ich raffs nicht! Hilfe! Virus? Trojaner?

Dieses Thema im Forum "Sicherheit" wurde erstellt von schopknick, 4. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    hallo, ich hab seit einigen tagen nen ganz merkwürdigen virus/trojanisches pferd oder sonstwas auf meinem rechner. :aua:

    und zwar öffnet das ding einfach nur meinen alle paar minuten internet-browser mit einer leeren seite. habe letzte nacht meinen rechner angelassen, morgens waren dann ~70 browser-fenster geöffnet... (hatte erst mozilla firefox drauf, jetzt hab ich opera, das problem tritt bei beiden auf)

    mein virenscanner ist antivir, der hat nix gefunden, jetzt hab ich mir spasseshalber nochmal ne trialversion von norton 2006 runtergeladen und gescannt, findet auch nix. ausserdem hab ichs probiert mit ad-aware, spybot, cw-shredder und irgend nem tool von trend micro (hab den namen vergessen). jetzt bin ich mit meinem latein am ende, hat jemand ne ahnung was das sein könnte???

    für hilfe wäre ich sehr dankbar!

    p.s.: ich möchte nicht die komplette festplatte formatieren bzw. windows neu draufziehen. darauf bin ich alleine gekommen. um das zu vermeiden, frage ich ja hier im forum nach hilfe...

    DANKE,
    David
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstelle mal ein HijackThis logfile wie hier beschrieben und poste den Link.


    Grüße Jasager
     
  3. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dein Logfile ist etwas unleserlich, da sich Leerzeilen zwischen die jeweiligen Einträge geschoben haben, falls du das noch mal korrigieren kannst tue dies.
    Aber wenn ich nichts übersehen habe gibt es nichts verdächtiges in dem Logfile, womit wit tiefer graben müssen, poste mal ein log von Silentrunners und von F-Secure Blacklight.


    Grüße Jasager
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    in der Nacht 70 Browser-Fenster geöffnet. Was läuft da nachts für eine Software, Filesharing.. MP3's klauen :) ??.

    Durch die Installation von Norton hast du der Maschine eh den Rest gegeben.. zwei Virenscanner aktiv und eine Desktop-Firewall die nicht benötigt wird. Das ergibt tausende von Registry-Einträgen und bringt nichts an zusätzlichem Schutz.

    Wolfgang77
     
  6. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    also das blacklight hat nix gefunden, das log-file von silentrunners ist hier:
    gruß,
    david
    "Silent Runners.vbs", revision 41, http://www.silentrunners.org/
    Operating System: Windows XP SP2
    Output limited to non-default values, except where indicated by "{++}"


    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "TuneUp MemOptimizer" = ""C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart" ["TuneUp Software GmbH"]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
    "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
    "LWBMOUSE" = "C:\Programme\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe" [empty string]
    "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
    "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
    "SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]

    HKLM\Software\Microsoft\Active Setup\Installed Components\
    >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
    \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
    >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
    \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
    "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
    "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
    "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
    "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
    -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
    "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
    "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
    INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

    HKLM\Software\Classes\PROTOCOLS\Filter\
    INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
    TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
    -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
    -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


    Startup items in "Chef" & "All Users" startup folders:
    ------------------------------------------------------

    C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    "Enable Wireless Keyboard Driver" -> shortcut to: "C:\Programme\Wireless Device\Wireless Keyboard\Magickey.exe" [null data]


    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Extensions (Tools menu items, main toolbar menu buttons)

    HKLM\Software\Microsoft\Internet Explorer\Extensions\
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
    "MenuText" = "Sun Java Konsole"
    "CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
    -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

    {92780B25-18CC-41C8-B9BE-3C9C571A8263}\
    "ButtonText" = "Recherchieren"

    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
    "ButtonText" = "Messenger"
    "MenuText" = "Windows Messenger"
    "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


    Miscellaneous IE Hijack Points
    ------------------------------

    HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

    Missing lines (compared with English-language version):
    HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    Sygate Personal Firewall Platinum, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
    AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["H+BEDV Datentechnik GmbH"]
    AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["H+BEDV Datentechnik GmbH"]
    Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
    LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
    Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
    Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
    Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]


