008-04-17 20:24 . 2008-04-17 20:24 944 --a------ C:\WINDOWS\WINMAZE.INI
2008-04-13 16:52 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-04-13 16:52 . 2008-04-29 08:37 88,566 --a------ C:\WINDOWS\system32\nvapps.xml
2008-04-13 16:52 . 2006-10-22 12:22 17,056 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-04-13 16:42 . 2006-05-12 22:26 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-04-10 18:57 . 2008-04-10 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\ICQ Toolbar
2008-04-10 18:56 . 2008-04-10 18:56 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-10 18:56 . 2008-04-10 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\ICQ
2008-04-10 18:55 . 2008-04-10 18:56 <DIR> d-------- C:\Programme\ICQ6
2008-04-03 14:05 . 2008-04-03 14:05 <DIR> d-------- C:\Programme\MSECache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 22:06 18,666 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\wklnhst.dat
2008-04-13 13:32 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-13 13:30 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-10 16:31 --------- d-----w C:\Programme\Veoh Networks
2008-03-10 15:26 --------- d-----w C:\Programme\Free Audio Pack
2008-03-10 15:20 --------- d-----w C:\Programme\Audio Converter Pack
2008-03-10 15:15 --------- d-----w C:\Programme\Mp3tag
2008-03-10 15:15 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mp3tag
2008-03-02 17:02 69,632 ----a-w C:\WINDOWS\ScUnin.exe
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-02-04 11:21 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-02-04 11:21 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-01-31 09:56 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-22 15:54 29,352 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AC16362B-5EDF-4E46-B7F6-EC24BB76E8C4}]
2008-04-28 23:40 218112 --a------ C:\WINDOWS\zona.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="" []
"Sound Pilot"="C:\Programme\Sound Pilot\SndPilot.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"igndlm.exe"="C:\Programme\Download Manager\DLM.exe" [2007-03-05 22:57 1103480]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-16 12:24 167368]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"eMuleAutoStart"="C:\Programme\eMule\emule.exe" [2006-09-14 16:15 5001216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Network Firewall"="C:\WINDOWS\System32\firewall.exe" [ ]
"Microsoft (R) Windows Update Manager"="C:\WINDOWS\update\updmgr.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 12:03 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2005-11-09 11:28 2052096]
"Cmaudio"="cmicnfg.cpl" []
"VC8Player"="C:\Programme\Virtual CD v8\System\VC8Play.exe" [2006-09-01 10:32 289912]
"SiSPower"="SiSPower.dll" [2006-03-09 03:04 49152 C:\WINDOWS\system32\SiSPower.dll]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\SPIELE\\UnrealTournament\\System\\Infiltration.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"C:\\SPIELE\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 12:03]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 12:03]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-09-27 20:16]
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys [2006-06-20 16:53]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2006-10-05 16:27]
S2 UpdateManager;Windows Update Manager;C:\WINDOWS\update\updmgr.exe []
S3 HHCDHelp.sys;HHCDHelp.sys;C:\WINDOWS\system32\drivers\HHCDHelp.sys [2006-04-25 17:20]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 09:35:01
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\pagefile.sys 805306368 bytes
C:\WINDOWS
C:\bootfont.bin 32768 bytes
C:\ntldr 262144 bytes
C:\NTDETECT.COM 65536 bytes
C:\Dokumente und Einstellungen
C:\Programme
C:\CONFIG.SYS 0 bytes
C:\AUTOEXEC.BAT 0 bytes
C:\IO.SYS 0 bytes
C:\MSDOS.SYS 0 bytes
C:\System Volume Information
C:\AILog.txt 0 bytes
C:\Fragebogen.doc 65536 bytes
C:\npbittorrent.dll 65536 bytes
C:\FOUND.010
C:\FOUND.011
C:\FOUND.012
C:\My Music
C:\QooBox
C:\ComboFix
C:\NVIDIA
C:\spiele
C:\Recycled
C:\INF
C:\Program Files
C:\Temp
C:\sqmnoopt00.sqm 32768 bytes
C:\sqmdata00.sqm 32768 bytes
C:\install03992.log 32768 bytes
C:\sqmnoopt01.sqm 32768 bytes
C:\sqmdata01.sqm 32768 bytes
C:\Desktop anzeigen.scf 32768 bytes
C:\sqmnoopt02.sqm 32768 bytes
C:\sqmdata02.sqm 32768 bytes
C:\sqmnoopt03.sqm 32768 bytes
C:\sqmdata03.sqm 32768 bytes
C:\sqmnoopt04.sqm 32768 bytes
C:\sqmdata04.sqm 32768 bytes
C:\boot.ini 32768 bytes
C:\sqmnoopt05.sqm 32768 bytes
C:\sqmdata05.sqm 32768 bytes
C:\sqmnoopt06.sqm 32768 bytes
C:\sqmdata06.sqm 32768 bytes
C:\sqmnoopt07.sqm 32768 bytes
C:\sqmdata07.sqm 32768 bytes
C:\sqmnoopt08.sqm 32768 bytes
C:\sqmdata08.sqm 32768 bytes
C:\Corel
C:\WAVTOMP3
C:\sqmnoopt09.sqm 32768 bytes
C:\sqmdata09.sqm 32768 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 52


HIJACKTHIS-LOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:37:36, on 29.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Virtual CD v8\System\VC8Play.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\Programme\eMule\emule.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: VideoInput - {AC16362B-5EDF-4E46-B7F6-EC24BB76E8C4} - C:\WINDOWS\zona.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VC8Player] C:\Programme\Virtual CD v8\System\VC8Play.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sound Pilot] "C:\Programme\Sound Pilot\SndPilot.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159295118171
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D284EE1-E660-4382-BF7A-51B8E22BA9A7}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe

--
End of file - 7209 bytes
Seitenanfang Seitenende
29.04.2008, 10:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo entejr

