Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Mehrfache Trojaner eingefangen, über Firefox.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2009, 12:38   #1
darius200
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



***ACHTUNG, TEXT IST ÜBER MEHRERE POSTINGS VERTEILT***

guten tag liebes board.
Zuerst einmal: ich bin schuld, und das in vielerlei hinsicht. Erstens: ich benutze ein altes, kopiertes windows xp >ohne< updates. Das ist deshalb, weil das nur mein spielerechner ist und ich normalerweise mit dem laptop im internet surfe (aktuelles vista). Leider hatte ich mein laptop bei meiner freundin vergessen und ich idi*t musste ja auf fragwürdige seiten mit dem PC gehen. Ich habe meine Lektion gelernt, es tut mir leid.
Möglicherweise ist trotz meiner hirnfreien vorgehensweise ja doch jemand gewillt mir zu helfen?
Hier der genau geschilderte Ablauf was ich bis jetzt getan habe (inkl. logs)

System: Windows XP SP2, nicht aktuell mit Avira Antivir free und Spybot SD Resident.

Firefox, aktuelle version:
Ich ging auf eine Website auf dem ein bild angezeigt werden sollte. Es öffneten sich pop-ups, in der taskleiste rechts zeigte plötzlich das java symbol auf.
Daraufhin deaktivierte sich plötzlich die Windows Firewall, 2 sek später ging die erste Trojaner Warnung in Antivir an.
Hier der genaue ereignisbericht der Viren in Antivir:

--
In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\mwrxoencsa.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
--
In der Datei 'C:\WINDOOF\temp\2CA.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
--
In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\xpre.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
--
In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\xpre.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.MWPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
--
In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\maccsnet.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.AG.612' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
--
In der Datei 'C:\Dokumente und Einstellungen\Lord Rentner\Lokale Einstellungen\temp\prun.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
--

...usw usf.
Insgesamt waren es sicher über ca. 20-30 viren.

Aus voller Panik (wieder einmal sicher ein Fehler und meine Schuld) davor, dass das system gleich flöten geht und ich beim neustart nicht mehr booten kann habe ich das internet gekappt und das einzige was ich >gerade noch drauf hatte<, Combofix gestartet. (nicht im abgesicherten modus)

Das ließ ich durchlaufen, hier das log (bitte entschuldigen, windows heißt bei mir windoof und ich konnte nicht alles und jeden punkt ändern, was mich nicht stört):


Code:
ATTFilter
------
ComboFix 09-10-19.01 - Lord Rentner 20.10.2009  3:01.3.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2046.1482 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windoof\msa.exe
c:\windoof\run.log
c:\windoof\system32\msxml71.dll
c:\windoof\system32\xa.tmp

.
(((((((((((((((((((((((   Dateien erstellt von 2009-09-20 bis 2009-10-20  ))))))))))))))))))))))))))))))
.

2009-10-20 00:57 . 2009-10-20 00:57	782336	----a-w-	c:\windoof\system32\ef78.dll
2009-10-20 00:49 . 2009-10-20 00:49	1413120	----a-w-	C:\SDFix.exe
2009-10-10 14:02 . 2009-10-10 14:02	--------	d-----w-	c:\dokumente und einstellungen\Lord Rentner\Lokale Einstellungen\Anwendungsdaten\Codemasters
2009-09-29 19:21 . 2009-09-29 19:22	--------	d-----w-	c:\programme\Microsoft Games for Windows - LIVE
2009-09-22 17:03 . 2009-03-09 13:27	453456	----a-w-	c:\windoof\system32\d3dx10_41.dll
2009-09-22 17:03 . 2009-03-09 13:27	1846632	----a-w-	c:\windoof\system32\D3DCompiler_41.dll
2009-09-22 17:03 . 2009-03-16 12:18	69448	----a-w-	c:\windoof\system32\XAPOFX1_3.dll
2009-09-22 17:03 . 2009-03-16 12:18	517448	----a-w-	c:\windoof\system32\XAudio2_4.dll
2009-09-22 17:03 . 2009-03-16 12:18	235352	----a-w-	c:\windoof\system32\xactengine3_4.dll
2009-09-22 17:03 . 2009-03-16 12:18	22360	----a-w-	c:\windoof\system32\X3DAudio1_6.dll
2009-09-22 16:59 . 2009-09-22 17:00	--------	d-----w-	c:\programme\AGEIA Technologies
2009-09-21 15:13 . 2009-05-20 13:23	4178264	----a-w-	c:\windoof\system32\D3DX9_41.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-19 22:03 . 2007-09-12 14:58	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-10-19 21:50 . 2008-10-23 12:08	--------	d-----w-	c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\FileZilla
2009-10-19 18:27 . 2007-11-18 16:00	13943	----a-w-	c:\windoof\system32\tablet.dat
2009-10-19 18:27 . 2007-11-18 15:43	--------	d-----w-	c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\WTablet
2009-10-18 07:35 . 2007-11-18 21:21	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet
2009-10-13 11:29 . 2007-09-12 15:14	166224	-c--a-w-	c:\dokumente und einstellungen\Lord Rentner\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-29 23:09 . 2009-03-05 17:04	653840	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-09-22 17:00 . 2007-10-04 14:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-17 11:39 . 2007-11-23 13:49	--------	d-----w-	c:\programme\Windows Live
2009-09-13 13:50 . 2009-09-13 13:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-09-11 11:48 . 2009-09-11 11:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 11:48 . 2009-09-11 11:48	--------	d-----w-	c:\programme\McAfee Security Scan
2009-08-23 18:50 . 2007-09-13 18:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2009-08-14 11:36 . 2009-08-14 11:36	70936	----a-w-	c:\windoof\system32\PhysXLoader.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelTraditionalChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelSwedish.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelSpanish.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelSimplifiedChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelPortugese.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelKorean.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelJapanese.dll
2009-08-02 22:21 . 2009-08-02 22:21	288024	----a-w-	c:\windoof\system32\PhysXCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21	288024	----a-w-	c:\windoof\system32\PhysXCompatCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21	23320	----a-w-	c:\windoof\system32\PhysXDevice.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelGerman.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelFrench.dll
2006-05-03 09:06 . 2008-11-21 15:36	163328	--sh--r-	c:\windoof\system32\flvDX.dll
2007-02-21 10:47 . 2009-06-30 00:14	31232	--sh--r-	c:\windoof\system32\msfDX.dll
2008-03-16 12:30 . 2009-06-30 00:14	216064	--sh--r-	c:\windoof\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2007-03-17 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windoof\system32\winlogon.exe

[-] 2007-03-17 . 7AA72CFFDE889BDAA03504C383AD0786 . 343040 . . [7.0.2600.3085] . . c:\windoof\system32\msvcrt.dll
[-] 2007-02-19 . C58D60C0660E34D78C438FDC99894CC1 . 343040 . . [7.0.2600.3085] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.3085_x-ww_e059201c\msvcrt.dll
[7] 2001-08-18 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll

[-] 2007-03-17 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windoof\system32\appmgmts.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8A5249-4387-481A-B38B-BEE6378CC704}]
2009-10-20 00:57	782336	----a-w-	c:\windoof\system32\ef78.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1E8A5248-4387-481A-B38B-BEE6378CC704}"= "c:\windoof\system32\ef78.dll" [2009-10-20 782336]

[HKEY_CLASSES_ROOT\clsid\{1e8a5248-4387-481a-b38b-bee6378cc704}]
[HKEY_CLASSES_ROOT\TypeLib\{8D74B939-AD80-44F3-BD5F-155BDE9D2D25}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windoof\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windoof\system32\JMRaidSetup.exe" [2007-02-06 1953792]
"EasyTuneV"="c:\programme\Gigabyte\ET5\ETcall.exe" [2007-04-26 24576]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"BootSkin Startup Jobs"="d:\programme\BootSkin\BootSkin.exe" [2004-04-26 270336]
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"avgnt"="e:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-10-07 86016]
"DLA"="c:\windoof\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-02-27 570664]
"SecurDisc"="d:\programme\Nero 7\InCD\NBHGui.exe" [2008-02-18 1629480]
"InCD"="d:\programme\Nero 7\InCD\InCD.exe" [2008-02-18 1057064]
"RTHDCPL"="RTHDCPL.EXE" - c:\windoof\RTHDCPL.exe [2007-04-12 16132608]
"nwiz"="nwiz.exe" - c:\windoof\system32\nwiz.exe [2008-10-07 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
"IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
McAfee Security Scan.lnk - c:\programme\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]
TabUserW.exe.lnk - c:\windoof\system32\WTablet\TabUserW.exe [2007-11-18 114688]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll schannel.dll digest.dll msnsspc.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windoof\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk]
path=c:\dokumente und einstellungen\Lord Rentner\Startmenü\Programme\Autostart\Konfabulator.lnk
backup=c:\windoof\pss\Konfabulator.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\counter-strike source\\hl2.exe"=
"d:\\Programme\\BMW M3 Challenge\\BMW.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqw.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqwded.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"d:\\Programme\\Sierra\\FEAR\\fpupdate.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEAR.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARMP.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"=
"g:\\Valve\\Steam\\Steam.exe"=
"g:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"d:\\Downloads\\cl08seCu13\\RouterClient.exe"=
"d:\\Programme\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"g:\\source\\hl2.exe"=
"d:\\Downloads\\blobby\\volley.exe"=
"d:\\Programme\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe"=
"g:\\FlatOut2 an Zimmer Michel (Michel)\\FlatOut2.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"d:\\Downloads\\HL1\\Counter Strike 1.5 Full + Half Life 1110 Full\\Half Life Full\\HL\\hl.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOOF\\system32\\rtcshare.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"g:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"d:\\Programme\\bluesoleil\\BlueSoleil.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOOF\\system32\\PnkBstrA.exe"=
"c:\\WINDOOF\\system32\\PnkBstrB.exe"=
"d:\\Programme\\IL-2 Sturmovik Demo\\il2demo.exe"=
"d:\\Programme\\IL-2 Sturmovik 1946\\il2fb.exe"=
"g:\\Programme\\Electronic Arts\\Battlefield 2142-Demo\\BF2142.exe"=
"d:\\Programme\\Armagetron Advanced\\armagetronad.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\team fortress 2\\hl2.exe"=
"d:\\Programme\\Codemasters\\GRID\\GRID.exe"=
"d:\\Programme\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"g:\\XreaL_PreAlpha_20080704\\xreal.exe"=
"d:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"=
"d:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\LFS\\LFS.exe"=
"g:\\Valve\\Steam\\SteamApps\\common\\shadowgrounds demo\\ShadowgroundsLauncher.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\half-life 2\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base 2007\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base\\hl2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"g:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=

R2 TabletServiceWacom;TabletServiceWacom;c:\windoof\system32\Wacom_Tablet.exe [18.11.2007 17:43 1373480]
R3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windoof\system32\drivers\PPJoyBus.sys [23.01.2004 17:33 13952]
R3 PPortJoystick;Parallel Port Joystick device driver;c:\windoof\system32\drivers\PPortJoy.sys [23.01.2004 17:32 28800]
S0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?]
S2 NeroRegInCDSrv;Nero Registry InCD Service;d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe --> d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe [?]
S3 Wibukey2;Wibukey2;c:\windoof\system32\drivers\Wibukey2.sys [05.03.2009 19:34 16384]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mSearch Bar = hxxp://www.starbarsearch.com/?useie5=1&q=
uInternet Connection Wizard,ShellNext = hxxp://de.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint - Drucken - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - d:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: musicload.de\www
FF - ProfilePath - c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\Mozilla\Firefox\Profiles\csz6xrco.default\
FF - plugin: c:\dokumente und einstellungen\Lord Rentner\Anwendungsdaten\Mozilla\Firefox\Profiles\csz6xrco.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\Download Manager\npfpdlm.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-AGEIA PhysX v2.3.3 - c:\programme\AGEIA Technologies\uninstall.exe
AddRemove-Armagetron Advanced - i:\programme\Armagetron Advanced\uninst.exe
AddRemove-rFactor - i:\programme\rFactor\Uninstall.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - d:\programme\DivX\DivXCodecUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-20 03:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7378F916-8D44-99A9-2A83-9356F0D95ECA}*]
"pahhaejcejcdfdiilhfljpgpgnocanje"=hex:6b,61,63,70,6f,6c,6c,64,63,6b,62,62,6c,
   63,66,6b,68,65,6c,6a,64,70,00,00
"oaficohealdpjpmjlhlikmkbmcebhk"=hex:6a,61,64,70,6b,6d,68,6c,61,6c,6c,6b,70,70,
   65,68,63,66,69,63,00,00

[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D36B2E40-EDFD-ADC9-9F69-56328D690161}*]
"oahbclndjehlljiehjfcnhkhebgcpl"=hex:6b,61,66,63,6f,62,62,62,69,6f,6f,6b,61,61,
   6d,62,6a,63,69,67,69,70,00,00
"pablkihdoibkfmicbanbndnapbbidade"=hex:6b,61,66,63,69,67,64,6f,6b,6b,66,64,65,
   70,6f,66,67,61,68,66,65,6d,00,00

[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f1,1c,a1,62,cb,be,de,1f,8e,40,48,35,c4,e7,84,5d,36,56,ef,3b,d8,50,d5,
   35,21,a7,7c,60,fe,7d,4d,97,05,ce,1b,80,ae,15,f2,a5,b0,2f,0b,fb,89,30,be,13,\
"??"=hex:59,e5,97,70,47,08,a5,1e,f6,13,83,cc,52,0d,a6,6c

[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:9f,06,fb,d0,e7,6e,39,ea,71,21,35,d2,d5,09,dd,9b,a3,2d,79,ba,38,
   a8,84,2d,61,43,3c,4f,05,2d,19,42,28,60,ad,78,b6,91,6d,ab,20,ad,27,74,cd,53,\
"rkeysecu"=hex:ca,30,ba,58,79,16,70,3f,e8,9d,9e,a8,18,13,70,de

[HKEY_USERS\S-1-5-21-1614895754-688789844-839522115-1003\Software\YourCompanyName\YourProductName\Version*]
"VersionData"=hex:01,43,92,80,c1,d1,7a,52,55,97,24,04,6c,97,52,91,6c,b8,08,3d,
   72,b0,5e,24,41,20,76,79,4f,d3,ea,9c,71,54,7c,27,76,6c,5b,cf,78,90,97,5f,e8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
   a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
   a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\
.
Zeit der Fertigstellung: 2009-10-20  3:10
ComboFix-quarantined-files.txt  2009-10-20 01:10
ComboFix2.txt  2008-12-28 16:17
ComboFix3.txt  2008-08-19 10:07

Vor Suchlauf: 1.230.725.120 Bytes frei
Nach Suchlauf: 1.236.144.128 Bytes frei

- - End Of File - - 85581563883420682AB4F92DC058D380
-----
         

Alt 21.10.2009, 12:39   #2
darius200
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



DANACH habe ich das System im abgesicherten Modus neu gestartet und NOCHMALS Combofix laufen lassen.

hier das log:



Code:
ATTFilter
-----

ComboFix 09-10-19.01 - Administrator 20.10.2009  3:17.4.2 - NTFSx86 MINIMAL
ausgeführt von:: D:\mulerone.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2009-09-20 bis 2009-10-20  ))))))))))))))))))))))))))))))
.

2009-10-20 00:57 . 2009-10-20 00:57	782336	----a-w-	c:\windoof\system32\ef78.dll
2009-10-20 00:49 . 2009-10-20 00:49	1413120	----a-w-	C:\SDFix.exe
2009-09-29 19:21 . 2009-09-29 19:22	--------	d-----w-	c:\programme\Microsoft Games for Windows - LIVE
2009-09-22 17:03 . 2009-03-09 13:27	453456	----a-w-	c:\windoof\system32\d3dx10_41.dll
2009-09-22 17:03 . 2009-03-09 13:27	1846632	----a-w-	c:\windoof\system32\D3DCompiler_41.dll
2009-09-22 17:03 . 2009-03-16 12:18	69448	----a-w-	c:\windoof\system32\XAPOFX1_3.dll
2009-09-22 17:03 . 2009-03-16 12:18	517448	----a-w-	c:\windoof\system32\XAudio2_4.dll
2009-09-22 17:03 . 2009-03-16 12:18	235352	----a-w-	c:\windoof\system32\xactengine3_4.dll
2009-09-22 17:03 . 2009-03-16 12:18	22360	----a-w-	c:\windoof\system32\X3DAudio1_6.dll
2009-09-22 16:59 . 2009-09-22 17:00	--------	d-----w-	c:\programme\AGEIA Technologies
2009-09-21 15:13 . 2009-05-20 13:23	4178264	----a-w-	c:\windoof\system32\D3DX9_41.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-19 22:03 . 2007-09-12 14:58	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-10-19 18:27 . 2007-11-18 16:00	13943	----a-w-	c:\windoof\system32\tablet.dat
2009-09-22 17:00 . 2007-10-04 14:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-17 11:39 . 2007-11-23 13:49	--------	d-----w-	c:\programme\Windows Live
2009-09-13 13:50 . 2009-09-13 13:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-09-11 11:48 . 2009-09-11 11:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-11 11:48 . 2009-09-11 11:48	--------	d-----w-	c:\programme\McAfee Security Scan
2009-08-23 18:50 . 2007-09-13 18:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2009-08-14 11:36 . 2009-08-14 11:36	70936	----a-w-	c:\windoof\system32\PhysXLoader.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelTraditionalChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelSwedish.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelSpanish.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelSimplifiedChinese.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelPortugese.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelKorean.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelJapanese.dll
2009-08-02 22:21 . 2009-08-02 22:21	288024	----a-w-	c:\windoof\system32\PhysXCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21	288024	----a-w-	c:\windoof\system32\PhysXCompatCplUI.exe
2009-08-02 22:21 . 2009-08-02 22:21	23320	----a-w-	c:\windoof\system32\PhysXDevice.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelGerman.dll
2009-08-02 22:21 . 2009-08-02 22:21	58648	----a-w-	c:\windoof\system32\AgCPanelFrench.dll
2006-05-03 09:06 . 2008-11-21 15:36	163328	--sh--r-	c:\windoof\system32\flvDX.dll
2007-02-21 10:47 . 2009-06-30 00:14	31232	--sh--r-	c:\windoof\system32\msfDX.dll
2008-03-16 12:30 . 2009-06-30 00:14	216064	--sh--r-	c:\windoof\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2007-03-17 . 10D53E677A6962B964839073E492C84B . 508928 . . [5.1.2600.2815] . . c:\windoof\system32\winlogon.exe

[-] 2007-03-17 . 7AA72CFFDE889BDAA03504C383AD0786 . 343040 . . [7.0.2600.3085] . . c:\windoof\system32\msvcrt.dll
[-] 2007-02-19 . C58D60C0660E34D78C438FDC99894CC1 . 343040 . . [7.0.2600.3085] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.3085_x-ww_e059201c\msvcrt.dll
[7] 2001-08-18 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windoof\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll

[-] 2007-03-17 . 15E9565CF141152C3081715782AD2097 . 175616 . . [5.1.2600.2786] . . c:\windoof\system32\appmgmts.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8A5249-4387-481A-B38B-BEE6378CC704}]
2009-10-20 00:57	782336	----a-w-	c:\windoof\system32\ef78.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1E8A5248-4387-481A-B38B-BEE6378CC704}"= "c:\windoof\system32\ef78.dll" [2009-10-20 782336]

[HKEY_CLASSES_ROOT\clsid\{1e8a5248-4387-481a-b38b-bee6378cc704}]
[HKEY_CLASSES_ROOT\TypeLib\{8D74B939-AD80-44F3-BD5F-155BDE9D2D25}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
"IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windoof\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windoof\system32\JMRaidSetup.exe" [2007-02-06 1953792]
"EasyTuneV"="c:\programme\Gigabyte\ET5\ETcall.exe" [2007-04-26 24576]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"BootSkin Startup Jobs"="d:\programme\BootSkin\BootSkin.exe" [2004-04-26 270336]
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"avgnt"="e:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windoof\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windoof\system32\NvMcTray.dll" [2008-10-07 86016]
"DLA"="c:\windoof\System32\DLA\DLACTRLW.EXE" [2006-06-13 127036]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-02-27 570664]
"SecurDisc"="d:\programme\Nero 7\InCD\NBHGui.exe" [2008-02-18 1629480]
"InCD"="d:\programme\Nero 7\InCD\InCD.exe" [2008-02-18 1057064]
"RTHDCPL"="RTHDCPL.EXE" - c:\windoof\RTHDCPL.exe [2007-04-12 16132608]
"nwiz"="nwiz.exe" - c:\windoof\system32\nwiz.exe [2008-10-07 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]
"IE7"="advpack.dll" - c:\windoof\system32\advpack.dll [2007-06-25 124928]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll schannel.dll digest.dll msnsspc.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windoof\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk]
path=c:\dokumente und einstellungen\Lord Rentner\Startmenü\Programme\Autostart\Konfabulator.lnk
backup=c:\windoof\pss\Konfabulator.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\counter-strike source\\hl2.exe"=
"d:\\Programme\\BMW M3 Challenge\\BMW.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqw.exe"=
"d:\\Programme\\id Software\\Enemy Territory - QUAKE Wars Demo\\etqwded.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\UBISOFT\\Ghost Recon Advanced Warfighter\\GRAW.exe"=
"d:\\Programme\\Sierra\\FEAR\\fpupdate.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEAR.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARMP.exe"=
"d:\\Programme\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"=
"g:\\Valve\\Steam\\Steam.exe"=
"g:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"d:\\Programme\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"d:\\Downloads\\cl08seCu13\\RouterClient.exe"=
"d:\\Programme\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"g:\\source\\hl2.exe"=
"d:\\Downloads\\blobby\\volley.exe"=
"d:\\Programme\\Crytek\\Crysis MP Beta\\Crysis MP Beta\\Bin32\\Crysis.exe"=
"g:\\FlatOut2 an Zimmer Michel (Michel)\\FlatOut2.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"d:\\Programme\\UBISOFT\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"d:\\Downloads\\HL1\\Counter Strike 1.5 Full + Half Life 1110 Full\\Half Life Full\\HL\\hl.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOOF\\system32\\rtcshare.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"g:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"d:\\Programme\\bluesoleil\\BlueSoleil.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOOF\\system32\\PnkBstrA.exe"=
"c:\\WINDOOF\\system32\\PnkBstrB.exe"=
"d:\\Programme\\IL-2 Sturmovik Demo\\il2demo.exe"=
"d:\\Programme\\IL-2 Sturmovik 1946\\il2fb.exe"=
"g:\\Programme\\Electronic Arts\\Battlefield 2142-Demo\\BF2142.exe"=
"d:\\Programme\\Armagetron Advanced\\armagetronad.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\team fortress 2\\hl2.exe"=
"d:\\Programme\\Codemasters\\GRID\\GRID.exe"=
"d:\\Programme\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"g:\\XreaL_PreAlpha_20080704\\xreal.exe"=
"d:\\Programme\\gamigo\\levelr\\LevelR\\LevelR.bin"=
"d:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\LFS\\LFS.exe"=
"g:\\Valve\\Steam\\SteamApps\\common\\shadowgrounds demo\\ShadowgroundsLauncher.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\half-life 2\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base 2007\\hl2.exe"=
"g:\\Valve\\Steam\\SteamApps\\smaxomatic\\source sdk base\\hl2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"g:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"d:\\Programme\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=

R2 NeroRegInCDSrv;Nero Registry InCD Service;d:\programme\Nero 7\InCD\NBHRegInCDSrv.exe [x]
R2 OMSCAN;OMSCAN;Sysi?? [x]
R2 TabletServiceWacom;TabletServiceWacom;c:\windoof\system32\Wacom_Tablet.exe [2007-09-07 1373480]
R3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windoof\system32\drivers\PPJoyBus.sys [2004-10-24 13952]
R3 PPortJoystick;Parallel Port Joystick device driver;c:\windoof\system32\drivers\PPortJoy.sys [2004-10-24 28800]
R3 Wibukey2;Wibukey2;c:\windoof\system32\drivers\wibukey2.sys [2006-11-09 16384]
S0 BootScreen;BootScreen;c:\windoof\\SystemRoot\System32\drivers\vidstub.sys [x]

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mSearch Bar = hxxp://www.starbarsearch.com/?useie5=1&q=
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-20 03:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
   a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:ec,ab,ed,d7,79,61,50,82,1b,53,ed,42,e4,78,b8,0c,c3,12,2b,ed,19,
   a1,84,8c,0b,9d,83,fe,cf,8b,7d,de,85,45,71,69,34,6a,91,39,c9,20,04,50,98,be,\
.
Zeit der Fertigstellung: 2009-10-20  3:35
ComboFix-quarantined-files.txt  2009-10-20 01:35
ComboFix2.txt  2009-10-20 01:10
ComboFix3.txt  2008-12-28 16:17
ComboFix4.txt  2008-08-19 10:07

Vor Suchlauf: 1.261.969.408 Bytes frei
Nach Suchlauf: 1.227.546.624 Bytes frei

- - End Of File - - 55CE939720EA2F5ED5E0CFE68FD2EB4B
[/COLOR]


Als mein System wieder einigermaßen bedienbar schien, habe ich eure Website aufgerufen und bin nach anleitung vorgegangen.

1. Ich habe den CCcleaner gestartet und so lange alle Fehler behoben, bis keine mehr da waren. Auffällig: es waren anfangs über 100, danach waren es mehrere male so um die 2-10.

2. Dann habe ich Malwarebytes anti malware über nacht durchlaufen lassen.
Anschließend habe ich alle gefundene Malware entfernt. Hier das log:

[COLOR="DimGray"]------
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2992
Windows 5.1.2600 Service Pack 2 (Safe Mode)

20.10.2009 09:27:23
mbam-log-2009-10-20 (09-27-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 1252899
Laufzeit: 2 hour(s), 45 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{1e8a5248-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1e8a5248-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e8a5249-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1e8a5249-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{1e8a5248-4387-481a-b38b-bee6378cc704} (Adware.Mirar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOOF\system32\xa.tmp.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOOF\system32\ef78.dll (Adware.Mirar) -> Quarantined and deleted successfully.
E:\Max\Gamers.IRC\bin\dll\dmu.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
E:\Max\Gamers.IRC\bin\dll\SysTray.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
------
         
__________________


Alt 21.10.2009, 12:42   #3
darius200
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Dann habe ich RSIT durchlaufen lassen. (anders als in manchen gelesenen fällen lief es einwandfrei durch)

Hier das log:

Code:
ATTFilter
 
------
Logfile of random's system information tool 1.06 (written by random/random)
Run by Lord Rentner at 2009-10-20 09:32:18
Microsoft Windows XP Professional Service Pack 2
System drive C: has 1 GB (13%) free of 10 GB
Total RAM: 2046 MB (73% free)
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:32:26, on 20.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal
 
Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Nero 7\InCD\InCDsrv.exe
C:\WINDOOF\system32\nvsvc32.exe
C:\WINDOOF\system32\PnkBstrA.exe
C:\WINDOOF\system32\PnkBstrB.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\system32\Tablet.exe
C:\WINDOOF\system32\Wacom_Tablet.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOOF\system32\Wacom_Tablet.exe
C:\WINDOOF\RTHDCPL.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOOF\system32\wscntfy.exe
D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOOF\system32\RUNDLL32.EXE
C:\WINDOOF\System32\DLA\DLACTRLW.EXE
C:\Programme\Gigabyte\ET5\GUI.exe
D:\Programme\Nero 7\InCD\NBHGui.exe
C:\WINDOOF\system32\devldr32.exe
D:\Programme\Nero 7\InCD\InCD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\WINDOOF\system32\WTablet\TabUserW.exe
G:\Programme\Hama PC-Vibra joystick Outlandish\GM_DevUpdate.exe
e:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOOF\system32\ctfmon.exe
C:\RSIT.exe
D:\Programme\Trend Micro\HijackThis\Lord Rentner.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://www.starbarsearch.com/?useie5=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOOF\System32\DLA\DLASHX_W.DLL
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOOF\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOOF\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\ETcall.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Programme\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOOF\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOOF\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DLA] C:\WINDOOF\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] D:\Programme\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: GM_DevUpdate.lnk = G:\Programme\Hama PC-Vibra joystick Outlandish\GM_DevUpdate.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOOF\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windoof\system32\nwprovau.dll
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - h*tp://videos.streetfire.net/upload/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - ht*p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h*tp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - ht*p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - D:\Programme\Nero 7\InCD\NBHRegInCDSrv.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOOF\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOOF\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOOF\system32\PnkBstrB.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOOF\system32\Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOOF\system32\Wacom_Tablet.exe
 
--
End of file - 13615 bytes
 
======Registry dump======
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
Yahoo! Companion BHO - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-13 327748]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{074C1DC5-9320-4A9A-947D-C042949C6216}]
ContributeBHO Class - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-05-30 1410344]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
DriveLetterAccess - C:\WINDOOF\System32\DLA\DLASHX_W.DLL [2006-06-13 110652]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}]
EWPBrowseObject Class - D:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll [2006-06-09 34304]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll [2008-03-25 509328]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - &Yahoo! Companion - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll [2005-04-13 327748]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - D:\Programme\Canon\Easy-WebPrint\Toolband.dll [2006-06-09 552960]
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOOF\RTHDCPL.EXE [2007-04-12 16132608]
"JMB36X IDE Setup"=C:\WINDOOF\JM\JMInsIDE.exe [2006-10-30 36864]
"36X Raid Configurer"=C:\WINDOOF\system32\JMRaidSetup.exe [2007-02-06 1953792]
"EasyTuneV"=C:\Programme\Gigabyte\ET5\ETcall.exe [2007-04-26 24576]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-05-11 40048]
"HP Software Update"=D:\Programme\HP\HP Software Update\HPWuSchd2.exe [2005-05-12 49152]
"BootSkin Startup Jobs"=D:\Programme\BootSkin\BootSkin.exe [2004-04-26 270336]
"Acrobat Assistant 8.0"=D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [2007-05-10 624248]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2006-10-17 398944]
"QuickTime Task"=D:\Programme\QuickTime\QTTask.exe [2007-06-29 286720]
"avgnt"=E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"NvCplDaemon"=C:\WINDOOF\system32\NvCpl.dll [2008-10-07 13574144]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOOF\system32\NvMcTray.dll [2008-10-07 86016]
"DLA"=C:\WINDOOF\System32\DLA\DLACTRLW.EXE [2006-06-13 127036]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2008-02-27 570664]
"SecurDisc"=D:\Programme\Nero 7\InCD\NBHGui.exe [2008-02-18 1629480]
"InCD"=D:\Programme\Nero 7\InCD\InCD.exe [2008-02-18 1057064]
" Malwarebytes Anti-Malware  (reboot)"=D:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2008-09-16 1833296]
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGEIA PhysX SysTray]
C:\Programme\AGEIA Technologies\TrayIcon.exe []
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igndlm.exe]
D:\Programme\Download Manager\DLM.exe [2007-03-05 1103480]
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
D:\Programme\QuickTime\qttask.exe [2007-06-29 286720]
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
D:\Programme\TomTom HOME 2\HOMERunner.exe [2007-10-31 378784]
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
D:\PROGRA~1\HP\DIGITA~1\bin\hpqthb08.exe [2005-05-12 73728]
 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Lord Rentner^Startmenü^Programme^Autostart^Konfabulator.lnk]
E:\KONFAB~1\KONFAB~1.EXE [2005-08-04 1282048]
 
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
McAfee Security Scan.lnk - C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe
TabUserW.exe.lnk - C:\WINDOOF\system32\WTablet\TabUserW.exe
 
C:\Dokumente und Einstellungen\Lord Rentner\Startmenü\Programme\Autostart
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
GM_DevUpdate.lnk - G:\Programme\Hama PC-Vibra joystick Outlandish\GM_DevUpdate.exe
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOOF\system32\WgaLogon.dll [2007-05-09 3584]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOOF\system32\wpdshserviceobj.dll [2007-03-17 133632]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0
         
..fortsetzung nächster post
__________________

Geändert von darius200 (21.10.2009 um 12:46 Uhr) Grund: kleine anpassungen

Alt 21.10.2009, 12:43   #4
darius200
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



..fortsetzung RSIT:


Code:
ATTFilter
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"G:\Valve\Steam\SteamApps\smaxomatic\counter-strike source\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\counter-strike source\hl2.exe:*:Enabled:hl2"
"D:\Programme\BMW M3 Challenge\BMW.exe"="D:\Programme\BMW M3 Challenge\BMW.exe:*:Enabled:BMW M3 Challenge"
"D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqw.exe"="D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqw.exe:*:Enabled:Enemy Territory - QUAKE Wars(TM) Demo"
"D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqwded.exe"="D:\Programme\id Software\Enemy Territory - QUAKE Wars Demo\etqwded.exe:*:Enabled:etqwded.exe"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\Programme\UBISOFT\Ghost Recon Advanced Warfighter\GRAW.exe"="D:\Programme\UBISOFT\Ghost Recon Advanced Warfighter\GRAW.exe:*:Enabled:GRAW"
"D:\Programme\Sierra\FEAR\fpupdate.exe"="D:\Programme\Sierra\FEAR\fpupdate.exe:*:Enabled:fpupdate"
"D:\Programme\Sierra\FEAR\FEAR.exe"="D:\Programme\Sierra\FEAR\FEAR.exe:*:Enabled:FEAR"
"D:\Programme\Sierra\FEAR\FEARMP.exe"="D:\Programme\Sierra\FEAR\FEARMP.exe:*:Enabled:FEAR"
"D:\Programme\Sierra\FEAR\FEARXP\FEARXP.exe"="D:\Programme\Sierra\FEAR\FEARXP\FEARXP.exe:*:Enabled:FEARXP"
"G:\Valve\Steam\Steam.exe"="G:\Valve\Steam\Steam.exe:*:Enabled:Steam"
"G:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe"="G:\Programme\TrackMania Nations ESWC\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"D:\Programme\Unreal Tournament 3 Demo\Binaries\UT3Demo.exe"="D:\Programme\Unreal Tournament 3 Demo\Binaries\UT3Demo.exe:*:Enabled:Unreal Tournament 3 Demo"
"D:\Downloads\cl08seCu13\RouterClient.exe"="D:\Downloads\cl08seCu13\RouterClient.exe:*:Disabled:RouterClient"
"D:\Programme\Crytek\Crysis SP Demo\Bin32\Crysis.exe"="D:\Programme\Crytek\Crysis SP Demo\Bin32\Crysis.exe:*:Enabled:Crysis_32_sp_demo"
"G:\source\hl2.exe"="G:\source\hl2.exe:*:Disabled:hl2"
"D:\Downloads\blobby\volley.exe"="D:\Downloads\blobby\volley.exe:*:Enabled:volley"
"D:\Programme\Crytek\Crysis MP Beta\Crysis MP Beta\Bin32\Crysis.exe"="D:\Programme\Crytek\Crysis MP Beta\Crysis MP Beta\Bin32\Crysis.exe:*:Enabled:Crysis_32_mp_beta"
"G:\FlatOut2 an Zimmer Michel (Michel)\FlatOut2.exe"="G:\FlatOut2 an Zimmer Michel (Michel)\FlatOut2.exe:*:Enabled:FlatOut2"
"D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe"="D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe:*:Enabled:Rainbow Six Vegas"
"D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe"="D:\Programme\UBISOFT\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe:*:Enabled:Rainbow Six Vegas Updater"
"D:\Downloads\HL1\Counter Strike 1.5 Full + Half Life 1110 Full\Half Life Full\HL\hl.exe"="D:\Downloads\HL1\Counter Strike 1.5 Full + Half Life 1110 Full\Half Life Full\HL\hl.exe:*:Enabled:Half-Life Launcher"
"D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"D:\Programme\Microsoft Office\Office12\GROOVE.EXE"="D:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"D:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="D:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\WINDOOF\system32\rtcshare.exe"="C:\WINDOOF\system32\rtcshare.exe:*:Enabled:RTC-Gemeinsame Nutzung von Anwendungen"
"C:\Programme\NetMeeting\conf.exe"="C:\Programme\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting®"
"G:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="G:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"D:\Programme\bluesoleil\BlueSoleil.exe"="D:\Programme\bluesoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"D:\Programme\Crytek\Crysis\Bin32\Crysis.exe"="D:\Programme\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32"
"D:\Programme\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"="D:\Programme\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\WINDOOF\system32\PnkBstrA.exe"="C:\WINDOOF\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOOF\system32\PnkBstrB.exe"="C:\WINDOOF\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"D:\Programme\IL-2 Sturmovik Demo\il2demo.exe"="D:\Programme\IL-2 Sturmovik Demo\il2demo.exe:*:Enabled:il2demo"
"D:\Programme\IL-2 Sturmovik 1946\il2fb.exe"="D:\Programme\IL-2 Sturmovik 1946\il2fb.exe:*:Enabled:il2fb"
"G:\Programme\Electronic Arts\Battlefield 2142-Demo\BF2142.exe"="G:\Programme\Electronic Arts\Battlefield 2142-Demo\BF2142.exe:*:Enabled:BF2142"
"D:\Programme\Armagetron Advanced\armagetronad.exe"="D:\Programme\Armagetron Advanced\armagetronad.exe:*:Enabled:armagetronad"
"G:\Valve\Steam\SteamApps\smaxomatic\team fortress 2\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\team fortress 2\hl2.exe:*:Enabled:hl2"
"D:\Programme\Codemasters\GRID\GRID.exe"="D:\Programme\Codemasters\GRID\GRID.exe:*:Enabled:GRID"
"D:\Programme\Test Drive Unlimited\TestDriveUnlimited.exe"="D:\Programme\Test Drive Unlimited\TestDriveUnlimited.exe:*:Enabled:Test Drive Unlimited"
"G:\XreaL_PreAlpha_20080704\xreal.exe"="G:\XreaL_PreAlpha_20080704\xreal.exe:*:Enabled:xreal"
"D:\Programme\gamigo\levelr\LevelR\LevelR.bin"="D:\Programme\gamigo\levelr\LevelR\LevelR.bin:*:Enabled:LEVEL-R"
"D:\Programme\SmartFTP Client\SmartFTP.exe"="D:\Programme\SmartFTP Client\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0"
"D:\Programme\Mozilla Firefox\firefox.exe"="D:\Programme\Mozilla Firefox\firefox.exe:*:Disabled:Firefox"
"E:\LFS\LFS.exe"="E:\LFS\LFS.exe:*:Enabled:LFS"
"G:\Valve\Steam\SteamApps\common\shadowgrounds demo\ShadowgroundsLauncher.exe"="G:\Valve\Steam\SteamApps\common\shadowgrounds demo\ShadowgroundsLauncher.exe:*:Enabled:Shadowgrounds Demo"
"G:\Valve\Steam\SteamApps\smaxomatic\half-life 2\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\half-life 2\hl2.exe:*:Enabled:hl2"
"G:\Valve\Steam\SteamApps\smaxomatic\source sdk base 2007\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\source sdk base 2007\hl2.exe:*:Enabled:hl2"
"G:\Valve\Steam\SteamApps\smaxomatic\source sdk base\hl2.exe"="G:\Valve\Steam\SteamApps\smaxomatic\source sdk base\hl2.exe:*:Enabled:hl2"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"G:\Programme\ICQ6.5\ICQ.exe"="G:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX9.EXE"="D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX9.EXE:*:Enabled:RESIDENT EVIL 5 (DX9)"
"D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX10.EXE"="D:\Programme\CAPCOM\RESIDENT EVIL 5\RE5DX10.EXE:*:Enabled:RESIDENT EVIL 5 (DX10)"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
 
======File associations======
 
.js - edit - "G:\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1"
 
======List of files/folders created in the last 1 months======
 
2009-10-20 09:32:18 ----D---- C:\rsit
2009-10-20 09:29:32 ----A---- C:\WINDOOF\SchedLgU.Txt
2009-10-20 09:28:14 ----A---- C:\WINDOOF\ntbtlog.txt
2009-10-20 09:28:00 ----A---- C:\mbam-log-2009-10-20 (09-27-23).txt
2009-10-20 03:47:56 ----D---- C:\Programme\CCleaner
2009-10-20 03:47:15 ----A---- C:\RSIT.exe
2009-10-20 03:47:05 ----A---- C:\mbam-setup.exe
2009-10-20 03:46:53 ----A---- C:\ccsetup224.exe
2009-10-20 03:35:33 ----A---- C:\log3.txt
2009-10-20 03:35:10 ----D---- C:\WINDOOF\temp
2009-10-20 03:35:05 ----A---- C:\ComboFix.txt
2009-10-20 03:16:21 ----D---- C:\mulerone
2009-10-20 03:00:40 ----A---- C:\WINDOOF\PEV.exe
2009-10-20 02:49:02 ----A---- C:\SDFix.exe
2009-09-29 21:21:37 ----D---- C:\Programme\Microsoft Games for Windows - LIVE
2009-09-22 19:03:06 ----A---- C:\WINDOOF\system32\d3dx10_41.dll
2009-09-22 19:03:06 ----A---- C:\WINDOOF\system32\D3DCompiler_41.dll
2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\XAudio2_4.dll
2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\XAPOFX1_3.dll
2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\xactengine3_4.dll
2009-09-22 19:03:04 ----A---- C:\WINDOOF\system32\X3DAudio1_6.dll
2009-09-22 18:59:45 ----D---- C:\Programme\AGEIA Technologies
2009-09-21 17:13:24 ----A---- C:\WINDOOF\system32\D3DX9_41.dll
 
======List of files/folders modified in the last 1 months======
 
2009-10-20 09:29:49 ----D---- C:\WINDOOF
2009-10-20 09:29:48 ----D---- C:\Dokumente und Einstellungen\Lord Rentner\Anwendungsdaten\WTablet
2009-10-20 09:29:45 ----D---- C:\WINDOOF\system32
2009-10-20 03:55:50 ----D---- C:\WINDOOF\system32\drivers
2009-10-20 03:50:17 ----D---- C:\WINDOOF\Minidump
2009-10-20 03:50:17 ----D---- C:\WINDOOF\Debug
2009-10-20 03:47:56 ----RD---- C:\Programme
2009-10-20 03:37:53 ----D---- C:\WINDOOF\system32\CatRoot2
2009-10-20 03:30:23 ----A---- C:\WINDOOF\system.ini
2009-10-20 03:26:26 ----D---- C:\WINDOOF\AppPatch
2009-10-20 03:26:21 ----D---- C:\Programme\Gemeinsame Dateien
2009-10-20 03:16:32 ----SHD---- C:\RECYCLER
2009-10-20 03:16:26 ----D---- C:\QooBox
2009-10-20 03:10:07 ----D---- C:\WINDOOF\Prefetch
2009-10-20 03:09:05 ----SD---- C:\WINDOOF\Tasks
2009-10-20 03:08:46 ----D---- C:\WINDOOF\erdnt
2009-10-20 02:50:49 ----D---- C:\SDFix
2009-10-20 02:05:36 ----A---- C:\WINDOOF\NeroDigital.ini
2009-10-20 00:03:40 ----HD---- C:\Programme\InstallShield Installation Information
2009-10-19 23:50:42 ----D---- C:\Dokumente und Einstellungen\Lord Rentner\Anwendungsdaten\FileZilla
2009-10-15 03:46:28 ----A---- C:\WINDOOF\winamp.ini
2009-10-10 15:33:08 ----RSD---- C:\WINDOOF\assembly
2009-10-10 15:32:51 ----D---- C:\WINDOOF\system32\DirectX
2009-09-29 21:27:44 ----SHD---- C:\WINDOOF\Installer
2009-09-29 21:27:44 ----D---- C:\Config.Msi
2009-09-29 21:24:00 ----HD---- C:\WINDOOF\inf
2009-09-22 19:00:46 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
 
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 
R1 Aspi32;Aspi32; C:\WINDOOF\system32\drivers\Aspi32.sys [2007-03-17 25244]
R1 avgio;avgio; \??\E:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOOF\system32\DRIVERS\avipbb.sys [2009-05-27 75096]
R1 DLACDBHM;DLACDBHM; C:\WINDOOF\System32\Drivers\DLACDBHM.SYS [2006-03-17 5660]
R1 DLARTL_N;DLARTL_N; C:\WINDOOF\System32\Drivers\DLARTL_N.SYS [2006-03-17 22684]
R1 InCDPass;Nero InCDPass; C:\WINDOOF\system32\drivers\InCDPass.sys [2008-02-18 36648]
R1 incdrm;Nero InCD MRW Remapper; C:\WINDOOF\system32\drivers\InCDRm.sys [2008-02-18 38312]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOOF\system32\DRIVERS\intelppm.sys [2007-03-17 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOOF\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOOF\System32\drivers\prodrv06.sys [2004-08-09 53920]
R1 ssmdrv;ssmdrv; C:\WINDOOF\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 DLABOIOM;DLABOIOM; C:\WINDOOF\System32\DLA\DLABOIOM.SYS [2006-06-13 25724]
R2 DLADResN;DLADResN; C:\WINDOOF\System32\DLA\DLADResN.SYS [2006-06-13 2496]
R2 DLAIFS_M;DLAIFS_M; C:\WINDOOF\System32\DLA\DLAIFS_M.SYS [2006-06-13 86844]
R2 DLAOPIOM;DLAOPIOM; C:\WINDOOF\System32\DLA\DLAOPIOM.SYS [2006-06-13 14716]
R2 DLAPoolM;DLAPoolM; C:\WINDOOF\System32\DLA\DLAPoolM.SYS [2006-06-13 6364]
R2 DLAUDF_M;DLAUDF_M; C:\WINDOOF\System32\DLA\DLAUDF_M.SYS [2006-06-13 88476]
R2 DLAUDFAM;DLAUDFAM; C:\WINDOOF\System32\DLA\DLAUDFAM.SYS [2006-06-13 94460]
R2 DRVNDDM;DRVNDDM; C:\WINDOOF\System32\Drivers\DRVNDDM.SYS [2006-03-17 40544]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOOF\system32\DRIVERS\nwlnkipx.sys [2004-08-03 88448]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOOF\system32\DRIVERS\nwlnknb.sys [2001-08-18 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOOF\system32\DRIVERS\nwlnkspx.sys [2001-08-18 55936]
R2 rspndr;Antwort für Verbindungsschicht-Topologieerkennung; C:\WINDOOF\system32\DRIVERS\rspndr.sys [2007-03-17 62336]
R2 WIBUKEY;WIBU-KEY Kernel Driver; C:\WINDOOF\SYSTEM32\DRIVERS\WibuKey.sys [2006-11-22 72704]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOOF\system32\DRIVERS\arp1394.sys [2007-06-18 60800]
R3 avgntflt;avgntflt; \??\E:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOOF\system32\DRIVERS\blueletaudio.sys [2006-06-23 31488]
R3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:\WINDOOF\system32\DRIVERS\BlueletSCOAudio.sys [2005-08-31 20480]
R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOOF\system32\DRIVERS\vbtenum.sys [2005-07-30 11988]
R3 ctljystk;Creative SBLive!-Gameport; C:\WINDOOF\system32\DRIVERS\ctljystk.sys [2007-03-17 3712]
R3 emu10k;Creative SB Live! (WDM); C:\WINDOOF\system32\drivers\emu10k1m.sys [2007-03-17 283904]
R3 emu10k1;Creative-Schnittstellen-Verwaltungstreiber (WDM); C:\WINDOOF\system32\drivers\ctlfacem.sys [2007-03-17 6912]
R3 ET5Drv;ET5Drv; \??\C:\WINDOOF\system32\Drivers\ET5Drv.sys []
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOOF\system32\DRIVERS\HDAudBus.sys [2007-03-17 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOOF\system32\DRIVERS\hidusb.sys [2007-03-17 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOOF\system32\drivers\RtkHDAud.sys [2007-04-23 4402176]
R3 MarkFun_NT;MarkFun_NT; \??\C:\Programme\Gigabyte\ET5\markfun.w32 []
R3 mouhid;Maus-HID-Treiber; C:\WINDOOF\system32\DRIVERS\mouhid.sys [2007-03-17 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOOF\system32\DRIVERS\nic1394.sys [2007-06-18 61824]
R3 nv;nv; C:\WINDOOF\system32\DRIVERS\nv4_mini.sys [2008-10-07 6133856]
R3 PPJoyBus;Parallel Port Joystick Bus device driver; C:\WINDOOF\system32\drivers\PPJoyBus.sys [2004-10-24 13952]
R3 PPortJoystick;Parallel Port Joystick device driver; C:\WINDOOF\system32\drivers\PPortJoy.sys [2004-10-24 28800]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOOF\System32\Drivers\RootMdm.sys [2001-08-18 5888]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOOF\system32\DRIVERS\Rtenicxp.sys [2007-03-01 90496]
R3 sfman;Creative-SoundFont-Verwaltungstreiber (WDM); C:\WINDOOF\system32\drivers\sfmanm.sys [2007-03-17 36480]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOOF\system32\DRIVERS\usbccgp.sys [2007-03-17 31744]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOOF\system32\DRIVERS\usbehci.sys [2007-03-17 30080]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOOF\system32\DRIVERS\usbhub.sys [2007-03-17 59264]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOOF\system32\DRIVERS\usbuhci.sys [2007-03-17 20608]
R3 VComm;Virtual Serial port driver; C:\WINDOOF\system32\DRIVERS\VComm.sys [2004-10-19 61312]
R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOOF\System32\Drivers\VcommMgr.sys [2006-02-28 84836]
R3 WacomVKHid;Virtual Keyboard Driver; C:\WINDOOF\system32\DRIVERS\WacomVKHid.sys [2007-02-15 11440]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\WINDOOF\system32\drivers\WmBEnum.sys [2005-04-12 10144]
R3 WmXlCore;Logitech WingMan Translation Layer Driver; C:\WINDOOF\system32\drivers\WmXlCore.sys [2005-04-12 45504]
R4 InCDfs;Nero InCD File System; C:\WINDOOF\system32\drivers\InCDFs.sys [2008-02-18 118952]
S3 61883;61883-Einheitsgerät; C:\WINDOOF\system32\DRIVERS\61883.sys [2007-03-17 48128]
S3 a3yn0pbd;a3yn0pbd; C:\WINDOOF\system32\drivers\a3yn0pbd.sys []
S3 Avc;AVC-Gerät; C:\WINDOOF\system32\DRIVERS\avc.sys [2007-03-17 38912]
S3 BT;Bluetooth PAN Network Adapter; C:\WINDOOF\system32\DRIVERS\btnetdrv.sys [2006-01-19 10068]
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOOF\System32\Drivers\btcusb.sys [2006-07-16 23040]
S3 BTNetFilter;Bluetooth Network Filter; \??\G:\Programme\IVT Corporation\BlueSoleil\Device\Win2k\BTNetFilter.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1.BIE\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOOF\system32\DRIVERS\CCDECODE.sys [2007-03-17 17024]
S3 gdrv;gdrv; \??\C:\WINDOOF\gdrv.sys []
S3 hamachi;Hamachi Network Interface; C:\WINDOOF\system32\DRIVERS\hamachi.sys [2008-11-21 25280]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOOF\system32\DRIVERS\msdv.sys [2007-03-17 51200]
S3 msgame;Sidewinder HID-zu-Joystickanschlussaktivierung; C:\WINDOOF\system32\DRIVERS\msgame.sys [2007-03-17 35200]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOOF\system32\drivers\MSTEE.sys [2007-03-17 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOOF\system32\DRIVERS\NABTSFEC.sys [2007-03-17 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOOF\system32\DRIVERS\NdisIP.sys [2007-03-17 10880]
S3 PnkBstrK;PnkBstrK; \??\C:\WINDOOF\system32\drivers\PnkBstrK.sys []
S3 RivaTuner32;RivaTuner32; \??\D:\Programme\RivaTuner v2.06\RivaTuner32.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOOF\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOOF\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOOF\system32\DRIVERS\usbprint.sys [2007-03-17 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOOF\system32\DRIVERS\usbscan.sys [2007-03-17 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOOF\system32\DRIVERS\USBSTOR.SYS [2007-03-17 26368]
S3 usbvideo;USB-Videogerät (WDM); C:\WINDOOF\System32\Drivers\usbvideo.sys [2007-03-17 121856]
S3 VHidMinidrv;Bluetooth HID Device Service; C:\WINDOOF\system32\drivers\VHIDMini.sys [2005-07-29 11736]
S3 wacommousefilter;Wacom Mouse Filter Driver; C:\WINDOOF\system32\DRIVERS\wacommousefilter.sys []
S3 wacomvhid;Wacom Virtual Hid Driver; C:\WINDOOF\system32\DRIVERS\wacomvhid.sys []
S3 Wibukey2;Wibukey2; C:\WINDOOF\system32\drivers\wibukey2.sys [2006-11-09 16384]
S3 WmFilter;Logitech Gaming HID Filter Driver; C:\WINDOOF\system32\drivers\WmFilter.sys [2005-04-12 22240]
S3 WmHidLo;Logitech Gaming USB Filter Driver; C:\WINDOOF\system32\drivers\WmHidLo.sys [2005-04-12 17632]
S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\WINDOOF\system32\drivers\WmVirHid.sys [2005-04-12 5600]
S3 WpdUsb;WpdUsb; C:\WINDOOF\system32\DRIVERS\wpdusb.sys [2007-03-17 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOOF\system32\DRIVERS\WSTCODEC.SYS [2007-03-17 19328]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOOF\system32\DRIVERS\wudfrd.sys [2007-03-17 82944]
S4 IntelIde;IntelIde; C:\WINDOOF\system32\drivers\IntelIde.sys []
 
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 InCDsrv;InCD Helper; D:\Programme\Nero 7\InCD\InCDsrv.exe [2008-02-18 1553704]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOOF\system32\nvsvc32.exe [2008-10-07 163908]
R2 PnkBstrA;PnkBstrA; C:\WINDOOF\system32\PnkBstrA.exe [2007-12-24 66872]
R2 PnkBstrB;PnkBstrB; C:\WINDOOF\system32\PnkBstrB.exe [2009-02-28 201816]
R2 TabletService;TabletService; C:\WINDOOF\system32\Tablet.exe [2005-07-06 749568]
R2 TabletServiceWacom;TabletServiceWacom; C:\WINDOOF\system32\Wacom_Tablet.exe [2007-09-07 1373480]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOOF\system32\svchost.exe [2004-08-04 14336]
R3 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-01-28 654848]
S02000000 OMSCAN;OMSCAN; \Sys []
S1 InCDrec;Nero InCD File System Recognizer; C:\WINDOOF\system32\drivers\InCDRec.sys [2008-02-18 16040]
S2 BlueSoleil Hid Service;BlueSoleil Hid Service; D:\Programme\BlueSoleil\BTNtService.exe [2005-04-06 110592]
S2 NeroRegInCDSrv;Nero Registry InCD Service; D:\Programme\Nero 7\InCD\NBHRegInCDSrv.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOOF\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOOF\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOOF\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOOF\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; D:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR; E:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe [2002-12-17 7520337]
S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112]
S3 NBService;NBService; D:\Programme\Nero 7\Nero BackItUp\NBService.exe [2007-09-17 800040]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR; E:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE [2002-12-17 311872]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOOF\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]
 
-----------------EOF-----------------
         

Das war's erst mal. Scheint ziemlich viel im Busch zu sein, grade durch das unsichere und seit Jahren zugemüllte System. Kann bitte bitte trotzdem jemand helfen?

Vielen dank und liebe grüße

Alt 21.10.2009, 13:23   #5
darius200
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



NACHTRAG:
habe vergessen zu sagen, dass nach dem durchlauf von malwarebytes (glaube ich!) der computer neu gestartet werden musste. Nach dem Neustart meldete Spybot mehrere änderungen, von denen ich dachte, sie wären natürlich von MBAM!
dazu gehörten:

20.10.2009 09:30:14 Erlaubt (based on user decision) value "ctfmon.exe" (new data: "") gelöscht in System Startup user entry!
20.10.2009 09:30:22 Erlaubt (based on user decision) value " Malwarebytes Anti-Malware (reboot)" (new data: ""D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript") hinzugefügt in System Startup global entry!
20.10.2009 09:30:29 Erlaubt (based on user decision) value "ScanRegistry" (new data: "") gelöscht in System Startup global entry!
20.10.2009 09:30:35 Erlaubt (based on user decision) value "Search Bar" (new data: "http://www.starbarsearch.com/?useie5=1&q=") geändert in Browser page!
20.10.2009 09:31:07 Verweigert (based on user decision) value "ctfmon.exe" (new data: "C:\WINDOOF\system32\ctfmon.exe") hinzugefügt in System Startup user entry!

kam nochmal:
21.10.2009 13:17:47 Verweigert (based on user decision) value "ctfmon.exe" (new data: "C:\WINDOOF\system32\ctfmon.exe") hinzugefügt in System Startup user entry!


Alt 04.11.2009, 12:40   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Dein Beitrag wurde übersehen, weil Du über mehrere Postings verteilt geschrieben hast.

Zitat:
Erstens: ich benutze ein altes, kopiertes windows xp >ohne< updates.
Was heißt das? Keine Lizenz für Windows?
__________________
--> Mehrfache Trojaner eingefangen, über Firefox.

Alt 04.11.2009, 17:40   #7
darius200
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Zitat:
Zitat von cosinus Beitrag anzeigen
Was heißt das? Keine Lizenz für Windows?
ja, das ist richtig. Mein kleiner bruder hat den PC damals zusammengestellt und gebaut. War wohl ein fehler

Alt 04.11.2009, 20:47   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Tja, dann kauf Dir schnell noch eine, mach den Rechner platt und installier Windows XP neu, aber mit der Original-CD. Mit "kopierten" Versionen wirst Du immer wieder Probleme mit den Windows-Updates bekommen und dann auch zwangsläufig Sicherheitsprobleme.

Abgesehen davon gibts im Trojaner-Board keinen Support in Fällen, wo illegale Software im Spiel ist, seien es Cracks/Warez/Keygens oder eben ein schwarzes Windows.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.11.2009, 23:39   #9
WinUpGro
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Zitat:
Zitat von darius200 Beitrag anzeigen
ja, das ist richtig. Mein kleiner bruder hat den PC damals zusammengestellt und gebaut. War wohl ein fehler
Im Prinzip ist das kein Fehler, wenn man weiss was man tut.

Dumm ist auf jeden Fall das hier haarklein hinzuschreiben und einen Lizenzverstoß zu publizieren.

Warum machst Du nicht einfach eine Neuinstalltion und bist glücklich?

Lass den komischen Frickelfox noch weg, sicherer ist der Kram in keinem Fall und good luck.

Es gibt auch für Dein Problem mindestens 10 Programme, welche Du in beliebiger Reihenfolge mal verwenden kannst, das Board ist da ein unerschöpflicher Quell.

Alt 04.11.2009, 23:41   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mehrfache Trojaner eingefangen, über Firefox. - Icon32

Mehrfache Trojaner eingefangen, über Firefox.



Zitat:
Zitat von WinUpGro Beitrag anzeigen
Lass den komischen Frickelfox noch weg, sicherer ist der Kram in keinem Fall und good luck.
Aus welcher Ecke bist Du denn gekrochen, hat man Dich Dich im heise-Forum gesperrt?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.11.2009, 23:43   #11
WinUpGro
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Die Ecke siehst Du aus Bremen nicht!

Und nein, ich würde mich nie im Lunix-Forum anmelden!

Alt 04.11.2009, 23:45   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Jaja gn8 pinguinüberfahrer oder welcher Troll Du auch immer sein gewesen magst bei heise.de
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.11.2009, 23:47   #13
WinUpGro
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Zitat:
Zitat von cosinus Beitrag anzeigen
Jaja gn8 pinguinüberfahrer oder welcher Troll Du auch immer sein gewesen magst bei heise.de
Schatz, beleidigen kann ich auch!

Bleibe sachlich oder schweig!

Alt 05.11.2009, 09:19   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Mehrfache Trojaner eingefangen, über Firefox. - Standard

Mehrfache Trojaner eingefangen, über Firefox.



Hallo,

nun sei doch nicht gleich beleidigt so hab ich das doch nicht gemeint. Es gibt bei heise.de tatsächlich Trolle (Anti-Linux und Anti-Opensource) die sich so nennen. Und beim Thema Frickelfox werd ich gleich 2x hörig, das wird auch fast nur bei heise benutzt.

Wenn Du jetzt wirklich noch ernsthaft posten willst, dann begründe doch mal sachlich warum der Firefox nicht sicherer / unsicherer als der IE sein soll.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Mehrfache Trojaner eingefangen, über Firefox.
0 bytes, abgesicherten modus, ablauf, antivir, avgnt, avgnt.exe, avira, bonjour, booten, browser, canon, combofix, counter-strike source, crysis, device driver, fehler, firefox, firefox.exe, gigabyte, helper, installation, konvertieren, malware, mozilla, pdf-datei, programm, registry, rthdcpl.exe, scan, schannel.dll, security, server, sierra, sigcheck, skype.exe, software, suchlauf, system, trojaner, trojaner eingefangen, viren, virus, vista, windows, windows xp, ändern




Ähnliche Themen: Mehrfache Trojaner eingefangen, über Firefox.


  1. vermutlich Trojaner über Facebook eingefangen - was tun?
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (3)
  2. CouponDropDown über Firefox eingefangen - rechner wird langsamer
    Log-Analyse und Auswertung - 04.12.2013 (16)
  3. DirtyDecrypt über den BKA Trojaner eingefangen ransomware
    Log-Analyse und Auswertung - 20.08.2013 (7)
  4. DirtyDecrypt über den BKA Trojaner eingefangen ransomware
    Plagegeister aller Art und deren Bekämpfung - 18.08.2013 (23)
  5. Trojaner o.ä. über Facebook eingefangen
    Log-Analyse und Auswertung - 14.06.2013 (29)
  6. Mehrfache Viren und Trojaner (PUP. / Trojan. )
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (7)
  7. Trojaner eingefangen über Vodafone MMS Email
    Log-Analyse und Auswertung - 23.11.2012 (19)
  8. Trojaner TR/ATRAPS.Gen2 über Facebooklink eingefangen
    Plagegeister aller Art und deren Bekämpfung - 20.10.2011 (17)
  9. Virus/Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (1)
  10. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (16)
  11. Trojaner über ICQ eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (23)
  12. Malware über ICQ eingefangen, Firefox öffnet selbstständig Werbeanzeigen und anderes
    Log-Analyse und Auswertung - 20.06.2010 (24)
  13. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2010 (3)
  14. Renos.jm über FireFox eingefangen - richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (18)
  15. über msn backdoor/Trojaner eingefangen
    Log-Analyse und Auswertung - 29.06.2008 (6)
  16. Virus oder trojaner über codec eingefangen
    Log-Analyse und Auswertung - 12.10.2006 (2)
  17. Trojaner über FTP-Port eingefangen
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (7)

Zum Thema Mehrfache Trojaner eingefangen, über Firefox. - ***ACHTUNG, TEXT IST ÜBER MEHRERE POSTINGS VERTEILT*** guten tag liebes board. Zuerst einmal: ich bin schuld, und das in vielerlei hinsicht. Erstens: ich benutze ein altes, kopiertes windows xp >ohne< - Mehrfache Trojaner eingefangen, über Firefox....
Archiv
Du betrachtest: Mehrfache Trojaner eingefangen, über Firefox. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.