Auf dem PC wird automatisch das Virensuchprogramme installiert (XP Antivirus 2008 ab xpantivirospro.com/2008/3). Das Programm wird auch ausgeführt wenn "abbrechen" gewählt wird. Es meldet gefährliche Viren, Trojaner etc. Es wird von Kapersky Antivirus 7.0 nicht entteckt und kann so auch nicht entfernt werden. Hat jemand eine Lösung dazu?
Unerwünschte Installation von XP Antivirus 2008
- Ersteller chuttli
- Erstellt am
- Status
ja, da hast du dir was schönes eingefangen 
unter folgendem Link findest du eine Deinstallationsanleitung:
http://forum.hijackthis.de/showthread.php?t=25728
viel Erfolg, o.s.t.
unter folgendem Link findest du eine Deinstallationsanleitung:
http://forum.hijackthis.de/showthread.php?t=25728
viel Erfolg, o.s.t.
Das geht jetzt ganz einfach.
Unter dem Link http://xpantivirus.com/faq.php findest Du die F.A.Q. der Firma mit dem Deinstallationsprogramm
http://xpantivirus.com/uninstall2008.exe
Das funktioniert korrekt!
dnake ich hatte schon panik bekommen da ich mir gard ein neues anti-viren programm gekauft habe und es keine viren findet und sich dieses xp antivirus einfach instaliert und so viele Viren anzeigt ,war ich schon fast auf dem weg zum Saturn , aber zum glück gibts ja dieses deinsatlation proramm (dass ich schon fast über all verzweifelt gesucht habe )
danke nochmal
danke nochmal
Swisstreasure
Stammgast
Hallo Atomfurz
Poste zur Sicherheit noch ein HiJackthis-Log. Es kann sein, dass du mit dieser Malware noch weitere Schädlinge an Land gezogen hast. Nur zur Sicherheit.
Punkt 4
http://www.pctipp.ch/forum/showthread.php?t=3750
Gruss Swiss
Poste zur Sicherheit noch ein HiJackthis-Log. Es kann sein, dass du mit dieser Malware noch weitere Schädlinge an Land gezogen hast. Nur zur Sicherheit.
Punkt 4
http://www.pctipp.ch/forum/showthread.php?t=3750
Gruss Swiss
Gaby Salvisberg
Super-Moderator
Sali Peter
Zuerst mal meinerseits ein "Willkommen im PCtipp-Forum!" :)
Meistens über eine ActiveX-Komponente, die sich nur beim Surfen per Internet Explorer ausführen kann. Andere Browser (z.B. Opera, Firefox) führen kein ActiveX aus.
Wenn im IE wichtige Updates fehlen oder wenn der User bei Rückfragen à la "Wollen Sie Superduper-ActiveX-Komponente namens BöseSpyware ausführen?" standardmässig auf Ja klickt, erhöht sich die Gefahr natürlich erheblich.
Es ist aber leider so, dass mit steigender Beliebtheit von Opera und Firefox auch JavaScript für die Installation solcher unerwünschten Komponenten missbraucht wird. Allerdings kommen da meistens Sicherheitslücken zum Zug, die man durch regelmässige Software-Updates minimieren kann.
Mein persönliches Rezept: Ein stets gut gepatchtes Betriebssystem, stets gut gepatchte Software, Add-Ons und Plug-Ins, den Firefox als Standardbrowser und darin das NoScript-Add-On, das einem eine recht genaue Kontrolle darüber gibt, welcher Domain/Subdomain man das Ausführen von Scripts erlauben möchte.
Gaby
Zuerst mal meinerseits ein "Willkommen im PCtipp-Forum!" :)
Meistens über eine ActiveX-Komponente, die sich nur beim Surfen per Internet Explorer ausführen kann. Andere Browser (z.B. Opera, Firefox) führen kein ActiveX aus.
Wenn im IE wichtige Updates fehlen oder wenn der User bei Rückfragen à la "Wollen Sie Superduper-ActiveX-Komponente namens BöseSpyware ausführen?" standardmässig auf Ja klickt, erhöht sich die Gefahr natürlich erheblich.
Es ist aber leider so, dass mit steigender Beliebtheit von Opera und Firefox auch JavaScript für die Installation solcher unerwünschten Komponenten missbraucht wird. Allerdings kommen da meistens Sicherheitslücken zum Zug, die man durch regelmässige Software-Updates minimieren kann.
Mein persönliches Rezept: Ein stets gut gepatchtes Betriebssystem, stets gut gepatchte Software, Add-Ons und Plug-Ins, den Firefox als Standardbrowser und darin das NoScript-Add-On, das einem eine recht genaue Kontrolle darüber gibt, welcher Domain/Subdomain man das Ausführen von Scripts erlauben möchte.
Gaby
hallo
hab mir diesen seich auch eingefangen...
bei mir funktioniert jedoch das deinstallationsteil von xp antivirus nicht. ist auch nur ein sehr kleine datei von 40 kb. was mach ich falsch.
merci für tipps....
komme auch nicht in den abgesicherten modus... kann f8 drücken wie ich will, passiert jedoch nix....
gruss
jr
hab mir diesen seich auch eingefangen...
bei mir funktioniert jedoch das deinstallationsteil von xp antivirus nicht. ist auch nur ein sehr kleine datei von 40 kb. was mach ich falsch.
merci für tipps....
komme auch nicht in den abgesicherten modus... kann f8 drücken wie ich will, passiert jedoch nix....
gruss
jr
Zuletzt bearbeitet:
Swisstreasure
Stammgast
Hallo ronjon
Dann hast du vermutlich noch weitere Schädlinge auf dem System. Erstelle ein HiJackthis Log.
findest du hier (Punkt 4): http://www.pctipp.ch/forum/showthread.php?t=3750
Gruss Swiss
Dann hast du vermutlich noch weitere Schädlinge auf dem System. Erstelle ein HiJackthis Log.
findest du hier (Punkt 4): http://www.pctipp.ch/forum/showthread.php?t=3750
Gruss Swiss
Hy ich brauche dringend eureHilfe ich hab mir auch dieses antivier xp 2008 eingefangen der uninstaller funzt nich das kam bei dem HiJack programm raus !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:42, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ASUS\Net4Switch\Net4Switch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PowerForPhone\PowerForPhone.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\Setup.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\AtiCim.bin
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\CCC\setup.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\CCC\setup.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atishlx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCCInstall.exe
C:\Dokumente und Einstellungen\Max\Desktop\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [Net4Switch] C:\Programme\ASUS\Net4Switch\Net4Switch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [PowerForPhone] C:\Programme\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [lphc7nej0eafr] C:\WINDOWS\system32\lphc7nej0eafr.exe
O4 - HKLM\..\Run: [SMrhc3nej0eafr] C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
--
End of file - 9160 bytes
danke für eure Hilfe!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:42, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATK Hotkey\Hcontrol.exe
C:\Programme\ASUS\Net4Switch\Net4Switch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PowerForPhone\PowerForPhone.exe
C:\Programme\ATK Hotkey\ATKOSD.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATK Hotkey\KBFiltr.exe
C:\Programme\ATK Hotkey\WDC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\Setup.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\AtiCim.bin
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\CCC\setup.exe
C:\Dokumente und Einstellungen\Max\Desktop\F3Ke\Driver\-2- ATI\CCC\setup.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atishlx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCCInstall.exe
C:\Dokumente und Einstellungen\Max\Desktop\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [Net4Switch] C:\Programme\ASUS\Net4Switch\Net4Switch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [PowerForPhone] C:\Programme\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [lphc7nej0eafr] C:\WINDOWS\system32\lphc7nej0eafr.exe
O4 - HKLM\..\Run: [SMrhc3nej0eafr] C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
--
End of file - 9160 bytes
danke für eure Hilfe!
Swisstreasure
Stammgast
Hallo Necro
>>
Virustotal http://www.virustotal.com/flash/index_en.html
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei
und wähle fix checked.
Starte den Rechner neu.
>>
Wende Combofix an und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html
>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Gruss Swiss
>>
Virustotal http://www.virustotal.com/flash/index_en.html
Code:
C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exeAuf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei
Code:
O4 - HKLM\..\Run: [lphc7nej0eafr] C:\WINDOWS\system32\lphc7nej0eafr.exe
O4 - HKLM\..\Run: [SMrhc3nej0eafr] C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exeund wähle fix checked.
Starte den Rechner neu.
>>
Wende Combofix an und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html
>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Gruss Swiss
gut hab alles so gemacht wie du wolltest hier die logs:
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2
15:00:08 01.07.2008
mbam-log-7-1-2008 (15-00-08).txt
Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 75772
Scan Dauer: 16 minute(s), 21 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Programme\rhc3nej0eafr\rhc3nej0eafrSkin.dll (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc7nej0eafr.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc7nej0eafr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2
15:00:08 01.07.2008
mbam-log-7-1-2008 (15-00-08).txt
Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 75772
Scan Dauer: 16 minute(s), 21 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Programme\rhc3nej0eafr\rhc3nej0eafrSkin.dll (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Max\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc7nej0eafr.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc7nej0eafr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
und....
ComboFix 08-06-20.4 - Max 2008-07-01 14:39:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2537 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Max\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.
2008-07-01 14:35 . 2008-07-01 14:35 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-07-01 13:48 . 2008-07-01 13:48 <DIR> d-------- C:\Programme\Wireless Console 2
2008-07-01 13:46 . 2006-10-30 15:40 2,182,528 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,138,624 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,059,904 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,018,304 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-07-01 13:46 . 2006-04-19 13:50 143,360 -----c--- C:\WINDOWS\system32\dllcache\usbport.sys
2008-07-01 13:46 . 2006-04-19 13:50 30,080 -----c--- C:\WINDOWS\system32\dllcache\usbehci.sys
2008-07-01 13:46 . 2006-04-19 13:50 20,608 -----c--- C:\WINDOWS\system32\dllcache\usbuhci.sys
2008-07-01 13:46 . 2006-04-19 13:50 17,152 -----c--- C:\WINDOWS\system32\dllcache\usbohci.sys
2008-07-01 13:45 . 2006-06-26 19:51 989,696 -----c--- C:\WINDOWS\system32\dllcache\setupapi.dll
2008-07-01 13:45 . 2006-08-03 16:02 81,664 -----c--- C:\WINDOWS\system32\dllcache\videoprt.sys
2008-07-01 13:43 . 2008-07-01 13:43 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-01 13:43 . 2008-07-01 13:43 <DIR> d-------- C:\Programme\Toshiba
2008-07-01 13:43 . 2007-04-24 13:20 113,920 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-07-01 13:43 . 2007-03-01 16:53 73,728 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-07-01 13:43 . 2007-05-24 14:27 64,000 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-07-01 13:43 . 2007-01-22 10:43 53,376 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-07-01 13:43 . 2007-06-11 14:25 41,856 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-07-01 13:43 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-07-01 13:43 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-07-01 13:43 . 2005-01-07 05:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-07-01 13:37 . 2007-10-26 02:20 549,184 --a------ C:\WINDOWS\system32\drivers\ar5211.sys
2008-07-01 13:37 . 2007-10-26 02:20 549,184 --a------ C:\WINDOWS\system32\ar5211.sys
2008-07-01 13:37 . 2007-10-26 02:20 100,996 --a------ C:\WINDOWS\system32\net5211.inf
2008-07-01 13:37 . 2007-10-29 13:47 23,501 --a------ C:\WINDOWS\system32\net5211.cat
2008-07-01 13:26 . 2008-07-01 13:26 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-07-01 13:26 . 2008-01-03 22:10 105,856 --a------ C:\WINDOWS\system32\drivers\Rtenicxp.sys
2008-07-01 13:25 . 2008-07-01 13:25 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-07-01 13:25 . 2008-07-01 13:25 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-07-01 13:25 . 2008-07-01 13:25 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-07-01 13:24 . 2008-07-01 14:10 94,208 --a------ C:\WINDOWS\system32\10.tmp
2008-07-01 13:24 . 2008-07-01 14:10 60,928 --a------ C:\WINDOWS\system32\blphc7nej0eafr.scr
2008-07-01 13:21 . 2008-07-01 13:26 <DIR> d-------- C:\Programme\Realtek
2008-07-01 12:56 . 2008-07-01 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\InstallShield
2008-07-01 12:55 . 2007-07-04 23:05 8,232,960 --a------ C:\WINDOWS\system32\atioglx2.dll
2008-07-01 12:52 . 2008-07-01 12:52 <DIR> d-------- C:\Programme\VS Revo Group
2008-07-01 12:38 . 2008-07-01 14:18 <DIR> d-------- C:\Programme\rhc3nej0eafr
2008-07-01 12:38 . 2008-07-01 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\rhc3nej0eafr
2008-07-01 12:37 . 2008-07-01 12:37 109,056 --a------ C:\WINDOWS\system32\lphc7nej0eafr.exe
2008-07-01 12:36 . 2008-07-01 12:36 <DIR> d-------- C:\Programme\TGTSoft
2008-07-01 12:30 . 2008-07-01 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\TuneUp Software
2008-07-01 12:10 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-07-01 12:10 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
2008-07-01 11:55 . 2008-07-01 13:02 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\ATI
2008-07-01 11:42 . 2008-07-01 11:42 <DIR> d-------- C:\Programme\RarZilla Free Unrar
2008-06-30 21:41 . 2008-06-30 21:42 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-06-30 21:36 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2008-06-30 21:36 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
2008-06-30 21:18 . 2008-07-01 13:46 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-06-30 21:04 . 2006-06-13 06:58 360,532 --a------ C:\WINDOWS\system32\acs.exe
2008-06-30 19:56 . 2008-07-01 13:09 <DIR> d-------- C:\Programme\ATI Technologies
2008-06-30 19:56 . 2008-06-30 19:56 <DIR> d-------- C:\Programme\ATI
2008-06-30 19:52 . 2008-06-30 19:52 <DIR> d-------- C:\WINDOWS\Asus_Camera_ScreenSaver dir
2008-06-30 19:52 . 2008-06-30 19:52 4,814,371 --a------ C:\WINDOWS\ASUS Camera ScreenSaver.exe
2008-06-30 19:52 . 2008-06-30 19:52 606,848 --a------ C:\WINDOWS\flashax.exe
2008-06-30 19:52 . 2008-06-30 19:52 503,808 --a------ C:\WINDOWS\Asus_Camera_ScreenSaver.scr
2008-06-30 19:52 . 2008-06-30 19:52 274,800 --a------ C:\WINDOWS\ASUS Camera ScreenSaver Uninstaller.exe
2008-06-30 19:52 . 2008-06-30 19:52 37,232 --a------ C:\WINDOWS\ASScrProlog.exe
2008-06-30 19:52 . 2008-06-30 19:52 12,288 --a------ C:\WINDOWS\impborl.dll
2008-06-30 19:51 . 2008-06-30 19:51 <DIR> d-------- C:\Programme\PowerForPhone
2008-06-30 19:51 . 2004-09-04 03:00 90,112 --a------ C:\WINDOWS\system32\snymsico.dll
2008-06-30 19:51 . 2007-01-23 16:40 42,496 --a------ C:\WINDOWS\system32\drivers\rimsptsk.sys
2008-06-30 19:51 . 2007-02-24 14:42 39,936 --a------ C:\WINDOWS\system32\drivers\rimmptsk.sys
2008-06-30 19:51 . 2007-03-21 22:02 37,376 --a------ C:\WINDOWS\system32\drivers\rixdptsk.sys
2008-06-30 19:51 . 2005-05-07 12:06 16,480 --a------ C:\WINDOWS\system32\rixdicon.dll
2008-06-30 19:50 . 2008-06-30 19:50 <DIR> d-------- C:\Programme\Power4Gear eXtreme
2008-06-30 19:49 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-06-30 19:49 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-06-30 19:49 . 2001-08-18 05:20 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys
2008-06-30 19:49 . 2004-08-03 23:07 14,080 --a------ C:\WINDOWS\system32\drivers\cmbatt.sys
2008-06-30 19:49 . 2001-08-17 14:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2008-06-30 19:49 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-30 19:49 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-06-30 19:48 . 2008-06-30 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-06-30 19:48 . 2008-07-01 12:36 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-06-30 19:48 . 2008-07-01 11:52 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-06-30 19:47 . 2008-07-01 14:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-30 19:47 . 2008-07-01 13:00 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2008-06-30 19:47 . 2008-06-30 19:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-06-30 19:47 . 2008-06-30 18:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-06-30 19:47 . 2008-06-30 20:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-06-30 19:47 . 2008-06-30 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-06-30 19:47 . 2008-06-30 18:58 <DIR> d-------- C:\Dokumente und Einstellungen
2008-06-30 19:47 . 2002-08-29 08:54 1,086,182 -ra------ C:\WINDOWS\SET3.tmp
2008-06-30 19:47 . 2001-08-18 21:00 13,898 -ra------ C:\WINDOWS\SETA.tmp
2008-06-30 19:44 . 2008-06-30 21:28 <DIR> d-------- C:\Programme\Norton Internet Security
2008-06-30 19:43 . 2008-06-30 21:29 <DIR> d-------- C:\Programme\Symantec
2008-06-30 19:43 . 2008-07-01 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-30 19:43 . 2008-06-30 21:29 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-30 19:43 . 2008-06-30 21:29 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-30 19:43 . 2008-06-30 21:29 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-30 19:43 . 2008-06-30 21:29 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-30 19:42 . 2008-07-01 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-30 19:41 . 2007-08-01 14:51 41,656 --------- C:\WINDOWS\system32\drivers\ipswuio.sys
2008-06-30 19:39 . 2007-01-24 12:08 5,632 -ra------ C:\WINDOWS\system32\drivers\kbfiltr.sys
2008-06-30 19:38 . 2008-06-30 19:38 <DIR> d-------- C:\Programme\Fingerprint Sensor
2008-06-30 19:37 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2008-06-30 19:37 . 2004-08-03 23:10 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2008-06-30 19:37 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-06-30 19:37 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2008-06-30 19:33 . 2008-06-30 21:02 <DIR> d-------- C:\Programme\Atheros
2008-06-30 19:33 . 2008-06-30 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2008-06-30 19:32 . 2008-06-30 19:32 <DIR> d-------- C:\Programme\CSR
2008-06-30 19:31 . 2008-06-30 19:31 <DIR> d-------- C:\Programme\ATKOSD2
2008-06-30 19:31 . 2008-06-30 19:31 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-06-30 19:30 . 2008-07-01 11:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-30 19:30 . 2008-06-30 19:30 <DIR> d-------- C:\Programme\ATK Hotkey
2008-06-30 19:30 . 2006-12-14 09:11 7,680 -ra------ C:\WINDOWS\system32\drivers\ATKACPI.sys
2008-06-30 19:29 . 2008-06-30 19:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-30 19:28 . 2008-07-01 13:54 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-06-30 19:28 . 2008-06-30 19:28 <DIR> d-------- C:\Programme\ATKGFNEX
2008-06-30 19:28 . 2008-07-01 13:24 <DIR> d-------- C:\Programme\ASUS
2008-06-30 19:25 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-06-30 19:24 . 2008-06-30 20:57 <DIR> d-------- C:\Programme\MSBuild
2008-06-30 19:24 . 2008-06-30 19:24 <DIR> d-------- C:\Programme\Microsoft Works
2008-06-30 19:19 . 2008-06-30 19:20 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-06-30 19:19 . 2008-06-30 19:19 <DIR> dr-h----- C:\MSOCache
ComboFix 08-06-20.4 - Max 2008-07-01 14:39:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2537 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Max\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.
2008-07-01 14:35 . 2008-07-01 14:35 0 --a------ C:\WINDOWS\tosOBEX.INI
2008-07-01 13:48 . 2008-07-01 13:48 <DIR> d-------- C:\Programme\Wireless Console 2
2008-07-01 13:46 . 2006-10-30 15:40 2,182,528 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,138,624 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,059,904 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-07-01 13:46 . 2006-10-30 15:39 2,018,304 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-07-01 13:46 . 2006-04-19 13:50 143,360 -----c--- C:\WINDOWS\system32\dllcache\usbport.sys
2008-07-01 13:46 . 2006-04-19 13:50 30,080 -----c--- C:\WINDOWS\system32\dllcache\usbehci.sys
2008-07-01 13:46 . 2006-04-19 13:50 20,608 -----c--- C:\WINDOWS\system32\dllcache\usbuhci.sys
2008-07-01 13:46 . 2006-04-19 13:50 17,152 -----c--- C:\WINDOWS\system32\dllcache\usbohci.sys
2008-07-01 13:45 . 2006-06-26 19:51 989,696 -----c--- C:\WINDOWS\system32\dllcache\setupapi.dll
2008-07-01 13:45 . 2006-08-03 16:02 81,664 -----c--- C:\WINDOWS\system32\dllcache\videoprt.sys
2008-07-01 13:43 . 2008-07-01 13:43 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-01 13:43 . 2008-07-01 13:43 <DIR> d-------- C:\Programme\Toshiba
2008-07-01 13:43 . 2007-04-24 13:20 113,920 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2008-07-01 13:43 . 2007-03-01 16:53 73,728 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2008-07-01 13:43 . 2007-05-24 14:27 64,000 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2008-07-01 13:43 . 2007-01-22 10:43 53,376 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2008-07-01 13:43 . 2007-06-11 14:25 41,856 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2008-07-01 13:43 . 2006-10-10 19:33 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2008-07-01 13:43 . 2006-11-20 17:55 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2008-07-01 13:43 . 2005-01-07 05:42 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2008-07-01 13:37 . 2007-10-26 02:20 549,184 --a------ C:\WINDOWS\system32\drivers\ar5211.sys
2008-07-01 13:37 . 2007-10-26 02:20 549,184 --a------ C:\WINDOWS\system32\ar5211.sys
2008-07-01 13:37 . 2007-10-26 02:20 100,996 --a------ C:\WINDOWS\system32\net5211.inf
2008-07-01 13:37 . 2007-10-29 13:47 23,501 --a------ C:\WINDOWS\system32\net5211.cat
2008-07-01 13:26 . 2008-07-01 13:26 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-07-01 13:26 . 2008-01-03 22:10 105,856 --a------ C:\WINDOWS\system32\drivers\Rtenicxp.sys
2008-07-01 13:25 . 2008-07-01 13:25 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-07-01 13:25 . 2008-07-01 13:25 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-07-01 13:25 . 2008-07-01 13:25 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-07-01 13:24 . 2008-07-01 14:10 94,208 --a------ C:\WINDOWS\system32\10.tmp
2008-07-01 13:24 . 2008-07-01 14:10 60,928 --a------ C:\WINDOWS\system32\blphc7nej0eafr.scr
2008-07-01 13:21 . 2008-07-01 13:26 <DIR> d-------- C:\Programme\Realtek
2008-07-01 12:56 . 2008-07-01 12:56 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\InstallShield
2008-07-01 12:55 . 2007-07-04 23:05 8,232,960 --a------ C:\WINDOWS\system32\atioglx2.dll
2008-07-01 12:52 . 2008-07-01 12:52 <DIR> d-------- C:\Programme\VS Revo Group
2008-07-01 12:38 . 2008-07-01 14:18 <DIR> d-------- C:\Programme\rhc3nej0eafr
2008-07-01 12:38 . 2008-07-01 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\rhc3nej0eafr
2008-07-01 12:37 . 2008-07-01 12:37 109,056 --a------ C:\WINDOWS\system32\lphc7nej0eafr.exe
2008-07-01 12:36 . 2008-07-01 12:36 <DIR> d-------- C:\Programme\TGTSoft
2008-07-01 12:30 . 2008-07-01 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\TuneUp Software
2008-07-01 12:10 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-07-01 12:10 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
2008-07-01 11:55 . 2008-07-01 13:02 <DIR> d-------- C:\Dokumente und Einstellungen\Max\Anwendungsdaten\ATI
2008-07-01 11:42 . 2008-07-01 11:42 <DIR> d-------- C:\Programme\RarZilla Free Unrar
2008-06-30 21:41 . 2008-06-30 21:42 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-06-30 21:36 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2008-06-30 21:36 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
2008-06-30 21:18 . 2008-07-01 13:46 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-06-30 21:04 . 2006-06-13 06:58 360,532 --a------ C:\WINDOWS\system32\acs.exe
2008-06-30 19:56 . 2008-07-01 13:09 <DIR> d-------- C:\Programme\ATI Technologies
2008-06-30 19:56 . 2008-06-30 19:56 <DIR> d-------- C:\Programme\ATI
2008-06-30 19:52 . 2008-06-30 19:52 <DIR> d-------- C:\WINDOWS\Asus_Camera_ScreenSaver dir
2008-06-30 19:52 . 2008-06-30 19:52 4,814,371 --a------ C:\WINDOWS\ASUS Camera ScreenSaver.exe
2008-06-30 19:52 . 2008-06-30 19:52 606,848 --a------ C:\WINDOWS\flashax.exe
2008-06-30 19:52 . 2008-06-30 19:52 503,808 --a------ C:\WINDOWS\Asus_Camera_ScreenSaver.scr
2008-06-30 19:52 . 2008-06-30 19:52 274,800 --a------ C:\WINDOWS\ASUS Camera ScreenSaver Uninstaller.exe
2008-06-30 19:52 . 2008-06-30 19:52 37,232 --a------ C:\WINDOWS\ASScrProlog.exe
2008-06-30 19:52 . 2008-06-30 19:52 12,288 --a------ C:\WINDOWS\impborl.dll
2008-06-30 19:51 . 2008-06-30 19:51 <DIR> d-------- C:\Programme\PowerForPhone
2008-06-30 19:51 . 2004-09-04 03:00 90,112 --a------ C:\WINDOWS\system32\snymsico.dll
2008-06-30 19:51 . 2007-01-23 16:40 42,496 --a------ C:\WINDOWS\system32\drivers\rimsptsk.sys
2008-06-30 19:51 . 2007-02-24 14:42 39,936 --a------ C:\WINDOWS\system32\drivers\rimmptsk.sys
2008-06-30 19:51 . 2007-03-21 22:02 37,376 --a------ C:\WINDOWS\system32\drivers\rixdptsk.sys
2008-06-30 19:51 . 2005-05-07 12:06 16,480 --a------ C:\WINDOWS\system32\rixdicon.dll
2008-06-30 19:50 . 2008-06-30 19:50 <DIR> d-------- C:\Programme\Power4Gear eXtreme
2008-06-30 19:49 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-06-30 19:49 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-06-30 19:49 . 2001-08-18 05:20 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys
2008-06-30 19:49 . 2004-08-03 23:07 14,080 --a------ C:\WINDOWS\system32\drivers\cmbatt.sys
2008-06-30 19:49 . 2001-08-17 14:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2008-06-30 19:49 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-30 19:49 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-06-30 19:48 . 2008-06-30 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-06-30 19:48 . 2008-07-01 12:36 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-06-30 19:48 . 2008-06-30 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-06-30 19:48 . 2008-07-01 11:52 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-06-30 19:47 . 2008-07-01 14:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-30 19:47 . 2008-07-01 13:00 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2008-06-30 19:47 . 2008-06-30 19:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-06-30 19:47 . 2008-06-30 18:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-06-30 19:47 . 2008-06-30 20:39 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-06-30 19:47 . 2008-06-30 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-06-30 19:47 . 2008-06-30 18:58 <DIR> d-------- C:\Dokumente und Einstellungen
2008-06-30 19:47 . 2002-08-29 08:54 1,086,182 -ra------ C:\WINDOWS\SET3.tmp
2008-06-30 19:47 . 2001-08-18 21:00 13,898 -ra------ C:\WINDOWS\SETA.tmp
2008-06-30 19:44 . 2008-06-30 21:28 <DIR> d-------- C:\Programme\Norton Internet Security
2008-06-30 19:43 . 2008-06-30 21:29 <DIR> d-------- C:\Programme\Symantec
2008-06-30 19:43 . 2008-07-01 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-30 19:43 . 2008-06-30 21:29 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-30 19:43 . 2008-06-30 21:29 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-30 19:43 . 2008-06-30 21:29 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-30 19:43 . 2008-06-30 21:29 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-30 19:42 . 2008-07-01 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-30 19:41 . 2007-08-01 14:51 41,656 --------- C:\WINDOWS\system32\drivers\ipswuio.sys
2008-06-30 19:39 . 2007-01-24 12:08 5,632 -ra------ C:\WINDOWS\system32\drivers\kbfiltr.sys
2008-06-30 19:38 . 2008-06-30 19:38 <DIR> d-------- C:\Programme\Fingerprint Sensor
2008-06-30 19:37 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2008-06-30 19:37 . 2004-08-03 23:10 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2008-06-30 19:37 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-06-30 19:37 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2008-06-30 19:33 . 2008-06-30 21:02 <DIR> d-------- C:\Programme\Atheros
2008-06-30 19:33 . 2008-06-30 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2008-06-30 19:32 . 2008-06-30 19:32 <DIR> d-------- C:\Programme\CSR
2008-06-30 19:31 . 2008-06-30 19:31 <DIR> d-------- C:\Programme\ATKOSD2
2008-06-30 19:31 . 2008-06-30 19:31 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-06-30 19:30 . 2008-07-01 11:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-30 19:30 . 2008-06-30 19:30 <DIR> d-------- C:\Programme\ATK Hotkey
2008-06-30 19:30 . 2006-12-14 09:11 7,680 -ra------ C:\WINDOWS\system32\drivers\ATKACPI.sys
2008-06-30 19:29 . 2008-06-30 19:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-30 19:28 . 2008-07-01 13:54 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-06-30 19:28 . 2008-06-30 19:28 <DIR> d-------- C:\Programme\ATKGFNEX
2008-06-30 19:28 . 2008-07-01 13:24 <DIR> d-------- C:\Programme\ASUS
2008-06-30 19:25 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-06-30 19:24 . 2008-06-30 20:57 <DIR> d-------- C:\Programme\MSBuild
2008-06-30 19:24 . 2008-06-30 19:24 <DIR> d-------- C:\Programme\Microsoft Works
2008-06-30 19:19 . 2008-06-30 19:20 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-06-30 19:19 . 2008-06-30 19:19 <DIR> dr-h----- C:\MSOCache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:57 --------- d-----w C:\Programme\Reference Assemblies
2008-06-30 18:54 --------- d-----w C:\Programme\MSXML 6.0
2008-06-30 18:18 --------- d-----w C:\Programme\avmwlanstick
2008-06-30 18:11 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-06-30 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-30 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-06-30 18:07 --------- d-----w C:\Programme\Nero
2008-06-30 18:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-06-30 16:55 558,142 ----a-w C:\WINDOWS\java\Packages\WW73Z1VV.ZIP
2008-06-30 16:55 155,995 ----a-w C:\WINDOWS\java\Packages\KCMCY8YB.ZIP
2008-06-30 16:55 --------- d-----w C:\Programme\microsoft frontpage
2008-06-30 16:54 --------- d-----w C:\Programme\Online-Dienste
2008-06-30 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 12:49 451872]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"ATKMEDIA"="C:\Programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 08:27 61440]
"ATKHOTKEY"="C:\Programme\ATK Hotkey\Hcontrol.exe" [2007-08-23 11:18 229376]
"Net4Switch"="C:\Programme\ASUS\Net4Switch\Net4Switch.exe" [2007-08-02 09:57 1145400]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 01:11 771704]
"PowerForPhone"="C:\Programme\PowerForPhone\PowerForPhone.exe" [2007-06-26 10:10 778240]
"ASUS Camera ScreenSaver"="C:\WINDOWS\ASScrProlog.exe" [2008-06-30 19:52 37232]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"ACU"="C:\Programme\Atheros\ACU.exe" [2006-06-13 06:58 372824]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 15:47 16859648 C:\WINDOWS\RTHDCPL.exe]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2007-07-05 16:53 1040384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-08-02 19:41:52 2760704]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\PROGRA~1\ATKHOT~1\ASNDIS5.SYS [2004-05-27 18:13]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 01:00]
S3 ipswuio;ipswuio;C:\WINDOWS\system32\DRIVERS\ipswuio.sys [2007-08-01 14:51]
S3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2006-06-02 12:52]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ab1344f-46d0-11dd-9a74-ba505e2cff74}]
\Shell\AutoRun\command - F:\pushinst.exe
*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-06-30 18:00:32 C:\WINDOWS\Tasks\Norton Internet Security - Run Full System Scan - Max.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 14:40:38
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-01 14:41:31
ComboFix-quarantined-files.txt 2008-07-01 12:41:17
7 Verzeichnis(se), 124,098,854,912 Bytes frei
10 Verzeichnis(se), 124,167,659,520 Bytes frei
223
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 18:57 --------- d-----w C:\Programme\Reference Assemblies
2008-06-30 18:54 --------- d-----w C:\Programme\MSXML 6.0
2008-06-30 18:18 --------- d-----w C:\Programme\avmwlanstick
2008-06-30 18:11 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-06-30 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-30 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-06-30 18:07 --------- d-----w C:\Programme\Nero
2008-06-30 18:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-06-30 16:55 558,142 ----a-w C:\WINDOWS\java\Packages\WW73Z1VV.ZIP
2008-06-30 16:55 155,995 ----a-w C:\WINDOWS\java\Packages\KCMCY8YB.ZIP
2008-06-30 16:55 --------- d-----w C:\Programme\microsoft frontpage
2008-06-30 16:54 --------- d-----w C:\Programme\Online-Dienste
2008-06-30 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 12:49 451872]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"ATKMEDIA"="C:\Programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 08:27 61440]
"ATKHOTKEY"="C:\Programme\ATK Hotkey\Hcontrol.exe" [2007-08-23 11:18 229376]
"Net4Switch"="C:\Programme\ASUS\Net4Switch\Net4Switch.exe" [2007-08-02 09:57 1145400]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 01:11 771704]
"PowerForPhone"="C:\Programme\PowerForPhone\PowerForPhone.exe" [2007-06-26 10:10 778240]
"ASUS Camera ScreenSaver"="C:\WINDOWS\ASScrProlog.exe" [2008-06-30 19:52 37232]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"ACU"="C:\Programme\Atheros\ACU.exe" [2006-06-13 06:58 372824]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 15:47 16859648 C:\WINDOWS\RTHDCPL.exe]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2007-07-05 16:53 1040384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-08-02 19:41:52 2760704]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\PROGRA~1\ATKHOT~1\ASNDIS5.SYS [2004-05-27 18:13]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 01:00]
S3 ipswuio;ipswuio;C:\WINDOWS\system32\DRIVERS\ipswuio.sys [2007-08-01 14:51]
S3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2006-06-02 12:52]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ab1344f-46d0-11dd-9a74-ba505e2cff74}]
\Shell\AutoRun\command - F:\pushinst.exe
*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-06-30 18:00:32 C:\WINDOWS\Tasks\Norton Internet Security - Run Full System Scan - Max.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 14:40:38
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-01 14:41:31
ComboFix-quarantined-files.txt 2008-07-01 12:41:17
7 Verzeichnis(se), 124,098,854,912 Bytes frei
10 Verzeichnis(se), 124,167,659,520 Bytes frei
223
Swisstreasure
Stammgast
Hallo Necro
Was sagt Virustotal dazu:
>>
Virustotal http://www.virustotal.com/flash/index_en.html
C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exe
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
Gruss Swiss
Was sagt Virustotal dazu:
>>
Virustotal http://www.virustotal.com/flash/index_en.html
C:\Programme\rhc3nej0eafr\rhc3nej0eafr.exe
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
Gruss Swiss
das sagt virustotal dazu das:
Die Datei wurde bereits analysiert:
MD5: c8ad8d009554aa3de4959181279a5997
First received: 2008.06.30 17:39:13 (CET)
Datum 2008.07.01 15:30:03 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/d14c0d0258a191b948144a8f30031467
hre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.8.0.59 2008.07.01 TR/Drop.Age.1642496
AVG 7.5.0.516 2008.07.01 -
BitDefender 7.2 2008.07.01 -
CAT-QuickHeal 9.50 2008.06.30 -
ClamAV 0.93.1 2008.07.01 -
DrWeb 4.44.0.09170 2008.07.01 -
eSafe 7.0.17.0 2008.06.30 Suspicious File
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.07.01 -
F-Secure 7.60.13501.0 2008.07.01 -
GData 2.0.7306.1023 2008.07.01 Trojan.Win32.Pakes.jlh
Ikarus T3.1.1.26.0 2008.07.01 Trojan-Dropper.Age.1642496
Kaspersky 7.0.0.125 2008.07.01 Trojan.Win32.Pakes.jlh
McAfee 5328 2008.06.30 -
Microsoft 1.3704 2008.07.01 -
Norman 5.80.02 2008.06.30 -
Panda 9.0.0.4 2008.07.01 -
Prevx1 V2 2008.07.01 Malicious Software
Sophos 4.30.0 2008.07.01 -
Symantec 10 2008.07.01 -
VBA32 3.12.6.8 2008.06.30 -
VirusBuster 4.5.11.0 2008.06.30 -
Webwasher-Gateway 6.6.2 2008.07.01 Trojan.Drop.Age.1642496
weitere Informationen
File size: 335360 bytes
MD5...: c8ad8d009554aa3de4959181279a5997
SHA1..: 05ad79910ec3ef024eb133061ca5d18e675e93ca
SHA256: bc648014541779febd6a9770cfaf6b45b767782530bff701d927621fa6698c34
SHA512: 3df28e67af8df330f34d2a1052923d9c6aaa461fed223937fb54548629412608
4d77bd15cc3c4f043810255c6027acd19c63ac0acb6b29721c442228af4cfbbe
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x583cf4
timedatestamp.....: 0x485d43ab (Sat Jun 21 18:08:43 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x14f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x150000 0x49000 0x48a00 8.00 0491212b2e1ed79c76eb7c686e251224
.rsrc 0x199000 0x9000 0x9000 5.47 fbfc9c170857f5a8effa3cb3015ce8d8
( 3 imports )
> shell32.dll: DAD_DragLeave, StrStrIA, DuplicateIcon
> msvcrt.dll: _mbccpy, _mbctombb, _mbsdec, _pctype, _snprintf, _snwprintf
> kernel32.dll: CompareFileTime, CopyFileW, CreateThread, DefineDosDeviceW, EnumResourceTypesW, GetCommConfig, GetConsoleWindow, GetDateFormatW
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7887F1CF00AF9D5B1E1605BBE656F70015654EB3
Die Datei wurde bereits analysiert:
MD5: c8ad8d009554aa3de4959181279a5997
First received: 2008.06.30 17:39:13 (CET)
Datum 2008.07.01 15:30:03 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/d14c0d0258a191b948144a8f30031467
hre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.8.0.59 2008.07.01 TR/Drop.Age.1642496
AVG 7.5.0.516 2008.07.01 -
BitDefender 7.2 2008.07.01 -
CAT-QuickHeal 9.50 2008.06.30 -
ClamAV 0.93.1 2008.07.01 -
DrWeb 4.44.0.09170 2008.07.01 -
eSafe 7.0.17.0 2008.06.30 Suspicious File
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.07.01 -
F-Secure 7.60.13501.0 2008.07.01 -
GData 2.0.7306.1023 2008.07.01 Trojan.Win32.Pakes.jlh
Ikarus T3.1.1.26.0 2008.07.01 Trojan-Dropper.Age.1642496
Kaspersky 7.0.0.125 2008.07.01 Trojan.Win32.Pakes.jlh
McAfee 5328 2008.06.30 -
Microsoft 1.3704 2008.07.01 -
Norman 5.80.02 2008.06.30 -
Panda 9.0.0.4 2008.07.01 -
Prevx1 V2 2008.07.01 Malicious Software
Sophos 4.30.0 2008.07.01 -
Symantec 10 2008.07.01 -
VBA32 3.12.6.8 2008.06.30 -
VirusBuster 4.5.11.0 2008.06.30 -
Webwasher-Gateway 6.6.2 2008.07.01 Trojan.Drop.Age.1642496
weitere Informationen
File size: 335360 bytes
MD5...: c8ad8d009554aa3de4959181279a5997
SHA1..: 05ad79910ec3ef024eb133061ca5d18e675e93ca
SHA256: bc648014541779febd6a9770cfaf6b45b767782530bff701d927621fa6698c34
SHA512: 3df28e67af8df330f34d2a1052923d9c6aaa461fed223937fb54548629412608
4d77bd15cc3c4f043810255c6027acd19c63ac0acb6b29721c442228af4cfbbe
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x583cf4
timedatestamp.....: 0x485d43ab (Sat Jun 21 18:08:43 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x14f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x150000 0x49000 0x48a00 8.00 0491212b2e1ed79c76eb7c686e251224
.rsrc 0x199000 0x9000 0x9000 5.47 fbfc9c170857f5a8effa3cb3015ce8d8
( 3 imports )
> shell32.dll: DAD_DragLeave, StrStrIA, DuplicateIcon
> msvcrt.dll: _mbccpy, _mbctombb, _mbsdec, _pctype, _snprintf, _snwprintf
> kernel32.dll: CompareFileTime, CopyFileW, CreateThread, DefineDosDeviceW, EnumResourceTypesW, GetCommConfig, GetConsoleWindow, GetDateFormatW
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7887F1CF00AF9D5B1E1605BBE656F70015654EB3
Swisstreasure
Stammgast
Werde mich am Abend wieder melden. Es muss noch einiges raus.
Gruss Swiss
Gruss Swiss
Swisstreasure
Stammgast
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden
>>
Scanne mit mit option 1 und 2 und poste das Log der Option 2
http://virus-protect.org/artikel/tools/navilog.html
Gruss swiss
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern
Code:
KILLALL::
File::
C:\WINDOWS\system32\lphc7nej0eafr.exe
C:\WINDOWS\system32\10.tmp
C:\WINDOWS\system32\blphc7nej0eafr.scr
Folder::
C:\Dokumente und Einstellungen\Max\Anwendungsdaten\rhc3nej0eafr
C:\Programme\rhc3nej0eafrMan sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden
>>
Scanne mit mit option 1 und 2 und poste das Log der Option 2
http://virus-protect.org/artikel/tools/navilog.html
Gruss swiss
Navipromo Removal version 3.6.0 started on 01.07.2008 at 20:14:24,10
Fix running from C:\Programme\navilog1
Actual User Account : "Max"
Updated on 27.06.2008 at 23h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS
Automatic removal
with Catchme and GNS results
Cleanning stage done on Reboot
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "C:\WINDOWS\System32" *
* Deletion in "C:\Dokumente und Einstellungen\Max\lokale~1\anwend~1" *
*** Deleting folders in "C:\WINDOWS" ***
*** Deleting folders in "C:\Programme" ***
*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\Max\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\Max\lokale~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\Max\startm~1\progra~1" ***
*** Deleting files ***
*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Max\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In "C:\WINDOWS\system32" *
* In "C:\Dokumente und Einstellungen\Max\lokale~1\anwend~1" *
*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate not found !
Electronic-Group Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !
*** Cleaning stage complete on 01.07.2008 at 20:18:14,10 ***
Fix running from C:\Programme\navilog1
Actual User Account : "Max"
Updated on 27.06.2008 at 23h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS
Automatic removal
with Catchme and GNS results
Cleanning stage done on Reboot
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in "C:\WINDOWS\System32" *
* Deletion in "C:\Dokumente und Einstellungen\Max\lokale~1\anwend~1" *
*** Deleting folders in "C:\WINDOWS" ***
*** Deleting folders in "C:\Programme" ***
*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\Max\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\Max\lokale~1\anwend~1" ***
*** Deleting folders in "C:\Dokumente und Einstellungen\Max\startm~1\progra~1" ***
*** Deleting files ***
*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Max\lokale~1\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In "C:\WINDOWS\system32" *
* In "C:\Dokumente und Einstellungen\Max\lokale~1\anwend~1" *
*** Copy Registry to Safebackup folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate not found !
Electronic-Group Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !
*** Cleaning stage complete on 01.07.2008 at 20:18:14,10 ***
Swisstreasure
Stammgast
Hallo Necro
Hast du das Script bei Combofix angewendet?
Erstelle nochmals ein CombofixLog.
Gruss Swiss
Hast du das Script bei Combofix angewendet?
Erstelle nochmals ein CombofixLog.
Gruss Swiss
- Status