    Print Monitors:
    ---------------

    HKLM\System\CurrentControlSet\Control\Print\Monitors\
    Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
    Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + To search all directories of local fixed drives for DESKTOP.INI
    DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
    use the -supp parameter or answer "No" at the first message box.
    ---------- (total run time: 50 seconds, including 10 seconds for message boxes)
     
  7. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    hatte ganz übersehen dass das blacklight doch ein logfilse erstellt hat, steht zwar nicht viel drin, aber trotzdem:

    01/05/06 18:34:17 [Info]: BlackLight Engine 1.0.30 initialized
    01/05/06 18:34:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    01/05/06 18:34:17 [Note]: 7019 4
    01/05/06 18:34:17 [Note]: 7005 0
    01/05/06 18:34:25 [Note]: 7006 0
    01/05/06 18:34:25 [Note]: 7011 1360
    01/05/06 18:34:26 [Note]: FSRAW library version 1.7.1014
    01/05/06 18:35:44 [Note]: 7007 0
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    seltsam, ich kann nichts auffälliges entdecken, überprüfe mal noch dein System mit Escan (Anleitung sorgfältig lesen!) und poste das log wie in der Anleitung beschrieben (find.bat).

    Außerdem kannst du mal folgendes machen, und die vier Logs posten, nur die Dateien der letzten drei Monate abkopieren!


    Grüße Jasager
     
  9. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    hallo jasager, ich glaub, ich hab was gefunden!!! escan hat folgendes ausgespuckt:

    Object "searchexe Spyware/Adware" found in File System! Action Taken: No Action Taken.

    in der log datei hab ich folgendes gefunden:

    Fri Jan 06 19:30:43 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.

    wenn du mir jetzt noch sagen könntest, was ich unternehmen soll, wäre ich dir sau-dankbar!

    gruß,david
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich will deine Euphorie ja nicht bremsen aber Escan Ergebnisse sind immer so eine Sache, vieles (insbesondere angebliche Spyware) findet das Programm nur um sich wichtig zu machen um zum Kauf anzuregen.

    Ich glaube nicht das der Fund der searchexe spyware uns weiterbringt aber du kannst mal mit dem Programm Regseeker nach "807553e5-5146-11d5-a672-00b0d022e945" suchen und falls der Eintrag verdächtig ist ihn löschen.

    Ansonsten löschst du mal alle Temp Dateien mit Cleanup! und führst wie oben beschrieben die datfind.bat durch, vielleicht finde ich ja damit noch etwas.


    Grüße Jasager
     
  11. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    cleanup hab ich ausgeführt, hier ausserdem das ergebnis der datfind.bat:

    Verzeichnis von C:\WINDOWS\system32

    07.01.2006 13:12 38.360 vsconfig.xml
    06.01.2006 21:21 4.212 zllictbl.dat
    05.01.2006 22:31 2.206 wpa.dbl
    05.01.2006 18:28 75 LuResult.txt
    02.01.2006 18:32 134.072 FNTCACHE.DAT
    29.12.2005 18:04 2.158 tmmute.ini
    29.12.2005 03:54 280.064 gdi32.dll
    09.12.2005 01:21 2.723.680 MRT.exe
    08.12.2005 19:39 22 ati64hlp.stb
    05.12.2005 06:12 56.832 pxcpya64.exe
    05.12.2005 06:12 405.504 pxdrv.dll
    05.12.2005 06:12 61.440 pxhpinst.exe
    05.12.2005 06:12 56.320 pxinsa64.exe
    05.12.2005 06:12 28.672 vxblock.dll
    05.12.2005 06:12 172.032 pxmas.dll
    05.12.2005 06:12 339.968 pxwave.dll
    05.12.2005 06:12 339.968 px.dll
    01.12.2005 04:31 1.492.480 shdocvw.dll
    24.11.2005 00:58 1.022.464 browseui.dll
    24.11.2005 00:58 3.013.632 mshtml.dll
    15.11.2005 00:51 71.440 zlcommdb.dll
    15.11.2005 00:51 79.624 zlcomm.dll
    15.11.2005 00:51 100.104 vsxml.dll
    15.11.2005 00:51 382.728 vsutil.dll
    15.11.2005 00:51 71.440 vsregexp.dll
    15.11.2005 00:50 227.088 vspubapi.dll
    15.11.2005 00:50 104.208 vsmonapi.dll
    15.11.2005 00:50 141.064 vsinit.dll
    15.11.2005 00:50 372.816 vsdatant.sys
    15.11.2005 00:50 83.720 vsdata.dll
    15.11.2005 00:34 54.960 vsutil_loc0407.dll
    15.11.2005 00:33 42.672 imslsp_loc0407.dll
    15.11.2005 00:32 30.384 imslsp_install_loc0407.dll
    15.11.2005 00:32 30.384 imsinstall_loc0407.dll
    15.11.2005 00:31 796.336 libeay32_0.9.6l.dll
    15.11.2005 00:31 2.807.560 imslsp.dll
    15.11.2005 00:31 657.168 imsinstall.dll
    13.11.2005 18:28 5.618 jupdate-1.5.0_05-b05.log
    13.11.2005 13:12 2.321.408 TUKernel.exe
    12.11.2005 08:56 383.254 perfh009.dat
    12.11.2005 08:56 53.608 perfc009.dat
    12.11.2005 08:56 394.500 perfh007.dat
    12.11.2005 08:56 64.598 perfc007.dat
    12.11.2005 08:56 906.552 PerfStringBackup.INI
    09.11.2005 18:52 3.403 jupdate-1.4.2_03-b02.log
    09.11.2005 17:48 16.981 $winnt$.inf
    09.11.2005 17:44 23.392 nscompat.tlb
    09.11.2005 17:44 16.832 amcompat.tlb
    09.11.2005 17:43 488 logonui.exe.manifest
    09.11.2005 17:43 488 WindowsLogon.manifest
    09.11.2005 17:43 749 ncpa.cpl.manifest
    09.11.2005 17:43 749 sapi.cpl.manifest
    09.11.2005 17:43 749 nwc.cpl.manifest
    09.11.2005 17:43 749 wuaucpl.cpl.manifest
    09.11.2005 17:43 749 cdplayer.exe.manifest
    09.11.2005 17:41 23.504 emptyregdb.dat
    05.11.2005 04:16 606.208 urlmon.dll
    05.11.2005 04:16 1.056.256 danim.dll
    03.11.2005 20:33 25.065 wmpscheme.xml
    03.11.2005 20:20 2.951 CONFIG.NT
    03.11.2005 20:14 0 h323log.txt
    21.10.2005 04:40 664.064 wininet.dll
    21.10.2005 04:40 474.112 shlwapi.dll
    21.10.2005 04:40 39.424 pngfilt.dll
    21.10.2005 04:40 448.512 mshtmled.dll
    21.10.2005 04:40 146.432 msrating.dll
    21.10.2005 04:40 530.944 mstime.dll
    21.10.2005 04:40 96.768 inseng.dll
    21.10.2005 04:40 152.064 cdfview.dll
    21.10.2005 04:40 205.312 dxtrans.dll
    21.10.2005 04:40 251.392 iepeers.dll
    21.10.2005 04:40 55.808 extmgr.dll
    20.10.2005 23:25 1.094.144 esent.dll
    13.10.2005 00:11 15.584 spmsg.dll
    06.10.2005 04:08 1.839.616 win32k.sys
    23.09.2005 04:06 8.491.520 shell32.dll
    10.09.2005 02:54 2.067.968 cdosys.dll
    09.09.2005 14:21 466.944 capicom.dll
    01.09.2005 02:44 292.352 winsrv.dll
    01.09.2005 02:44 19.968 linkinfo.dll
    30.08.2005 04:55 1.292.800 quartz.dll
    26.08.2005 18:14 127.078 javaws.exe
    26.08.2005 18:14 49.265 jpicpl32.cpl
    26.08.2005 15:55 49.250 javaw.exe
    26.08.2005 15:55 49.248 java.exe
    23.08.2005 04:39 124.416 umpnpmgr.dll
    22.08.2005 19:31 197.632 netman.dll
    11.08.2005 16:11 65.024 nwwks.dll
    26.07.2005 05:39 397.824 rpcss.dll
    26.07.2005 05:39 37.888 olecnv32.dll
    26.07.2005 05:39 101.376 txflog.dll
    26.07.2005 05:39 74.752 olecli32.dll
    26.07.2005 05:39 11.776 xolehlp.dll
    26.07.2005 05:39 1.285.120 ole32.dll
    26.07.2005 05:39 91.136 mtxoci.dll
    26.07.2005 05:39 945.152 msdtctm.dll
    26.07.2005 05:39 66.560 mtxclu.dll
    26.07.2005 05:39 161.280 msdtcuiu.dll
    26.07.2005 05:39 425.472 msdtcprx.dll
    26.07.2005 05:39 540.160 comuid.dll
    26.07.2005 05:39 243.200 es.dll
    26.07.2005 05:39 1.267.200 comsvcs.dll
    26.07.2005 05:39 97.792 comrepl.dll
    26.07.2005 05:39 60.416 colbact.dll
    26.07.2005 05:39 498.688 clbcatq.dll
    26.07.2005 05:39 110.080 clbcatex.dll
    26.07.2005 05:39 225.792 catsrv.dll
    26.07.2005 05:39 625.152 catsrvut.dll
    08.07.2005 17:28 249.344 tapisrv.dll
    08.07.2005 17:28 76.800 remotesp.tsp
    06.07.2005 13:18 57.344 avsda.dll
    04.07.2005 09:51 1.060.864 mfc71.dll
    29.06.2005 02:49 74.240 mscms.dll
    29.06.2005 02:49 254.976 icm32.dll
    15.06.2005 18:49 295.936 kerberos.dll
    11.06.2005 00:53 57.856 spoolsv.exe
    27.05.2005 03:04 41.472 hhsetup.dll
    27.05.2005 03:04 546.304 hhctrl.ocx
    27.05.2005 03:04 137.216 itss.dll
    27.05.2005 03:04 155.136 itircl.dll
    26.05.2005 04:16 41.240 wups.dll
    26.05.2005 04:16 173.536 wuweb.dll
    26.05.2005 04:16 1.343.768 wuaueng.dll
    26.05.2005 04:16 18.200 wups2.dll
    26.05.2005 04:16 75.544 cdm.dll
    26.05.2005 04:16 198.424 iuengine.dll
    26.05.2005 04:16 174.872 wuaucpl.cpl
    26.05.2005 04:16 466.200 wuapi.dll
    26.05.2005 04:16 124.696 wuauclt.exe
    26.05.2005 04:16 194.840 wuaueng1.dll
    26.05.2005 04:16 174.872 wuauclt1.exe
    26.05.2005 04:16 128.280 wucltui.dll
    17.05.2005 01:42 17.408 xpsp3res.dll
    13.05.2005 18:53 12.288 vetntmsg.dll
    13.05.2005 18:52 77.824 driverif.dll
    13.05.2005 18:52 733.236 vete.dll
    11.05.2005 03:30 78.336 telnet.exe
    04.05.2005 14:45 15.360 msisip.dll
    04.05.2005 14:45 271.360 msihnd.dll
    04.05.2005 14:45 884.736 msimsg.dll
    04.05.2005 14:45 78.848 msiexec.exe
    04.05.2005 14:45 2.890.240 msi.dll
    28.03.2005 19:47 626.688 contfilt.dll
    24.03.2005 16:08 278.528 mwtsp.dll
    24.03.2005 16:05 77.824 mwnsp.dll
    02.03.2005 19:09 578.560 user32.dll
    02.03.2005 19:09 56.832 authz.dll
    02.03.2005 19:06 2.181.632 ntoskrnl.exe
    02.03.2005 19:06 2.059.136 ntkrnlpa.exe
    25.02.2005 04:34 22.752 spupdsvc.exe
    28.01.2005 13:44 224.768 wmasf.dll
    28.01.2005 13:44 28.160 WMDMLOG.dll
    28.01.2005 13:44 33.792 WMDMPS.dll
    28.01.2005 13:44 335.872 WMDRMdev.dll
    28.01.2005 13:44 364.784 MSSCP.dll
    28.01.2005 13:44 716.288 wmadmoe.dll
    28.01.2005 13:44 173.568 MsPMSP.dll
    28.01.2005 13:44 25.088 MsPMSNSv.dll
    28.01.2005 13:44 142.336 msnetobj.dll
    28.01.2005 13:44 221.184 qasf.dll
    28.01.2005 13:44 150.016 wmidx.dll
    28.01.2005 13:44 315.904 MSWMDM.dll
    28.01.2005 13:44 396.528 wmadmod.dll
    28.01.2005 13:44 47.104 uwdf.exe
    28.01.2005 13:44 38.912 wdfmgr.exe
    28.01.2005 13:44 1.027.072 wmnetmgr.dll
    28.01.2005 13:44 290.816 WMDRMNet.dll
    28.01.2005 13:44 15.872 wdfapi.dll
    28.01.2005 13:44 774.904 wmsdmod.dll
    28.01.2005 13:44 1.119.744 wmsdmoe2.dll
    28.01.2005 13:44 413.944 wmspdmod.dll
    28.01.2005 13:44 940.544 wmspdmoe.dll
    28.01.2005 13:44 1.218.808 wmvadvd.dll
    28.01.2005 13:44 1.512.448 WMVADVE.DLL
    28.01.2005 13:44 2.370.296 wmvcore.dll
    28.01.2005 13:44 895.736 wmvdmod.dll
    28.01.2005 13:44 1.003.008 wmvdmoe2.dll
    28.01.2005 13:44 61.952 wpdconns.dll
    28.01.2005 13:44 114.176 wpdmtp.dll
    28.01.2005 13:44 96.768 logagent.exe
    28.01.2005 13:44 331.776 wpdmtpdr.dll
    28.01.2005 13:44 66.560 wpdmtpus.dll
    28.01.2005 13:44 331.264 wpdsp.dll
    28.01.2005 13:44 10.752 wpdtrace.dll
    28.01.2005 13:44 38.912 wpd_ci.dll
    28.01.2005 13:44 6.656 laprxy.dll
    28.01.2005 13:44 294.912 blackbox.dll
    28.01.2005 13:44 502.272 drmv2clt.dll
    28.01.2005 13:44 96.768 drmstor.dll
    28.01.2005 13:44 258.296 drmclien.dll
    28.01.2005 13:44 164.864 cewmdm.dl
     
  12. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    noch mehr datfind.bat:

    Verzeichnis von C:\DOKUME~1\Chef\LOKALE~1\Temp

    07.01.2006 13:12 16.384 ~DF69CE.tmp
    07.01.2006 13:12 16.384 Perflib_Perfdata_27c.dat
    2 Datei(en) 32.768 Bytes
    0 Verzeichnis(se), 7.510.003.712 Bytes frei

    noch mehr:

    Verzeichnis von C:\WINDOWS

    07.01.2006 13:13 308.587 setupapi.log
    07.01.2006 13:12 0 0.log
    07.01.2006 13:11 2.048 bootstat.dat
    06.01.2006 21:59 32.496 SchedLgU.Txt
    06.01.2006 21:58 1.699.579 WindowsUpdate.log
    06.01.2006 21:38 648 win.ini
    06.01.2006 21:38 231 system.ini
    06.01.2006 21:38 4.165 mailremv.log
    06.01.2006 21:37 288 INST_TSP.LOG
    06.01.2006 21:37 23.773 ESCAN.LOG
    06.01.2006 21:36 1.071 frights.log
    06.01.2006 21:03 0 Lic.xxx
    06.01.2006 19:28 182.426 ntbtlog.txt
    06.01.2006 18:02 60.709 wmsetup.log
    06.01.2006 18:00 361 MAILINST.LOG
    06.01.2006 17:55 93.932 winsbak2.reg
    06.01.2006 17:55 12.946 winsbak.reg
    06.01.2006 17:54 96 FLASH.LOG
    06.01.2006 17:49 316.640 WMSysPr9.prx
    06.01.2006 03:00 394.559 iis6.log
    06.01.2006 03:00 79.394 ntdtcsetup.log
    06.01.2006 03:00 126.864 comsetup.log
    06.01.2006 03:00 137.259 tsoc.log
    06.01.2006 03:00 1.355 imsins.log
    06.01.2006 03:00 13.070 tabletoc.log
    06.01.2006 03:00 16.612 ocmsn.log
    06.01.2006 03:00 12.087 KB912919.log
    06.01.2006 03:00 46.040 netfxocm.log
    06.01.2006 03:00 19.007 MedCtrOC.log
    06.01.2006 03:00 156.123 ocgen.log
    06.01.2006 03:00 14.249 msgsocm.log
    06.01.2006 03:00 264.369 FaxSetup.log
    06.01.2006 03:00 99.176 msmqinst.log
    06.01.2006 03:00 16.525 updspapi.log
    05.01.2006 18:33 13.269 LUINSTALL.LOG
    31.12.2005 14:44 97.712 setupact.log
    31.12.2005 14:44 11.290 WINNT32.LOG
    31.12.2005 14:44 254 UPGRADE.TXT
    31.12.2005 14:44 265 wsdu.log
    31.12.2005 14:41 534 DHCPUPG.LOG
    31.12.2005 14:40 1.943 imsins.BAK
    27.12.2005 18:28 211 lexstat.ini
    26.12.2005 17:00 116 NeroDigital.ini
    17.12.2005 18:45 216 wiadebug.log
    17.12.2005 17:38 50 wiaservc.log
    16.12.2005 03:01 15.848 KB910437.log
    16.12.2005 03:01 29.005 KB905915.log
    27.11.2005 16:38 371.273 DirectX.log
    27.11.2005 15:43 26 ATICIM.MIF
    15.11.2005 00:51 59.152 zllsputility.exe
    15.11.2005 00:34 26.288 zllsputility_loc0407.dll
    13.11.2005 18:31 3.372 mozver.dat
    12.11.2005 00:11 30.160 KB899587.log
    12.11.2005 00:11 27.289 KB896422.log
    12.11.2005 00:10 27.113 KB885835.log
    12.11.2005 00:09 25.827 KB885836.log
    12.11.2005 00:09 26.647 KB885250.log
    12.11.2005 00:09 26.842 KB901017.log
    12.11.2005 00:09 27.160 KB899591.log
    12.11.2005 00:09 29.978 KB896424.log
    12.11.2005 00:09 29.209 KB893756.log
    12.11.2005 00:08 26.353 KB896423.log
    12.11.2005 00:08 26.741 KB873339.log
    12.11.2005 00:08 26.811 KB888113.log
    12.11.2005 00:08 27.353 KB887742.log
    12.11.2005 00:08 28.041 KB896358.log
    12.11.2005 00:08 26.754 KB891781.log
    12.11.2005 00:08 33.333 KB902400.log
    12.11.2005 00:07 23.873 KB890046.log
    12.11.2005 00:07 21.459 KB896688.log
    12.11.2005 00:06 20.177 KB893066.log
    12.11.2005 00:06 20.268 KB899589.log
    12.11.2005 00:06 20.520 KB905414.log
    12.11.2005 00:06 19.511 KB901214.log
    12.11.2005 00:06 18.781 KB888302.log
    12.11.2005 00:05 20.733 KB900725.log
    12.11.2005 00:05 12.298 KB886185.log
    12.11.2005 00:05 17.776 KB904706.log
    12.11.2005 00:05 18.081 KB905749.log
    12.11.2005 00:05 19.048 KB896428.log
    12.11.2005 00:04 19.629 KB894391.log
    12.11.2005 00:04 19.829 KB890859.log
    11.11.2005 16:50 5.268 KB887472.log
    11.11.2005 03:09 6.072 KB893803v2.log
    11.11.2005 03:01 7.049 KB898461.log
    09.11.2005 18:59 400 ODBC.INI
    09.11.2005 18:32 0 nsreg.dat
    09.11.2005 17:53 2.896 COM+.log
    09.11.2005 17:51 1.435 OEWABLog.txt
    09.11.2005 17:51 702.294 setuplog.txt
    09.11.2005 17:44 4.161 ODBCINST.INI
    09.11.2005 17:43 749 WindowsShell.Manifest
    09.11.2005 17:42 2.061 sessmgr.setup.log
    09.11.2005 17:41 248 DtcInstall.log
    09.11.2005 17:40 200 cmsetacl.log
    09.11.2005 17:35 2.872 regopt.log
    09.11.2005 17:27 0 setuperr.log
    04.11.2005 17:59 863.925 setupapi.old
    04.11.2005 17:19 1.906 Windows Update.log
    03.11.2005 20:23 8.192 REGLOCS.OLD
    03.11.2005 20:20 0 control.ini
    03.11.2005 20:19 299.552 WMSysPrx.prx
    03.11.2005 20:16 37 vbaddin.ini
    03.11.2005 20:16 36 vb.ini
    03.11.2005 20:12 0 Sti_Trace.log
    27.05.2005 00:22 10.752 hh.exe
    13.04.2005 23:10 30.720 killproc.exe
    24.03.2005 16:08 25.088 inst_tsp.exe

    einen hab ich noch:

    Verzeichnis von C:\

    07.01.2006 19:17 0 sys.txt
    07.01.2006 19:17 7.486 system.txt
    07.01.2006 19:16 353 systemtemp.txt
    07.01.2006 19:13 97.498 system32.txt
    07.01.2006 13:13 8.554 preupd.log
    07.01.2006 13:11 804.102.144 pagefile.sys
    06.01.2006 21:37 0 23990098.$$$
    31.12.2005 14:44 281 boot.ini
    13.11.2005 13:12 225 BOOT.BAK
    03.11.2005 20:20 0 MSDOS.SYS
    03.11.2005 20:20 0 IO.SYS
    03.11.2005 20:20 0 CONFIG.SYS
    03.11.2005 20:20 0 AUTOEXEC.BAT
    07.10.2005 16:25 2.957.424 Sonstiges.dbx
    07.10.2005 16:24 1.164.016 Ebay.dbx
    07.10.2005 16:23 139.376 Bestellungen.dbx
    07.10.2005 16:23 9.404 Pop3uidl.dbx
    07.10.2005 16:23 139.376 Zugangsdaten.dbx
    05.08.2004 13:00 4.952 bootfont.bin
    05.08.2004 13:00 47.564 NTDETECT.COM
    05.08.2004 13:00 251.184 ntldr
    05.08.2004 13:00 469.166 txtsetup.sif
    05.08.2004 13:00 262.448 $LDR$

    gruß, david
     
  13. schopknick

    schopknick Byte

    Registriert seit:
    20. Januar 2005
    Beiträge:
    21
    hallo jasager, ich hab das problem gefunden! du glaubst nicht was es war! meine funkmaus war schuld, ich hatte eine taste darauf programmiert den default-browser zu öffnen. warum auch immer, diesen befehl hat die maus wohl alle paar minuten selbsständig ausgeführt.... (ich hab die taste spasseshalber mal drauf programmier, das cmd-fenster zu öffnen und siehe da: alle paar minuten ging dieses fenster auf...) ich benutze jetzt wieder meine alte kabel-maus und hab dafür meine ruhe!

    trotzdem vielen dank für deine gedulg und mühe!

    gruß,
    david
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    und ich habe mir schon den Kopf über ev. nicht erkennbare Rootkits o.ä. zerbrochen. Manchmal können die Lösungen doch so trivial sein, aber von alleine wäre ich nie auf diese Option gekommen.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen