admilliserv - hijackthis logfile

[heiwi]

Schönen guten Morgen,

Ich hatte vor kurzem Probleme mit dem IE, der immer langsamer wurde.
Daraufhin mit antivir den admilliserv entdeckt und wie folgt entfernt gehabt:
Kill these running processes with Task Manager:
admilliserv.exe
DLLs aus der Registrierung entfernen:
Unregister these DLLs with Regsvr32, then reboot:
admilliservx.dll
Dateien entfernen:
Remove these files (if present) with Windows Explorer:
admilliserv.exe
admilliservx.dll

heute fing firefox an, die internetseiten ständig neu zu laden.
-> keine Ahnung, ob das was mit dem admilliserv zu tun hat, aber er war wieder drauf.

hier ist nun mein hijeackthis logfile.Vielen Dank für die Hilfe beim Auswerten!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 23:43:58, on 28.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\shicoxp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\bin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [shico] C:\WINDOWS\shico.exe
O4 - HKLM\..\Run: [shicoxp] C:\WINDOWS\shicoxp.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF44C9A-DF03-4E1F-BDC5-AE28BE4B99A6}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CAILI - Unknown owner - C:\WINDOWS\System32\caili.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

[Ruby]

Hallo heiwi

Den Ordner C:\Program Files\Admilli Service hast du immer noch auf dem System, also entferne ihn bitte mit allem, was drin ist.

Kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen:

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Scanne diese Dateien

C:\WINDOWS\shico.exe
C:\Programme\phase6\WinStart\WinStart.exe
C:\WINDOWS\System32\caili.exe

bei Virustotal und Jotti

Teile uns >> alle Ergebnisse mittels copy&paste << mit.

[heiwi]

Hallo,
und vielen Dank schon mal, Ruby,

ich habe die 3 genannten Datein gescannt, sie werde durchgehend mit "no virus found" betietelt.
C:\Programme\phase6\... ist übrigens ein von mir installiertes Lernprogramm

hier die Ergebnisse des scanns:

Code:

Ergebnisse virustotal:

This is a report processed by VirusTotal on 05/29/2005 at 10:32:49 (CET) after scanning the file "shicoxp.exe" file.

Antivirus	Version	Update	Result
AntiVir	6.30.0.15	05.28.2005	no virus found
AVG	718	05.28.2005	no virus found
Avira	6.30.0.15	05.28.2005	no virus found
BitDefender	7.0	05.28.2005	no virus found
ClamAV	devel-20050501	05.28.2005	no virus found
DrWeb	4.32b	05.28.2005	no virus found
eTrust-Iris	7.1.194.0	05.28.2005	no virus found
eTrust-Vet	11.9.1.0	05.27.2005	no virus found
Fortinet	2.27.0.0	05.27.2005	no virus found
Ikarus	2.32	05.27.2005	no virus found
Kaspersky	4.0.2.24	05.29.2005	no virus found
McAfee	4501	05.27.2005	no virus found
NOD32v2	1.1112	05.27.2005	no virus found
Norman	5.70.10	05.27.2005	no virus found
Panda	8.02.00	05.28.2005	no virus found
Sybari	7.5.1314	05.29.2005	no virus found
Symantec	8.0	05.28.2005	no virus found
VBA32	3.10.3	05.29.2005	no virus found

This is a report processed by VirusTotal on 05/29/2005 at 10:30:26 (CET) after scanning the file "WinStart.exe" file.

Antivirus	Version	Update	Result
AntiVir	6.30.0.15	05.28.2005	no virus found
AVG	718	05.28.2005	no virus found
Avira	6.30.0.15	05.28.2005	no virus found
BitDefender	7.0	05.28.2005	no virus found
ClamAV	devel-20050501	05.28.2005	no virus found
DrWeb	4.32b	05.28.2005	no virus found
eTrust-Iris	7.1.194.0	05.28.2005	no virus found
eTrust-Vet	11.9.1.0	05.27.2005	no virus found
Fortinet	2.27.0.0	05.27.2005	no virus found
Ikarus	2.32	05.27.2005	no virus found
Kaspersky	4.0.2.24	05.29.2005	no virus found
McAfee	4501	05.27.2005	no virus found
NOD32v2	1.1112	05.27.2005	no virus found
Norman	5.70.10	05.27.2005	no virus found
Panda	8.02.00	05.28.2005	no virus found
Sybari	7.5.1314	05.29.2005	no virus found
Symantec	8.0	05.28.2005	no virus found
VBA32	3.10.3	05.29.2005	no virus found


This is a report processed by VirusTotal on 05/29/2005 at 10:35:06 (CET) after scanning the file "caili.exe" file.