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\zona.dll

C:\WINDOWS\System32\firewall.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


firewall.exe..................... (?)
http://www.avira.com/de/threats/section/fulldetails/id_vir/3567/worm_vanbot.ay.html

Auswirkungen:
• Erstellt eine Datei
• Zeichnet Tastatureingaben auf
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer


-----------------------------------------------------------

2.
deaktivere kurzzeitig den Spybot - Search & Destroy\TeaTimer.exe

3.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked

Zitat

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: VideoInput - {AC16362B-5EDF-4E46-B7F6-EC24BB76E8C4} - C:\WINDOWS\zona.dll

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe

4.
««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\zona.dll
C:\WINDOWS\update\
Klicke auf den Roten MoveIt!
+
poste, was rechts im Fenster erscheint

-----------------------------------------------------------------
5.
PC neustarten

-------------------------------------------------

6.
C:\WINDOWS\update\updmgr.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9


lade regsearch:
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Update Manager

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

UpdateManager

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2008, 10:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Kontrolliere bitte auch bei VirusTotal:
C:\WINDOWS\System32\firewall.exe
__________
MfG Argus
Seitenanfang Seitenende
29.04.2008, 10:49
...neu hier

Beiträge: 4
#10 so, liste abgearbeitet, hier die logs:

VIRUSTOTAL - Zona.dll

Datei zona.dll empfangen 2008.04.29 10:08:46 (CET)
Status: Beendet

Ergebnis: 6/32 (18.75%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.29.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 -
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 -
AVG 7.5.0.516 2008.04.28 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.28 -
ClamAV 0.92.1 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5743 2008.04.29 Win32/Burgspill!generic
Ewido 4.0 2008.04.28 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Trojan-Downloader.Win32.Peregar.do
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Trojan.Win32.Delflob.I
Kaspersky 7.0.0.125 2008.04.29 Trojan-Downloader.Win32.Peregar.do
McAfee 5283 2008.04.28 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Delflob.I
NOD32v2 3062 2008.04.29 -
Norman 5.80.02 2008.04.28 -
Panda 9.0.0.4 2008.04.29 -
Prevx1 V2 2008.04.29 Generic.Dropper.xCodec
Rising 20.42.10.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 -
TheHacker 6.2.92.296 2008.04.29 -
VBA32 3.12.6.5 2008.04.28 -
VirusBuster 4.3.26:9 2008.04.28 -
Webwasher-Gateway 6.6.2 2008.04.29 -
weitere Informationen
File size: 218112 bytes
MD5...: b253f96eb0df6120fd8fa6b3f407bdf3
SHA1..: 303c5a1123a120725972fff066b6b486190a5429
SHA256: cace15bbe48473673e8ecd37ac8492121cf2b28bc068aadf1853655d35da7189
SHA512: 3c99b68520de3a87ce063032c8a0f0f7d0d844909ff53e1eb1833c5f8e325f95
4126d36c034f415f17a9b3ba5c797fe552512901215592de0ee8c286ebb6a0d0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ad7b0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7b000 0x33000 0x32a00 7.92 b5c496110277a1e107b794b4df3579d5
.rsrc 0xae000 0x3000 0x2600 3.93 756f5725b1c5d6ebc735a208e1884f25

( 11 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> comctl32.dll: ImageList_Add
> gdi32.dll: SaveDC
> ole32.dll: OleDraw
> oleaut32.dll: VariantCopy
> opengl32.dll: wglDeleteContext
> shell32.dll: ShellExecuteA
> URLMON.DLL: URLDownloadToFileA
> user32.dll: GetDC
> version.dll: VerQueryValueA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AFFA724F00DF3D73545E033132385200DAF06790

----------------------------------------------------------------

OTMOVEIT - zona.dll/upgr

LoadLibrary failed for C:\WINDOWS\zona.dll
C:\WINDOWS\zona.dll NOT unregistered.
File move failed. C:\WINDOWS\zona.dll scheduled to be moved on reboot.
Folder C:\WINDOWS\update\ not found.

das kam nach dem neustart

LoadLibrary failed for C:\WINDOWS\zona.dll
C:\WINDOWS\zona.dll NOT unregistered.
File move failed. C:\WINDOWS\zona.dll scheduled to be moved on reboot.
Folder C:\WINDOWS\update\ not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04292008_103220

Files moved on Reboot...
File C:\WINDOWS\zona.dll not found!

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04292008_103220


RESEARCH - Windows Update Manager


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 29.04.2008 10:42:33 for strings:
; 'windows update manager
windows update manager
windows update manager
windows update manager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


REGSEARCH - UpdateManager

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 29.04.2008 10:44:21 for strings:
; 'updatemanager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEMANAGER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEMANAGER\0000]
"Service"="UpdateManager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateManager]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateManager\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateManager\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateManager\Enum]
"0"="Root\\LEGACY_UPDATEMANAGER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATEMANAGER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATEMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATEMANAGER\0000]
"Service"="UpdateManager"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateManager]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateManager\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEMANAGER]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEMANAGER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEMANAGER\0000]
"Service"="UpdateManager"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateManager]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateManager\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateManager\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateManager\Enum]
"0"="Root\\LEGACY_UPDATEMANAGER\\0000"

; End Of The Log...

PS: Hab ebenfalls Windows Live OneCare am laufen, und er hat schon was
gefunden. ich poste nache dem neustart ob sich das prob dadurch gelöst hat.

