Ryokotsusei
Hallo,
wie im Thema bereits gesagt, habe ich mit diesem Trojaner Probleme, bzw. AntiVir. AntiVir kann diesen Missstand jedoch nicht beheben und das Löschen der Datei wäre... unklug, bzw. vielleicht sogar unmöglich.
Ich habe bereits wie in der Anleitung zum Umgang mit Malware beschrieben HiJackThis, WindowsScan und BlackLightning durchlaufen lassen (findet ihr weiter unten). Nur NaviLog habe ich nicht genutzt, da AntiVir in dem Programm ebenfalls einen Virus gefunden hat.
Ich hoffe ihr könnt mir helfen, dafür jetzt schon mal ein Danke.
HighJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:16, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DC2E79E-F6E9-411B-AD81-963BD2516259}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
--
End of file - 4009 bytes
WindowsScan:
Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****
10.09.2007 WindowsUpdate.log 16 10:1.955.792
10.09.2007 0.log 16 09:0
10.09.2007 bootstat.dat 16 09:2.048
10.09.2007 SchedLgU.Txt 16 07:26.436
10.09.2007 DirectX.log 15 34:362.692
10.09.2007 setupapi.log 15 19:539.113
09.09.2007 DIFx.log 21 23:894
06.09.2007 NeroDigital.ini 08 53:69
29.08.2007 iis6.log 10 08:767.244
29.08.2007 imsins.log 10 08:1.374
29.08.2007 comsetup.log 10 08:222.048
29.08.2007 ocmsn.log 10 08:35.794
29.08.2007 tsoc.log 10 08:299.076
29.08.2007 tabletoc.log 10 08:30.917
29.08.2007 ntdtcsetup.log 10 08:135.207
29.08.2007 KB933360.log 10 08:21.380
29.08.2007 ocgen.log 10 08:324.381
29.08.2007 netfxocm.log 10 08:109.112
29.08.2007 medctroc.Log 10 08:45.571
29.08.2007 msgsocm.log 10 08:32.409
29.08.2007 FaxSetup.log 10 08:627.732
29.08.2007 msmqinst.log 10 08:208.292
26.08.2007 wiadebug.log 21 37:718
26.08.2007 wiaservc.log 21 33:50
22.08.2007 wmsetup.log 17 14:112.397
22.08.2007 spupdsvc.log 16 49:78.320
22.08.2007 wmsetup10.log 16 49:1.062
Die 50 neuesten Dateien im Ordner Windows\system32:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****
10.09.2007 wpa.dbl 13 31:2.206
08.09.2007 FNTCACHE.DAT 14 46:220.840
07.09.2007 CmdLineExt03.dll 21 38:43.520
29.08.2007 TZLog.log 10 08:249.852
24.08.2007 qtplugin.log 07 44:3.778
17.08.2007 SIntfNT.dll 22 40:21.840
17.08.2007 SIntf32.dll 22 40:17.212
17.08.2007 SIntf16.dll 22 40:12.067
17.08.2007 perfc009.dat 17 32:70.066
17.08.2007 perfh009.dat 17 32:435.920
17.08.2007 perfh007.dat 17 32:452.776
17.08.2007 perfc007.dat 17 32:82.768
17.08.2007 PerfStringBackup.INI 17 32:1.050.338
03.08.2007 MRT.exe 06 34:16.789.464
30.07.2007 wuaucpl.cpl.mui 19 20:30.040
30.07.2007 wuapi.dll.mui 19 20:30.040
30.07.2007 wuaueng.dll 19 19:1.712.984
30.07.2007 wuapi.dll 19 19:549.720
30.07.2007 wucltui.dll 19 19:325.976
30.07.2007 wuweb.dll 19 19:203.096
30.07.2007 wuaucpl.cpl 19 19:216.408
30.07.2007 cdm.dll 19 19:92.504
30.07.2007 wuauclt.exe 19 19:53.080
30.07.2007 wups2.dll 19 19:43.352
30.07.2007 wucltui.dll.mui 19 18:34.136
30.07.2007 wups.dll 19 18:33.624
30.07.2007 wuaueng.dll.mui 19 18:20.824
30.07.2007 h323log.txt 01 24:0
30.07.2007 spupdwxp.log 01 17:251
30.07.2007 wmpscheme.xml 00 37:25.065
30.07.2007 $winnt$.inf 00 32:261
30.07.2007 CONFIG.NT 00 29:2.951
30.07.2007 amcompat.tlb 00 29:16.832
30.07.2007 nscompat.tlb 00 29:23.392
30.07.2007 WindowsLogon.manifest 00 29:488
30.07.2007 logonui.exe.manifest 00 29:488
30.07.2007 sapi.cpl.manifest 00 29:749
30.07.2007 nwc.cpl.manifest 00 29:749
30.07.2007 wuaucpl.cpl.manifest 00 29:749
30.07.2007 cdplayer.exe.manifest 00 29:749
30.07.2007 ncpa.cpl.manifest 00 29:749
30.07.2007 emptyregdb.dat 00 27:21.740
28.07.2007 atioglx2.dll 05 37:8.237.056
28.07.2007 ATIDEMGX.dll 05 31:344.064
28.07.2007 ati2dvag.dll 05 30:269.312
28.07.2007 atiiiexx.dll 05 24:307.200
28.07.2007 atipdlxx.dll 05 23:143.360
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****
Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 220 K
smss.exe 516 Console 0 404 K
csrss.exe 640 Console 0 3.732 K
winlogon.exe 676 Console 0 4.188 K
services.exe 724 Console 0 4.048 K
lsass.exe 736 Console 0 1.424 K
ati2evxx.exe 888 Console 0 3.300 K
svchost.exe 900 Console 0 4.648 K
svchost.exe 964 Console 0 4.204 K
svchost.exe 1100 Console 0 20.160 K
ati2evxx.exe 1164 Console 0 3.936 K
svchost.exe 1200 Console 0 3.188 K
svchost.exe 1428 Console 0 4.076 K
explorer.exe 1480 Console 0 19.324 K
spoolsv.exe 1692 Console 0 4.824 K
avguard.exe 1764 Console 0 8.008 K
avgnt.exe 1816 Console 0 824 K
rundll32.exe 1824 Console 0 3.284 K
ctfmon.exe 1848 Console 0 2.884 K
sched.exe 1212 Console 0 2.332 K
svchost.exe 1376 Console 0 3.144 K
RichVideo.exe 1600 Console 0 2.820 K
wdfmgr.exe 988 Console 0 1.684 K
alg.exe 2224 Console 0 3.448 K
firefox.exe 3512 Console 0 32.460 K
HijackThis.exe 800 Console 0 9.144 K
notepad.exe 1352 Console 0 3.248 K
cmd.exe 3164 Console 0 1.852 K
tasklist.exe 4000 Console 0 4.360 K
wmiprvse.exe 984 Console 0 5.524 K
Microsoft Windows XP [Version 5.1.2600]
http://www.paules-pc-forum.de
***** Malware Team *****
***** Ende des Scans 10.09.2007 um 16:34:15,75 ***
BlackLightning:
09/10/07 16:52:22 [Info]: BlackLight Engine 1.0.64 initialized
09/10/07 16:52:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/10/07 16:52:22 [Note]: 7019 4
09/10/07 16:52:22 [Note]: 7005 0
09/10/07 16:52:36 [Note]: 7006 0
09/10/07 16:52:36 [Note]: 7011 1480
09/10/07 16:52:36 [Note]: 7026 0
09/10/07 16:52:36 [Note]: 7026 0
09/10/07 16:52:38 [Note]: FSRAW library version 1.7.1022
09/10/07 16:57:32 [Note]: 7007 0
wie im Thema bereits gesagt, habe ich mit diesem Trojaner Probleme, bzw. AntiVir. AntiVir kann diesen Missstand jedoch nicht beheben und das Löschen der Datei wäre... unklug, bzw. vielleicht sogar unmöglich.
Ich habe bereits wie in der Anleitung zum Umgang mit Malware beschrieben HiJackThis, WindowsScan und BlackLightning durchlaufen lassen (findet ihr weiter unten). Nur NaviLog habe ich nicht genutzt, da AntiVir in dem Programm ebenfalls einen Virus gefunden hat.
Ich hoffe ihr könnt mir helfen, dafür jetzt schon mal ein Danke.
HighJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:16, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DC2E79E-F6E9-411B-AD81-963BD2516259}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
--
End of file - 4009 bytes
WindowsScan:
Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****
10.09.2007 WindowsUpdate.log 16 10:1.955.792
10.09.2007 0.log 16 09:0
10.09.2007 bootstat.dat 16 09:2.048
10.09.2007 SchedLgU.Txt 16 07:26.436
10.09.2007 DirectX.log 15 34:362.692
10.09.2007 setupapi.log 15 19:539.113
09.09.2007 DIFx.log 21 23:894
06.09.2007 NeroDigital.ini 08 53:69
29.08.2007 iis6.log 10 08:767.244
29.08.2007 imsins.log 10 08:1.374
29.08.2007 comsetup.log 10 08:222.048
29.08.2007 ocmsn.log 10 08:35.794
29.08.2007 tsoc.log 10 08:299.076
29.08.2007 tabletoc.log 10 08:30.917
29.08.2007 ntdtcsetup.log 10 08:135.207
29.08.2007 KB933360.log 10 08:21.380
29.08.2007 ocgen.log 10 08:324.381
29.08.2007 netfxocm.log 10 08:109.112
29.08.2007 medctroc.Log 10 08:45.571
29.08.2007 msgsocm.log 10 08:32.409
29.08.2007 FaxSetup.log 10 08:627.732
29.08.2007 msmqinst.log 10 08:208.292
26.08.2007 wiadebug.log 21 37:718
26.08.2007 wiaservc.log 21 33:50
22.08.2007 wmsetup.log 17 14:112.397
22.08.2007 spupdsvc.log 16 49:78.320
22.08.2007 wmsetup10.log 16 49:1.062
Die 50 neuesten Dateien im Ordner Windows\system32:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****
10.09.2007 wpa.dbl 13 31:2.206
08.09.2007 FNTCACHE.DAT 14 46:220.840
07.09.2007 CmdLineExt03.dll 21 38:43.520
29.08.2007 TZLog.log 10 08:249.852
24.08.2007 qtplugin.log 07 44:3.778
17.08.2007 SIntfNT.dll 22 40:21.840
17.08.2007 SIntf32.dll 22 40:17.212
17.08.2007 SIntf16.dll 22 40:12.067
17.08.2007 perfc009.dat 17 32:70.066
17.08.2007 perfh009.dat 17 32:435.920
17.08.2007 perfh007.dat 17 32:452.776
17.08.2007 perfc007.dat 17 32:82.768
17.08.2007 PerfStringBackup.INI 17 32:1.050.338
03.08.2007 MRT.exe 06 34:16.789.464
30.07.2007 wuaucpl.cpl.mui 19 20:30.040
30.07.2007 wuapi.dll.mui 19 20:30.040
30.07.2007 wuaueng.dll 19 19:1.712.984
30.07.2007 wuapi.dll 19 19:549.720
30.07.2007 wucltui.dll 19 19:325.976
30.07.2007 wuweb.dll 19 19:203.096
30.07.2007 wuaucpl.cpl 19 19:216.408
30.07.2007 cdm.dll 19 19:92.504
30.07.2007 wuauclt.exe 19 19:53.080
30.07.2007 wups2.dll 19 19:43.352
30.07.2007 wucltui.dll.mui 19 18:34.136
30.07.2007 wups.dll 19 18:33.624
30.07.2007 wuaueng.dll.mui 19 18:20.824
30.07.2007 h323log.txt 01 24:0
30.07.2007 spupdwxp.log 01 17:251
30.07.2007 wmpscheme.xml 00 37:25.065
30.07.2007 $winnt$.inf 00 32:261
30.07.2007 CONFIG.NT 00 29:2.951
30.07.2007 amcompat.tlb 00 29:16.832
30.07.2007 nscompat.tlb 00 29:23.392
30.07.2007 WindowsLogon.manifest 00 29:488
30.07.2007 logonui.exe.manifest 00 29:488
30.07.2007 sapi.cpl.manifest 00 29:749
30.07.2007 nwc.cpl.manifest 00 29:749
30.07.2007 wuaucpl.cpl.manifest 00 29:749
30.07.2007 cdplayer.exe.manifest 00 29:749
30.07.2007 ncpa.cpl.manifest 00 29:749
30.07.2007 emptyregdb.dat 00 27:21.740
28.07.2007 atioglx2.dll 05 37:8.237.056
28.07.2007 ATIDEMGX.dll 05 31:344.064
28.07.2007 ati2dvag.dll 05 30:269.312
28.07.2007 atiiiexx.dll 05 24:307.200
28.07.2007 atipdlxx.dll 05 23:143.360
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****
Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 220 K
smss.exe 516 Console 0 404 K
csrss.exe 640 Console 0 3.732 K
winlogon.exe 676 Console 0 4.188 K
services.exe 724 Console 0 4.048 K
lsass.exe 736 Console 0 1.424 K
ati2evxx.exe 888 Console 0 3.300 K
svchost.exe 900 Console 0 4.648 K
svchost.exe 964 Console 0 4.204 K
svchost.exe 1100 Console 0 20.160 K
ati2evxx.exe 1164 Console 0 3.936 K
svchost.exe 1200 Console 0 3.188 K
svchost.exe 1428 Console 0 4.076 K
explorer.exe 1480 Console 0 19.324 K
spoolsv.exe 1692 Console 0 4.824 K
avguard.exe 1764 Console 0 8.008 K
avgnt.exe 1816 Console 0 824 K
rundll32.exe 1824 Console 0 3.284 K
ctfmon.exe 1848 Console 0 2.884 K
sched.exe 1212 Console 0 2.332 K
svchost.exe 1376 Console 0 3.144 K
RichVideo.exe 1600 Console 0 2.820 K
wdfmgr.exe 988 Console 0 1.684 K
alg.exe 2224 Console 0 3.448 K
firefox.exe 3512 Console 0 32.460 K
HijackThis.exe 800 Console 0 9.144 K
notepad.exe 1352 Console 0 3.248 K
cmd.exe 3164 Console 0 1.852 K
tasklist.exe 4000 Console 0 4.360 K
wmiprvse.exe 984 Console 0 5.524 K
Microsoft Windows XP [Version 5.1.2600]
http://www.paules-pc-forum.de
***** Malware Team *****
***** Ende des Scans 10.09.2007 um 16:34:15,75 ***
BlackLightning:
09/10/07 16:52:22 [Info]: BlackLight Engine 1.0.64 initialized
09/10/07 16:52:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/10/07 16:52:22 [Note]: 7019 4
09/10/07 16:52:22 [Note]: 7005 0
09/10/07 16:52:36 [Note]: 7006 0
09/10/07 16:52:36 [Note]: 7011 1480
09/10/07 16:52:36 [Note]: 7026 0
09/10/07 16:52:36 [Note]: 7026 0
09/10/07 16:52:38 [Note]: FSRAW library version 1.7.1022
09/10/07 16:57:32 [Note]: 7007 0