Antivirus	Version	Update	Result
AntiVir	6.30.0.15	05.28.2005	no virus found
AVG	718	05.28.2005	no virus found
Avira	6.30.0.15	05.28.2005	no virus found
BitDefender	7.0	05.28.2005	no virus found
ClamAV	devel-20050501	05.28.2005	no virus found
DrWeb	4.32b	05.28.2005	no virus found
eTrust-Iris	7.1.194.0	05.28.2005	no virus found
eTrust-Vet	11.9.1.0	05.27.2005	no virus found
Fortinet	2.27.0.0	05.27.2005	no virus found
Ikarus	2.32	05.27.2005	no virus found
Kaspersky	4.0.2.24	05.29.2005	no virus found
McAfee	4501	05.27.2005	no virus found
NOD32v2	1.1112	05.27.2005	no virus found
Norman	5.70.10	05.27.2005	no virus found
Panda	8.02.00	05.28.2005	no virus found
Sybari	7.5.1314	05.29.2005	no virus found
Symantec	8.0	05.28.2005	no virus found
VBA32	3.10.3	05.29.2005	no virus found



Ergebnisse jotti:

 Datei:  	 caili.exe
Status: 	
OK
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
mks_vir 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden

 Datei:  	 WinStart.exe  
Status: 	
OK
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
mks_vir 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden


 Datei:  	 shicoxp.exe
Status: 	
OK
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
mks_vir 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden

Die Sache mit dem Entfernen von admilli ist schon schwieriger:
Der Ordner war wieder da. Habe ihn mit allem Inhalt entfernt, er ist weder im Explorer noch von der dos-Ebene sichtbar, auch nicht nach einem reboot,
aber hijackthis sieht ihn immer noch.
(versteckte Dateien waren auch vorher schon sichtbar, geschützte Dateien sind jetzt auch als sichtbar geklickt)

Was kann ich tun, um es loszuwerden?

Hier der code:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 10:54:25, on 29.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\shicoxp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cmd.exe
C:\DOKUME~1\bin\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [shico] C:\WINDOWS\shico.exe
O4 - HKLM\..\Run: [shicoxp] C:\WINDOWS\shicoxp.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c5.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CAILI - Unknown owner - C:\WINDOWS\System32\caili.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

so, nun habe ich antivir alle Dateien durchgehen lassen, es hat auch einiges gefunden -> gelöscht. Danach Datenträgerbereinigung.
hier das Protokoll von antivir (habe große Blöcke mit 'normalen' Dateien rausgelöscht)

Code:

Start des Suchlaufs:  Sonntag, 29. Mai 2005  11:08

Speichertest                          OK
Master-Bootsektor von Festplatte HD0  OK
Bootsektor von Laufwerk C:            OK
Bootsektor von Laufwerk D:            OK


C:\
  pagefile.sys
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  hiberfil.sys
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\I386
C:\I386\Q824146
C:\I386\Q824146\TRK

C:\WINDOWS
C:\WINDOWS\system32
C:\WINDOWS\system32\config
  system.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  software.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  default.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SECURITY
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SAM
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SAM.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SECURITY.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SYSTEM
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SOFTWARE
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  DEFAULT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config\systemprofile

C:\WINDOWS\system32\CatRoot
C:\WINDOWS\system32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TempDir
C:\WINDOWS\system32\CatRoot2
  edb.log
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  tmp.edb
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
C:\WINDOWS\system32\FxsTmp
C:\WINDOWS\system32\Com
C:\WINDOWS\system32\MsDtc
C:\WINDOWS\system32\MsDtc\Trace
C:\WINDOWS\system32\Restore
C:\WINDOWS\system32\Macromed
C:\WINDOWS\system32\Macromed\Flash
C:\WINDOWS\system32\Macromed\Shockwave 10
C:\WINDOWS\system32\Macromed\Shockwave 10\Xtras
C:\WINDOWS\system32\Macromed\Common
C:\WINDOWS\system32\Macromed\Director
C:\WINDOWS\system32\Macromed\update
C:\WINDOWS\system32\DirectX
C:\WINDOWS\system32\DirectX\Dinput
C:\WINDOWS\system32\xircom


C:\Dokumente und Einstellungen\All Users\Vorlagen
C:\Dokumente und Einstellungen\All Users\Favoriten
C:\Dokumente und Einstellungen\All Users\Dokumente
C:\Dokumente und Einstellungen\All Users\DRM
C:\Dokumente und Einstellungen\NetworkService
  NTUSER.DAT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ntuser.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
  UsrClass.dat
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  UsrClass.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials\S-1-5-20
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\NetworkService\Cookies
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\Internet Explorer
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My\CTLs
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My\CRLs
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\Credentials
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\Credentials\S-1-5-20
C:\Dokumente und Einstellungen\LocalService
  NTUSER.DAT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ntuser.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
  UsrClass.dat
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  UsrClass.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials\S-1-5-19
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\9.0
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\LocalService\Cookies
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten

C:\Dokumente und Einstellungen\LocalService\Startmenü
C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme
C:\Dokumente und Einstellungen\bin
  NTUSER.DAT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ntuser.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!

C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXAZCHER
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SJCPEB6V
  swflash[1].cab
  ArchiveType: CAB (Microsoft)
    --> swflash.inf
        WARNUNG! Fehler beim Lesen der Datei
    --> Flash.ocx
        WARNUNG! Fehler beim Lesen der Datei
    --> GetFlash.exe
        WARNUNG! Fehler beim Lesen der Datei
    --> GetFlash.man
        WARNUNG! Fehler beim Lesen der Datei
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4Z4NWZKT
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O3SNW9QD
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U3GZ3G58
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P8PXFHPB
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QQE911WI
  swflash[1].cab
  ArchiveType: CAB (Microsoft)
    --> swflash.inf
        WARNUNG! Fehler beim Lesen der Datei
    --> Flash.ocx
        WARNUNG! Fehler beim Lesen der Datei
    --> GetFlash.exe
        WARNUNG! Fehler beim Lesen der Datei
    --> GetFlash.man
        WARNUNG! Fehler beim Lesen der Datei
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZJP9TP9I
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G9I7MN8L
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MZWJ290R
  SailingPhotos[1].zip
  ArchiveType: ZIP
      HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZABADMT
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\05UJ45YF
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PO031L4D
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MT9I36XO
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FNX33H0W
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OR3FQW19
  saver02[1].zip
  ArchiveType: ZIP
      HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
  UsrClass.dat
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  UsrClass.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Credentials\S-1-5-21-1690550294-3924064129-568730901-1005
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\HelpCtr
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\9.0
C:\Dokumente und Einstellungen\bin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player

C:\Dokumente und Einstellungen\bin\Favoriten\Zeitung_Radio
C:\Dokumente und Einstellungen\bin\Favoriten\Telephonbuch_Bahn
C:\Dokumente und Einstellungen\bin\Favoriten\Veranstalungkalender_Kino
C:\Dokumente und Einstellungen\bin\Favoriten\Jobbörsen_Stellenanzeigen
C:\Dokumente und Einstellungen\bin\Favoriten\Rezepte
  Chefkoch.de ? Rezepte fürs Kochen, Backen, Essen und Trinken (Kochrezepte).url
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x0016
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\bin\Favoriten\Reisen
C:\Dokumente und Einstellungen\bin\Favoriten\Reisen\Fliegen
C:\Dokumente und Einstellungen\bin\Favoriten\Bücher
C:\Dokumente und Einstellungen\bin\Favoriten\Kliniken
C:\Dokumente und Einstellungen\bin\Favoriten\Wohnung
C:\Dokumente und Einstellungen\bin\Favoriten\shunt
C:\Dokumente und Einstellungen\bin\Desktop
C:\Dokumente und Einstellungen\bin\Cookies

C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles\650vivks.default
  parent.lock
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles\650vivks.default\chrome
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles\650vivks.default\extensions
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles\650vivks.default\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles\650vivks.default\Cache.Trash
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Mozilla\Firefox\Profiles\650vivks.default\Cache
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Thunderbird
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Thunderbird\Profiles
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Thunderbird\Profiles\emup1olq.default
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Thunderbird\Profiles\emup1olq.default\extensions
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Thunderbird\Profiles\emup1olq.default\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
C:\Dokumente und Einstellungen\bin\Anwendungsdaten\Thunderbird\Profiles\emup1olq.default\chrome

C:\Programme\AVPersonal
C:\Programme\AVPersonal\INFECTED
  AdmilliServ.VIR
      [FUND!] Ist das Trojanische Pferd TR/Spy.DeskAd.A.1
      WURDE GELÖSCHT!
  AdmilliServ.VIR00
      [FUND!] Ist das Trojanische Pferd TR/Spy.DeskAd.A.1
      WURDE GELÖSCHT!
  AdmilliServ.VIR01
      [FUND!] Ist das Trojanische Pferd TR/Spy.DeskAd.A.1
      WURDE GELÖSCHT!
C:\Programme\AVPersonal\SYSSAVE
C:\Programme\AVPersonal\UPDATE
C:\Programme\AVPersonal\TESTPATH
C:\Programme\AVPersonal\FAILSAVE
C:\Programme\AVPersonal\LOGFILES
C:\Programme\AVPersonal\TEMP
C:\Programme\AVPersonal\AVTEST

:\System Volume Information
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP44
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP44\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP44\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP44\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP45
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP45\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP45\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP45\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP46
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP46\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP46\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP46\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47
  A0011672.exe
  ArchiveType: RAR SFX (self extracting)
      Interner Fehler bei Entpackroutine;  ERROR: ARRAY_BOUNDS_EXCEEDED    EIP = 014EBCBF
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP48
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP48\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP48\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP48\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP49
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP49\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP49\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP49\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP50
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP50\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP50\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP50\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP51
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP51\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP51\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP51\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP53
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP53\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP53\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP53\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP54
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP54\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP54\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP54\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP55
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP55\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP55\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP55\snapshot\Repository\FS
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP56
  A0013035.dll
      [FUND!] Ist das Trojanische Pferd TR/Spy.DeskAd.A.2
      WURDE GELÖSCHT!
  A0013036.exe
      [FUND!] Ist das Trojanische Pferd TR/Spy.DeskAd.A.1
      WURDE GELÖSCHT!
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP56\snapshot
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP56\snapshot\Repository
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP56\snapshot\Repository\FS
C:\DOTNETFX
C:\VALUEADD
C:\VALUEADD\MSFT
C:\VALUEADD\MSFT\USMT
C:\VALUEADD\MSFT\USMT\ANSI
C:\VALUEADD\MSFT\NTBACKUP
C:\VALUEADD\MSFT\NET
C:\VALUEADD\MSFT\NET\TOOLS
C:\VALUEADD\MSFT\NET\NETBEUI
C:\VALUEADD\MSFT\NET\NETBEUI\SRVINF
C:\VALUEADD\MSFT\NET\NETBEUI\SBSINF
C:\VALUEADD\MSFT\NET\NETBEUI\PERINF
C:\VALUEADD\MSFT\NET\NETBEUI\ENTINF
C:\VALUEADD\MSFT\NET\NETBEUI\DTCINF
C:\VALUEADD\MSFT\NET\NETBEUI\BLAINF
C:\VALUEADD\MSFT\MGMT
C:\VALUEADD\MSFT\MGMT\WBEMODBC
C:\VALUEADD\MSFT\MGMT\CIMV2R5
C:\VALUEADD\MSFT\FONTS
C:\VALUEADD\3RDPARTY
C:\VALUEADD\3RDPARTY\MGMT
C:\VALUEADD\3RDPARTY\MGMT\CITRIX
C:\SUPPORT
C:\SUPPORT\TOOLS


C:\Dokumente und Einstellungen\All Users\Dokumente

Ende des Suchlaufs:  Sonntag, 29. Mai 2005  13:01
Benötigte Zeit:     113:02 min


2691 Verzeichnisse wurden durchsucht
95361 Dateien wurden geprüft
  36 Warnungen wurden ausgegeben
   5 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   5 Viren bzw. unerwünschte Programme wurden gefunden

Das hijackthis log-file enthält admilli aber immer noch:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 13:27:38, on 29.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\shicoxp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\bin\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [shico] C:\WINDOWS\shico.exe
O4 - HKLM\..\Run: [shicoxp] C:\WINDOWS\shicoxp.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF44C9A-DF03-4E1F-BDC5-AE28BE4B99A6}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CAILI - Unknown owner - C:\WINDOWS\System32\caili.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Schönen Gruß,
Heiwi

[Ruby]

Hallo Heiwi

bevor wir weitermachen, möchte ich erst wissen, um was es sich bei diesen Dateien handelt. Es könnte neue Malware sein.

Lade bitte diese drei Dateien zur Analyse hoch

C:\WINDOWS\shico.exe
C:\Programme\phase6\WinStart\WinStart.exe
C:\WINDOWS\System32\caili.exe

-> Upload malicious software

Melde dich und lass uns wissen, ob der Upload funktioniert hat.

[heiwi]

Hallo Ruby,

die drei Dateien habe ich eben hochgeladen.

Schönen Gruß

[Speedy]

hi

hijackthis-> open the misc tools section -> open ads spy... -> ignore safe system info streams -> scannen, logfile speichern und hier posten
download von rootkitrevealer und f-secure blacklight, scannen und ebenfalls die logfile hier posten
bei rootkitreveal muss man datei speichern wählen, von alleine wird das logfile nicht gespeichert

[heiwi]

Hallo, also hijackthis gibt als antwort:

Alternate Data Streems are only possible on NTFS systems

I'm starting, doing the other scanns

Heiwi

[heiwi]

Also,

Ergebnis von rootktrevealer:
"Scan complete: no discrepancies found"
Dementsprechend ist das logfile komplett leer.

Ergebnis von f-secure blacklight:
"no hidden items were found"

und hier das logfile

Code:

06/02/05 20:53:03 [Info]: *** F-Secure BlackLight Beta 1.5.1002 started
06/02/05 20:53:03 [Info]: OS version: 5.1 build 2600 (Service Pack 2)
06/02/05 20:53:08 [Info]: User initiated system scan
06/02/05 20:53:08 [Info]: Process scan started
06/02/05 20:53:09 [Info]: Process scan done
06/02/05 20:53:09 [Info]: Filesystem scan started
06/02/05 20:53:09 [Info]: Filesystem scan engine version: 1.7 (build 1008)
06/02/05 20:53:09 [Note]: Running normal mode scan
06/02/05 20:53:12 [Info]: Filesystem scan completed
06/02/05 20:59:40 [Info]: *** F-Secure BlackLight Beta 1.5.1002 stopped

Schönen Gruß,

Übrigens - *im Moment* verhält sich firefox normal, und versucht nicht die Seiten ständig neu zu laden.
nur dieses admili ist immer noch da.

[Speedy]

hi

hijackthis starten -> open the misc tools section -> open uninstall manager -> save list -> dieses logfile speichern und anschließend den inhalt hier posten.

[heiwi]

sorry, war zwischendurch offline,

hier die uninstall liste von hijackthis

Code:

Active Alert
Adobe Acrobat 5.0
AFPL Ghostscript 7.04
AFPL Ghostscript Fonts
Agere Systems AC'97 Modem
ALPS Touch Pad Driver
AntiVir/XP
ElsterFormular 2004/2005
GnuWin32: Gawk version 3.1.3
Google Toolbar for Internet Explorer
GSview 4.3
HijackThis 1.99.1
Indeo® Software
Intel(R) Extreme Graphics Driver
InterActual Player
Internet Optimizer
iTunes
Kerio Personal Firewall
Launch Manager
Macromedia Shockwave Player
Mathcad 2000 Professional
Mathematica 5
Microsoft Office 2000 Premium
Mozilla Firefox (1.0.3)
Mozilla Thunderbird (1.0.2)
NTI CD & DVD-Maker 6 Gold 
Online Documentation
Origin 6.0 DEMO
Pelles C for Windows (remove only)
phase6
PowerDVD
QuickTime
RealPlayer G2
Realtek AC'97 Audio
Search Relevancy
TravelMate 290
Uninstall 180search Assistant
USB to Floppy & Card Reader Adapter
Windows Installer 3.1 (KB893803)
Windows Support Tools
Windows XP Service Pack 2
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
WSEM Update