EDIT: ok, hab den pc nochmal neugestartet und das roblem scheint behoben zusein. läuft alles reibungslos und ohne nervige meldungen. danke für die schnell hilfe!
Dieser Beitrag wurde am 29.04.2008 um 11:02 Uhr von entejr editiert.
Seitenanfang Seitenende
29.04.2008, 11:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo entejr

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

File::
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\zona.dll

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATEMANAGER]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateManager]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATEMANAGER]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateManager]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATEMANAGER]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateManager]
boote in den abgesicherten Modus

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

««««««««

poste hier das log von Combofix

----------------------------------------------------------------

2.
wende sdfix an ...muss im abgesicherten Modus sein, RunThis.bat doppelt klicken - scanne + poste nach Neustart den report hier
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2008, 11:50
...neu hier

Beiträge: 4
#12 Windows live 1 care hat mir folgende viren gefunden:-

win32/IE defender =programm
win32/delflob.I =Trojaner
html/agent.k =Trojaner

Bin jetzt auf mein notebook und bin dabei mit der combofix was tonstudio empfohlen hat.

Bin seit 2st. dabei und bin erst bei stage 14 ;) dauert das so lange?
Seitenanfang Seitenende
29.04.2008, 12:09
...neu hier

Beiträge: 4
#13 hmmm ging bei mir recht fix...
aber die gleichen viren hat 1care bei mir auch gefunden


CComboFix 08-04-28.2 - Christian 2008-04-29 11:41:04.2 - [color=red]FAT32[/color]x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1291 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Christian\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Christian\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\zona.dll
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-29 ))))))))))))))))))))))))))))))
.

2008-04-29 11:33 . 2008-04-29 11:33 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-29 10:31 . 2008-04-29 10:31 <DIR> d-------- C:\_OTMoveIt
2008-04-29 10:15 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys
2008-04-29 10:15 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys
2008-04-29 10:14 . 2007-03-29 14:58 409,600 --------- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-04-29 10:14 . 2007-07-06 15:09 70,928 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys
2008-04-29 10:14 . 2007-03-29 14:58 18,944 --------- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-04-29 10:14 . 2007-03-29 14:58 8,192 --------- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-04-29 10:14 . 2007-03-29 14:58 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-04-29 10:14 . 2007-03-29 14:58 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-04-29 10:14 . 2007-03-29 14:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-04-29 10:14 . 2008-04-29 10:14 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-29 10:02 . 2008-04-29 10:02 <DIR> d-------- C:\Programme\Microsoft Windows OneCare Live
2008-04-29 09:25 . 2008-04-29 09:25 <DIR> d-------- C:\Programme\CCleaner
2008-04-29 08:52 . 2008-04-29 08:52 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
2008-04-29 08:52 . 2008-04-29 08:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-29 00:57 . 2008-04-29 00:57 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-29 00:21 . 2008-04-29 00:21 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-29 00:21 . 2008-04-29 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-29 00:13 . 2008-04-29 00:13 <DIR> d-------- C:\Programme\Trend Micro
2008-04-17 20:24 . 2008-04-17 20:24 944 --a------ C:\WINDOWS\WINMAZE.INI
2008-04-13 16:52 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-04-13 16:52 . 2008-04-29 11:44 88,566 --a------ C:\WINDOWS\system32\nvapps.xml
2008-04-13 16:52 . 2006-10-22 12:22 17,056 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-04-13 16:42 . 2006-05-12 22:26 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-04-10 18:57 . 2008-04-10 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\ICQ Toolbar
2008-04-10 18:56 . 2008-04-10 18:56 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-10 18:56 . 2008-04-10 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\ICQ
2008-04-10 18:55 . 2008-04-10 18:56 <DIR> d-------- C:\Programme\ICQ6
2008-04-03 14:05 . 2008-04-03 14:05 <DIR> d-------- C:\Programme\MSECache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 22:06 18,666 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\wklnhst.dat
2008-04-13 13:32 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-13 13:30 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-10 16:31 --------- d-----w C:\Programme\Veoh Networks
2008-03-10 15:26 --------- d-----w C:\Programme\Free Audio Pack
2008-03-10 15:20 --------- d-----w C:\Programme\Audio Converter Pack
2008-03-10 15:15 --------- d-----w C:\Programme\Mp3tag
2008-03-10 15:15 --------- d-----w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mp3tag
2008-03-02 17:02 69,632 ----a-w C:\WINDOWS\ScUnin.exe
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-02-04 11:21 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-02-04 11:21 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-01-31 09:56 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-22 15:54 29,352 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-04-29_ 9.35.17,75 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-29 08:10:00 68,608 ----a-w C:\WINDOWS\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\CustomMarshalers.dll
+ 2008-04-29 08:10:12 72,192 ----a-w C:\WINDOWS\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\ISymWrapper.dll
+ 2008-04-29 08:10:14 4,308,992 ----a-w C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
+ 2008-04-29 08:10:16 482,304 ----a-w C:\WINDOWS\assembly\GAC_32\System.Data.OracleClient\2.0.0.0__b77a5c561934e089\System.Data.OracleClient.dll
+ 2008-04-29 08:10:10 2,878,976 ----a-w C:\WINDOWS\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
+ 2008-04-29 08:09:52 258,048 ----a-w C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
+ 2008-04-29 08:09:52 114,176 ----a-w C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
+ 2008-04-29 08:10:22 260,096 ----a-w C:\WINDOWS\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
+ 2008-04-29 08:10:04 5,025,792 ----a-w C:\WINDOWS\assembly\GAC_32\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll
+ 2008-04-29 08:09:58 10,752 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Accessibility\2.0.0.0__b03f5f7f11d50a3a\Accessibility.dll
+ 2008-04-29 08:09:52 503,808 ----a-w C:\WINDOWS\assembly\GAC_MSIL\AspNetMMCExt\2.0.0.0__b03f5f7f11d50a3a\AspNetMMCExt.dll
+ 2008-04-29 08:09:54 13,312 ----a-w C:\WINDOWS\assembly\GAC_MSIL\cscompmgd\8.0.0.0__b03f5f7f11d50a3a\cscompmgd.dll
+ 2008-04-29 08:10:12 8,192 ----a-w C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll
+ 2008-04-29 08:10:12 36,864 ----a-w C:\WINDOWS\assembly\GAC_MSIL\IEHost\2.0.0.0__b03f5f7f11d50a3a\IEHost.dll
+ 2008-04-29 08:10:12 5,632 ----a-w C:\WINDOWS\assembly\GAC_MSIL\IIEHost\2.0.0.0__b03f5f7f11d50a3a\IIEHost.dll
+ 2008-04-29 08:09:56 413,696 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Engine\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Engine.dll
+ 2008-04-29 08:09:56 36,864 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Framework\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Framework.dll
+ 2008-04-29 08:09:58 647,168 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Tasks\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Tasks.dll
+ 2008-04-29 08:09:58 73,728 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Utilities\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Utilities.dll
+ 2008-04-29 08:09:56 745,472 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.JScript\8.0.0.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
+ 2008-04-29 08:10:24 110,592 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility.Data\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.Data.dll
+ 2008-04-29 08:10:24 372,736 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll
+ 2008-04-29 08:09:48 28,672 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
+ 2008-04-29 08:10:22 667,648 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
+ 2008-04-29 08:10:24 5,632 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualC\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualC.Dll
+ 2008-04-29 08:09:52 12,800 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa.Vb.CodeDOMProcessor\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
+ 2008-04-29 08:09:50 32,768 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
+ 2008-04-29 08:09:52 7,168 ----a-w C:\WINDOWS\assembly\GAC_MSIL\Microsoft_VsaVb\8.0.0.0__b03f5f7f11d50a3a\Microsoft_VsaVb.dll
+ 2008-04-29 08:10:18 110,592 ----a-w C:\WINDOWS\assembly\GAC_MSIL\sysglobl\2.0.0.0__b03f5f7f11d50a3a\sysglobl.dll
+ 2008-04-29 08:10:00 81,920 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Configuration.Install\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.Install.dll
+ 2008-04-29 08:10:18 389,120 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.configuration.dll
+ 2008-04-29 08:10:16 716,800 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Data.SqlXml\2.0.0.0__b77a5c561934e089\System.Data.SqlXml.dll
+ 2008-04-29 08:09:54 884,736 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Deployment\2.0.0.0__b03f5f7f11d50a3a\System.Deployment.dll
+ 2008-04-29 08:10:10 5,050,368 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Design\2.0.0.0__b03f5f7f11d50a3a\System.Design.dll
+ 2008-04-29 08:10:02 188,416 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices.Protocols\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.Protocols.dll
+ 2008-04-29 08:10:02 397,312 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
+ 2008-04-29 08:10:04 81,920 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Drawing.Design\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.Design.dll
+ 2008-04-29 08:10:20 700,416 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Drawing\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll
+ 2008-04-29 08:10:16 368,640 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
+ 2008-04-29 08:10:22 258,048 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Messaging\2.0.0.0__b03f5f7f11d50a3a\System.Messaging.dll
+ 2008-04-29 08:10:16 299,008 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
+ 2008-04-29 08:10:18 131,072 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Serialization.Formatters.Soap\2.0.0.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
+ 2008-04-29 08:10:00 258,048 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Security\2.0.0.0__b03f5f7f11d50a3a\System.Security.dll
+ 2008-04-29 08:10:04 114,688 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess\2.0.0.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
+ 2008-04-29 08:10:22 835,584 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Web.Mobile\2.0.0.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
+ 2008-04-29 08:10:06 86,016 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Web.RegularExpressions\2.0.0.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
+ 2008-04-29 08:10:06 823,296 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Web.Services\2.0.0.0__b03f5f7f11d50a3a\System.Web.Services.dll
+ 2008-04-29 08:10:08 5,316,608 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
+ 2008-04-29 08:10:08 2,035,712 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll
+ 2008-04-29 08:10:20 3,018,752 ----a-w C:\WINDOWS\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
+ 2008-04-29 08:11:10 11,411,456 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\98e404de23ed6e45aebeeb5d6b831dcf\mscorlib.ni.dll
+ 2008-04-29 08:12:52 6,688,768 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\47f452545a802747af094d1fc501dfe4\System.Data.ni.dll
+ 2008-04-29 08:13:28 10,723,328 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Design\f1a0109554878c4e885142552739c275\System.Design.ni.dll
+ 2008-04-29 08:11:46 229,376 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing.Desi#\2365847094426f459e5141d22cacb7d5\System.Drawing.Design.ni.dll
+ 2008-04-29 08:11:52 1,626,112 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\ad28f95f24d00946b64a126e9f22d669\System.Drawing.ni.dll
+ 2008-04-29 08:12:20 13,107,200 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\5cb939e1dad84f459929ebd08eec531c\System.Windows.Forms.ni.dll
+ 2008-04-29 08:12:34 5,640,192 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\1eaa4e2a50b64a46a16d50fffc0f5cc8\System.Xml.ni.dll
+ 2008-04-29 08:11:42 8,093,696 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\293e0f18991bdc48b4b9298a53b5df12\System.ni.dll
- 2008-04-29 06:37:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-29 09:44:18 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-29 08:04:18 10,134 ----a-r C:\WINDOWS\Installer\{72690A58-4C2A-4CDE-928C-DF925B125F43}\ARPPRODUCTICON.exe
- 2003-02-20 17:09:46 57,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\NETFXSBS10.exe
+ 2005-09-23 05:28:52 72,704 ----a-w C:\WINDOWS\Microsoft.NET\Framework\NETFXSBS10.exe
- 2003-02-20 17:09:32 5,120 ----a-w C:\WINDOWS\Microsoft.NET\Framework\sbscmp10.dll
+ 2005-09-23 05:28:52 7,680 ----a-w C:\WINDOWS\Microsoft.NET\Framework\sbscmp10.dll
+ 2005-09-23 05:28:56 7,680 ----a-w C:\WINDOWS\Microsoft.NET\Framework\sbscmp20_mscorwks.dll
+ 2005-09-23 05:28:58 7,680 ----a-w C:\WINDOWS\Microsoft.NET\Framework\sbscmp20_perfcounter.dll
+ 2005-09-23 05:28:56 7,680 ----a-w C:\WINDOWS\Microsoft.NET\Framework\SharedReg12.dll
- 2003-02-20 16:43:50 131,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll
+ 2005-09-23 05:28:52 86,528 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll
+ 2005-09-23 05:28:36 18,944 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\alinkui.dll
+ 2005-09-23 05:28:42 136,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\cscompui.dll
+ 2005-09-23 05:28:44 4,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\CvtResUI.dll
+ 2005-09-23 05:29:04 183,808 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\vbc7ui.dll
+ 2005-09-23 05:28:28 208,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\Vsavb7rtUI.dll
+ 2005-09-23 05:28:56 10,752 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll
+ 2005-09-23 05:28:58 138,240 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AdoNetDiag.dll
+ 2005-09-23 05:28:36 87,552 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\alink.dll
+ 2005-09-23 05:28:58 55,488 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe
+ 2005-09-23 05:28:32 36,864 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe
+ 2005-09-23 05:28:32 10,752 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_filter.dll
+ 2005-09-23 05:28:32 8,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll
+ 2005-09-23 05:28:32 23,552 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Aspnet_perf.dll
+ 2005-09-23 05:28:32 70,656 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_rc.dll
+ 2005-09-23 05:28:32 13,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regbrowsers.exe
+ 2005-09-23 05:28:32 26,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe
+ 2005-09-23 05:28:32 106,496 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe
+ 2005-09-23 05:28:32 29,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
+ 2005-09-23 05:28:32 29,888 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
+ 2005-09-23 05:28:32 503,808 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AspNetMMCExt.dll
+ 2005-09-23 05:28:56 106,496 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CasPol.exe
+ 2005-09-23 05:28:56 88,576 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonExt.dll
+ 2005-09-23 05:28:42 76,984 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exe
+ 2005-09-23 05:28:42 1,144,832 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cscomp.dll
+ 2005-09-23 05:28:42 13,312 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cscompmgd.dll
+ 2005-09-23 05:28:58 17,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Culture.dll
+ 2005-09-23 05:28:56 68,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CustomMarshalers.dll
+ 2005-09-23 05:28:44 31,936 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cvtres.exe
+ 2005-09-23 05:28:38 52,736 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfdll.dll
+ 2005-09-23 05:28:38 4,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
+ 2005-09-23 05:29:12 547,840 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\diasymreader.dll
+ 2005-09-23 05:28:56 788,992 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll
+ 2005-09-23 05:28:50 9,216 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\fusion.dll
+ 2005-09-23 05:28:56 9,728 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExec.exe
+ 2005-09-23 05:28:56 8,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExecRemote.dll
+ 2005-09-23 05:28:56 36,864 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEHost.dll
+ 2005-09-23 05:28:56 5,632 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IIEHost.dll
+ 2005-09-23 05:28:56 224,952 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ilasm.exe
+ 2005-09-23 05:28:56 28,672 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
+ 2005-09-23 05:28:56 55,296 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtilLib.dll
+ 2005-09-23 05:28:56 72,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ISymWrapper.dll
+ 2005-09-23 05:28:48 40,960 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\jsc.exe
+ 2005-09-23 05:01:16 609,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
+ 2005-09-23 04:29:48 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1025.dll
+ 2005-09-23 04:32:24 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1028.dll
+ 2005-09-23 04:34:10 82,944 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1029.dll
+ 2005-09-23 04:34:12 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1030.dll
+ 2005-09-23 04:34:44 85,504 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1031.dll
+ 2005-09-23 04:36:24 87,552 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1032.dll
+ 2005-09-23 01:46:14 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1033.dll
+ 2005-09-23 04:38:26 81,408 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1035.dll
+ 2005-09-23 04:38:52 86,016 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1036.dll
+ 2005-09-23 04:40:30 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1037.dll
+ 2005-09-23 04:40:32 83,968 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1038.dll
+ 2005-09-23 04:40:56 84,480 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1040.dll
+ 2005-09-23 04:42:58 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1041.dll
+ 2005-09-23 04:44:58 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1042.dll
+ 2005-09-23 04:46:38 83,456 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1043.dll
+ 2005-09-23 04:46:38 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1044.dll
+ 2005-09-23 04:46:40 83,456 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1045.dll
+ 2005-09-23 04:47:04 82,432 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1046.dll
+ 2005-09-23 04:47:30 82,432 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1049.dll
+ 2005-09-23 04:47:32 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1053.dll
+ 2005-09-23 04:47:32 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.1055.dll
+ 2005-09-23 04:30:18 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.2052.dll
+ 2005-09-23 04:47:06 84,480 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.2070.dll
+ 2005-09-23 04:29:50 80,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.3076.dll
+ 2005-09-23 04:36:48 85,504 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.res.3082.dll
+ 2005-09-23 05:57:06 245,408 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\unicows.dll
+ 2005-09-23 05:28:48 413,696 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Engine.dll
+ 2005-09-23 05:28:48 36,864 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Framework.dll
+ 2005-09-23 05:28:48 647,168 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Tasks.dll
+ 2005-09-23 05:28:48 73,728 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Utilities.dll
+ 2005-09-23 05:28:48 745,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.JScript.dll
+ 2005-09-23 05:29:10 110,592 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.VisualBasic.Compatibility.Data.dll
+ 2005-09-23 05:29:10 372,736 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.VisualBasic.Compatibility.dll
+ 2005-09-23 05:29:08 667,648 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.VisualBasic.dll
+ 2005-09-23 05:28:30 28,672 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.VisualBasic.Vsa.dll
+ 2005-09-23 05:29:10 5,632 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.VisualC.Dll
+ 2005-09-23 05:28:30 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Vsa.dll
+ 2005-09-23 05:28:30 12,800 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
+ 2005-09-23 05:28:30 7,168 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft_VsaVb.dll
+ 2005-09-23 05:28:32 87,552 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MmcAspExt.dll
+ 2005-09-23 05:28:48 69,632 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe
+ 2005-09-23 05:28:56 800,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscordacwks.dll
+ 2005-09-23 05:28:56 73,216 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscordbc.dll
+ 2005-09-23 05:28:56 288,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscordbi.dll
+ 2005-09-23 05:28:56 36,864 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorie.dll
+ 2005-09-23 05:28:56 326,144 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll
+ 2005-09-23 05:28:56 81,408 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorld.dll
+ 2005-09-23 05:28:56 4,308,992 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorlib.dll
+ 2005-09-23 05:28:56 102,400 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorpe.dll
+ 2005-09-23 05:29:00 330,752 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorrc.dll
+ 2005-09-23 05:28:56 67,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsec.dll
+ 2005-09-23 05:28:50 9,216 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsn.dll
+ 2005-09-23 05:28:56 226,816 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvc.dll
+ 2005-09-23 05:28:56 66,240 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
+ 2005-09-23 05:28:56 10,240 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscortim.dll
+ 2005-09-23 05:28:50 5,615,616 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
+ 2005-09-23 05:29:00 22,528 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MUI\0409\mscorsecr.dll
+ 2005-09-23 05:28:56 96,440 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen.exe
+ 2005-09-23 05:28:56 14,848 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\normalization.dll
+ 2005-09-23 05:28:56 78,336 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\PerfCounter.dll
+ 2005-09-23 05:28:50 136,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\peverify.dll
+ 2005-09-23 05:28:56 53,248 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
+ 2005-09-23 05:28:56 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
+ 2005-09-23 05:29:02 59,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\regtlibv12.exe
+ 2005-09-23 05:28:58 7,680 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\sbscmp20_mscorlib.dll
+ 2005-09-23 05:28:56 107,520 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\shfusion.dll
+ 2005-09-23 05:29:00 85,504 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ShFusRes.dll
+ 2005-09-23 05:28:56 377,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\SOS.dll
+ 2005-09-23 05:28:56 110,592 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\sysglobl.dll
+ 2005-09-23 05:28:58 389,120 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.configuration.dll
+ 2005-09-23 05:28:56 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Configuration.Install.dll
+ 2005-09-23 05:28:56 2,878,976 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Data.dll
+ 2005-09-23 05:28:56 482,304 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Data.OracleClient.dll
+ 2005-09-23 05:28:56 716,800 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Data.SqlXml.dll
+ 2005-09-23 05:28:38 884,736 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Deployment.dll
+ 2005-09-23 05:28:56 5,050,368 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Design.dll
+ 2005-09-23 05:28:56 397,312 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.DirectoryServices.dll
+ 2005-09-23 05:28:56 188,416 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.DirectoryServices.Protocols.dll
+ 2005-09-23 05:28:56 3,018,752 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.dll
+ 2005-09-23 05:28:56 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Drawing.Design.dll
+ 2005-09-23 05:28:56 700,416 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Drawing.dll
+ 2005-09-23 05:28:56 258,048 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.EnterpriseServices.dll
+ 2005-09-23 05:28:56 47,616 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.EnterpriseServices.Thunk.dll
+ 2005-09-23 05:28:56 114,176 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.EnterpriseServices.Wrapper.dll
+ 2005-09-23 05:28:56 368,640 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Management.dll
+ 2005-09-23 05:28:56 258,048 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Messaging.dll
+ 2005-09-23 05:28:56 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Runtime.Remoting.dll
+ 2005-09-23 05:28:56 131,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Runtime.Serialization.Formatters.Soap.dll
+ 2005-09-23 05:28:56 258,048 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Security.dll
+ 2005-09-23 05:28:56 114,688 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.ServiceProcess.dll
+ 2005-09-23 05:28:56 260,096 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Transactions.dll
+ 2005-09-23 05:28:56 5,025,792 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.dll
+ 2005-09-23 05:28:56 835,584 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.Mobile.dll
+ 2005-09-23 05:28:56 86,016 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.RegularExpressions.dll
+ 2005-09-23 05:28:56 823,296 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.Services.dll
+ 2005-09-23 05:28:56 5,316,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Windows.Forms.dll
+ 2005-09-23 05:28:56 2,035,712 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.XML.dll
+ 2005-09-23 05:28:56 71,680 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\TLBREF.DLL
+ 2005-09-23 05:29:06 1,140,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
+ 2005-09-23 05:28:30 1,306,624 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\VsaVb7rt.dll
+ 2005-09-23 05:28:32 298,496 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\webengine.dll
+ 2005-09-23 05:28:56 28,160 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\WMINet_Utils.dll
- 2004-07-01 22:08:12 360,448 ------w C:\WINDOWS\system32\bits\qmgr.dll
+ 2007-03-29 12:58:16 409,600 ------w C:\WINDOWS\system32\bits\qmgr.dll
- 2004-08-04 07:57:14 8,192 ------w C:\WINDOWS\system32\bitsprx2.dll
+ 2007-03-29 12:58:16 8,192 ----a-w C:\WINDOWS\system32\bitsprx2.dll
- 2004-08-04 07:57:14 7,168 ------w C:\WINDOWS\system32\bitsprx3.dll
+ 2007-03-29 12:58:16 7,168 ----a-w C:\WINDOWS\system32\bitsprx3.dll
+ 2005-09-23 05:28:38 83,456 ----a-w C:\WINDOWS\system32\dfshim.dll
- 2007-01-30 04:03:36 2,432 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
+ 2007-10-17 00:00:00 9,072 ----a-w C:\WINDOWS\system32\drivers\cdr4_xp.sys
- 2007-01-30 04:03:36 2,560 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
+ 2007-10-17 00:00:00 9,200 ----a-w C:\WINDOWS\system32\drivers\cdralw2k.sys
- 2007-01-30 04:03:36 36,624 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
+ 2007-11-14 01:00:00 43,840 ----a-w C:\WINDOWS\system32\drivers\PxHelp20.sys
+ 2007-11-14 12:08:54 68,080 ----a-w C:\WINDOWS\system32\drvins64.exe
+ 2007-07-06 13:09:12 70,928 ----a-w C:\WINDOWS\system32\DRVSTORE\mpfilter_0936DF291BECD94BBDF58C04F3A4987284FC74FB\mpfilter.sys
+ 2007-11-27 20:56:28 91,328 ----a-w C:\WINDOWS\system32\DRVSTORE\msfwdrv_8B7A77566FDBAD6964DFFFCFFDA27E97D55990D5\msfwdrv.sys
+ 2007-11-27 20:56:30 116,416 ----a-w C:\WINDOWS\system32\DRVSTORE\msfwhlpr_0D06EB3A0072EC31805FD097692DFF987F98BDA6\msfwhlpr.sys
- 2004-07-14 21:34:06 16,896 ----a-w C:\WINDOWS\system32\mscorier.dll
+ 2005-09-23 05:28:52 150,016 ----a-w C:\WINDOWS\system32\mscorier.dll
- 2003-02-20 17:09:14 106,496 ----a-w C:\WINDOWS\system32\mscories.dll
+ 2005-09-23 05:28:52 74,240 ----a-w C:\WINDOWS\system32\mscories.dll
- 2008-01-26 13:21:16 63,778 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-04-29 08:13:32 75,194 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-26 13:21:16 52,900 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-29 08:13:32 62,480 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-26 13:21:16 391,330 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-04-29 08:13:32 415,800 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-26 13:21:16 380,486 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-29 08:13:32 401,200 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-01-30 04:03:36 527,096 ------w C:\WINDOWS\system32\px.dll
+ 2007-07-05 15:55:04 567,792 ----a-w C:\WINDOWS\system32\Px.dll
- 2007-01-30 04:03:36 64,760 ------w C:\WINDOWS\system32\pxcpya64.exe
+ 2007-11-14 12:08:58 66,544 ----a-w C:\WINDOWS\system32\pxcpya64.exe
- 2007-01-30 04:03:36 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
+ 2007-11-14 12:08:58 120,304 ----a-w C:\WINDOWS\system32\pxcpyi64.exe
- 2007-01-30 04:03:36 502,520 ------w C:\WINDOWS\system32\pxdrv.dll
+ 2007-06-06 23:02:00 535,288 ----a-w C:\WINDOWS\system32\pxdrv.dll
- 2007-01-30 04:03:36 64,760 ------w C:\WINDOWS\system32\pxinsa64.exe
+ 2007-11-14 12:08:54 65,008 ----a-w C:\WINDOWS\system32\pxinsa64.exe
- 2007-01-30 04:03:36 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
+ 2007-11-14 12:08:56 118,256 ----a-w C:\WINDOWS\system32\pxinsi64.exe
- 2007-01-30 04:03:36 183,032 ------w C:\WINDOWS\system32\pxmas.dll
+ 2007-07-05 15:55:06 186,864 ----a-w C:\WINDOWS\system32\PxMas.dll
- 2007-01-30 04:03:36 1,329,912 ------w C:\WINDOWS\system32\pxsfs.dll
+ 2007-07-05 15:55:08 1,649,136 ----a-w C:\WINDOWS\system32\PxSFS.DLL
- 2007-01-30 04:03:36 379,640 ------w C:\WINDOWS\system32\pxwave.dll
+ 2007-07-05 15:55:08 379,376 ----a-w C:\WINDOWS\system32\PxWave.dll
+ 2007-07-05 15:55:10 158,192 ----a-w C:\WINDOWS\system32\pxwma.dll
- 2004-08-04 07:57:32 382,464 ----a-w C:\WINDOWS\system32\qmgr.dll
+ 2007-03-29 12:58:16 409,600 ----a-w C:\WINDOWS\system32\qmgr.dll
- 2004-08-04 07:57:32 18,944 ----a-w C:\WINDOWS\system32\qmgrprxy.dll
+ 2007-03-29 12:58:16 18,944 ----a-w C:\WINDOWS\system32\qmgrprxy.dll
- 2007-01-30 04:03:36 39,672 ------w C:\WINDOWS\system32\vxblock.dll
+ 2007-03-25 23:00:00 88,824 ----a-w C:\WINDOWS\system32\vxblock.dll
- 2008-04-29 06:38:08 1,500 ----a-w C:\WINDOWS\UI\BIOSCTL.DAT
+ 2008-04-29 09:44:54 1,500 ----a-w C:\WINDOWS\UI\BIOSCTL.DAT
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="" []
"Sound Pilot"="C:\Programme\Sound Pilot\SndPilot.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"igndlm.exe"="C:\Programme\Download Manager\DLM.exe" [2007-03-05 22:57 1103480]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-16 12:24 167368]
"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"eMuleAutoStart"="C:\Programme\eMule\emule.exe" [2006-09-14 16:15 5001216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 12:03 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2005-11-09 11:28 2052096]
"Cmaudio"="cmicnfg.cpl" []
"VC8Player"="C:\Programme\Virtual CD v8\System\VC8Play.exe" [2006-09-01 10:32 289912]
"SiSPower"="SiSPower.dll" [2006-03-09 03:04 49152 C:\WINDOWS\system32\SiSPower.dll]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"OneCareUI"="C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" [2008-01-22 19:43 67112]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\SPIELE\\UnrealTournament\\System\\Infiltration.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"C:\\SPIELE\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 12:03]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 12:03]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-09-27 20:16]
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys [2006-06-20 16:53]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2006-10-05 16:27]
S3 HHCDHelp.sys;HHCDHelp.sys;C:\WINDOWS\system32\drivers\HHCDHelp.sys [2006-04-25 17:20]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 11:45:54
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\pagefile.sys 805306368 bytes
C:\WINDOWS
C:\bootfont.bin 32768 bytes
C:\ntldr 262144 bytes
C:\NTDETECT.COM 65536 bytes
C:\Dokumente und Einstellungen
C:\Programme
C:\CONFIG.SYS 0 bytes
C:\AUTOEXEC.BAT 0 bytes
C:\IO.SYS 0 bytes
C:\MSDOS.SYS 0 bytes
C:\System Volume Information
C:\AILog.txt 0 bytes
C:\Fragebogen.doc 65536 bytes
C:\npbittorrent.dll 65536 bytes
C:\FOUND.010
C:\FOUND.011
C:\FOUND.012
C:\My Music
C:\QooBox
C:\_OTMoveIt
C:\Config.Msi
C:\ComboFix
C:\NVIDIA
C:\spiele
C:\Recycled
C:\INF
C:\Program Files
C:\Temp
C:\sqmnoopt00.sqm 32768 bytes
C:\sqmdata00.sqm 32768 bytes
C:\install03992.log 32768 bytes
C:\sqmnoopt01.sqm 32768 bytes
C:\sqmdata01.sqm 32768 bytes
C:\Desktop anzeigen.scf 32768 bytes
C:\sqmnoopt02.sqm 32768 bytes
C:\sqmdata02.sqm 32768 bytes
C:\sqmnoopt03.sqm 32768 bytes
C:\sqmdata03.sqm 32768 bytes
C:\sqmnoopt04.sqm 32768 bytes
C:\sqmdata04.sqm 32768 bytes
C:\boot.ini 32768 bytes
C:\sqmnoopt05.sqm 32768 bytes
C:\sqmdata05.sqm 32768 bytes
C:\sqmnoopt06.sqm 32768 bytes
C:\sqmdata06.sqm 32768 bytes
C:\sqmnoopt07.sqm 32768 bytes
C:\sqmdata07.sqm 32768 bytes
C:\sqmnoopt08.sqm 32768 bytes
C:\sqmdata08.sqm 32768 bytes
C:\Corel
C:\WAVTOMP3
C:\sqmnoopt09.sqm 32768 bytes
C:\sqmdata09.sqm 32768 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 54

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAMME\MICROSOFT WINDOWS ONECARE LIVE\ANTIVIRUS\MSMPENG.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSVW.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE
C:\WINDOWS\SYSTEM32\PNKBSTRB.EXE
C:\PROGRAMME\ICQ6\ICQ.EXE
C:\PROGRAMME\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE
C:\PROGRAMME\VIRTUAL CD V8\SYSTEM\VC8SECS.EXE
C:\PROGRAMME\MICROSOFT WINDOWS ONECARE LIVE\FIREWALL\MSFWSVC.EXE
C:\PROGRAMME\MICROSOFT WINDOWS ONECARE LIVE\WINSS.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-29 11:48:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-29 09:48:34
ComboFix2.txt 2008-04-29 07:35:30

14 Verzeichnis(se), 7,327,481,856 Bytes frei
20 Verzeichnis(se), 7,342,653,440 Bytes frei

495 --- E O F --- 2008-04-09 19:12:54

SDFix: Version 1.177
Run by Christian on 29.04.2008 at 11:58

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\PROVSVC.EXE - Deleted
C:\WINDOWS\system32\provsvc.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 12:05:24
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\SPIELE\\UnrealTournament\\System\\Infiltration.exe"="C:\\SPIELE\\UnrealTournament\\System\\Infiltration.exe:*:Enabled:Infiltration"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"="C:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts"
"C:\\SPIELE\\Battlefield 2\\BF2.exe"="C:\\SPIELE\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 26 Sep 2006 401 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv18.bak"
Tue 26 Sep 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 6 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Mon 10 Dec 2007 62,464 ...H. --- "C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Microsoft\Vorlagen\~WRL0004.tmp"
Tue 26 Feb 2008 1,301 ...HR --- "C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Wed 27 Sep 2006 401 A..H. --- "C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Tue 26 Sep 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Tue 26 Sep 2006 312 A.SH. --- "C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Tue 29 Apr 2008 8 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\OC\Channels\ch1\lock.tmp"
Tue 29 Apr 2008 8 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\OC\Channels\ch2\lock.tmp"
Tue 29 Apr 2008 8 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\OC\Channels\ch3\lock.tmp"
Tue 29 Apr 2008 8 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\OC\Channels\ch4\lock.tmp"

Finished!
Seitenanfang Seitenende
29.04.2008, 12:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo entejr

1.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

2.
OTMoveIt
klicken: CleanUp! button
cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

3.
scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html

4.
Windows Worms Doors Cleaner - anwenden
http://virus-protect.org/windsdoorcleaner.html

5.
Wurm: Worm/VanBot.ay (Info)
http://www.avira.com/de/threats/section/fulldetails/id_vir/3567/worm_vanbot.ay.html

Zitat

Folgende Sicherheitslücken werden ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
Mache also bitte unbedingt die Windowsupdates !!!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2008, 13:16
...neu hier

Beiträge: 4
#15 macht mich nich schwach, das wars also doch noch nit?? ;) danke für die unterstützung ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: