Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert

psie · 19.11.2009, 04:55

Hallo,

ich nutze Win XP SP3 mit Kaspersky Antivirus 6.0. Vor 2 - 3 Wiochen hatte es mich erwischt und ich hatte einen Virus / Trojaner auf meinem Rechenr. Er war betiltelt als "f.bat" und hatte sich immer wieder selbst gestartet. Ich bin nach einfach einer Anleitung zur beseitigung unter anderem auch hier gefolgt. Entfernt habe ich das ganze dann mit Malwarebytes Anti-Malware. Hier der Report:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3

25.10.2009 04:25:00
mbam-log-2009-10-25 (04-25-00).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 103325
Laufzeit: 7 minute(s), 39 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\programme\relevantknowledge\rlvknlg.exe (Spyware.MarketScore) -> Unloaded process successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\RelevantKnowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\videocore.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\RelevantKnowledge\rlservice.exe (Spyware.MarketScore) -> Quarantined and deleted successfully.
C:\Programme\RelevantKnowledge\rlvknlg.exe (Spyware.MarketScore) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Ich denke das hat auch funktioniert, zumindest ist ist die Datei nicht mehr im Task-Manager angezeigt. Das alles nur zur Vorgeschichte.....

Jetzt ist es seit einigen Tagen so, dass mir immer sporadisch vom Anti-Hacker (Kaspersky) eine Intrusion Warnung angezeigt wird. Jetzt auch gerade beim eröffnen dieses Themas:
(19.11.2009 04:37:07 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 85.13.143.91 TCP 2182).
Normalerweise lehnt Kaspersky diese immer ab aber da diese Meldungen unter anderem auch während ich Online Poke spiele kommen und ich manchmal dann keine Verbindung mehr habe, habe ich letztens auch ein paar erlaubt.

Wäre ja alles nicht so wild, aber nun habe ich heute wieder einen Intrusion Versuch erlaubt und dann hat mein Bildschrim angefangen zu flackern. Das pssiert jetzt auch während ich Poker spiele, und eine Intusion Meldung komme und ich diese auch nicht erlaube. Hier einfach mal noch 2 Meldungen die gespeichert sind:
19.11.2009 04:25:27 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 93.191.193.6 TCP 34597
19.11.2009 04:20:34 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 212.77.189.194 TCP 16144

Letstens habe ich dann nochmal einen Sxan mit Anti-Malware gemacht, nachdem die erste meldung über eine Intusion kam. Hier der Report:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3177
Windows 5.1.2600 Service Pack 3

16.11.2009 09:06:10
mbam-log-2009-11-16 (09-06-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 271127
Laufzeit: 1 hour(s), 31 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\GeVaS AD\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\GeVaS AD\Lokale Einstellungen\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Was kann ich denn machen? Ist jemand auf meinem System? Wie soll ich am besten vorgehen?

Hier sind auch nochmal die Logs von HijackThis

http://rapidshare.com/files/309046578/info.txt
http://rapidshare.com/files/309047148/log.txt
Vielen Dank

cosinus · 19.11.2009, 19:53

Kannst Du die Logs bitte woanders hochladen? Bei rapidshare als Free-User brauchts ewig bis man sich das laden darf

Es gibt hier im TB auch eine Anhangsfunktion. Besser als rapidshare finde ich aber file-upload.net.

psie · 19.11.2009, 21:53

Hier nochmal die 2 Files:

http://www.file-upload.net/download-2022975/info.txt.html
http://www.file-upload.net/download-2022978/log.txt.html

cosinus · 20.11.2009, 11:09

Ist das zufällig ein Bürorechner? Ich seh da rel. viel versicherungsrelevante Software drauf oder nutzt Du den PC nur privat für Deine Angelegenheiten wie Versicherung und so?

psie · 20.11.2009, 17:28

Bin Vermittler, daher auch einiges an Versicherungssoftware installiert. Aber es ist ein Laptop, sorry hatte ich nicht erwähnt. Hab aber auch gedacht, das dass nicht relevant ist. Hab ein HP EliteBook 6930p. Hoffe das hilft.

cosinus · 22.11.2009, 19:43

Hallo,

wenn Du da beruflich drauf angewiesen bist, musst Du auf jeden Fall an regelmäßige Backups denken, oder ist bei Dir da schon so eine Lösung, denkst Du daran immer?

Vllt auch mal überlegen, ob Du mit diesem "Business-Notebook" unbedingt private Sachen machen musst, private Dinge nicht auf ein separates günstiges Notebook oder "Billig"-Desktop-PC verlagerst.

Auf jeden Fall diese Regeln immer einhalten:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Danach würde ich vorschlagen, Du machst einen Durchlauf mit Combofix, Du solltest aber, weil Du ja beruflich auf das Teil angewiesen bist, ein Image des jetzigen Zustands, so dass Du auf jeden Fall zu dem jetzigen Zeitpunkt wieder zurück kannst. Geht mit Programmen wie zB DriveSnapshot oder Acronis TrueImage oder auch mit kostenlosen Tools wie CloneZilla. Am einfachsten und unkompliziertesten ist es aber mit Acronis, kostet aber auch ein wenig, das Geld ist aber in Backup-Software sehr sinnvoll angelegt.

Wenn das Backup dann auf eine externe Platte oder so erfolgt ist:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

psie · 23.11.2009, 04:16

Hallo cosinus,

erstmal vielen Dank für deine Antwort. Habe alles genaustens befolgt und nun ist hier das log (musste es in 2 Antworten schreiben wegen der länge):

Code:

ATTFilter

ComboFix 09-11-22.04 - *** 23.11.2009  3:45.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1977.1446 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Anti-Virus *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\.#
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\1. Semester\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\1. Semester\edv\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Homepage\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Homepage\pics\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\homepage2\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Neuer Ordner\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Neuer Ordner\Dokumentation\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\DV_Anwendungen\Neuer Ordner\Kalkulation\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Kostenrechnung\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Schluesselqualifikationen\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\2.Semester\Spanisch\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\3. Semester\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\3. Semester\Entscheidungstraining\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Controlling\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Management\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Marketing\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\4. Semester\Int. Marketing\trailer_boxster_wmv\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\bus108\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\hrm220\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\ibs220\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\mkg221\cpie\Desktop_.ini
c:\dokumente und einstellungen\***\Desktop\UNI\Bachelor\5. Semester\mkg221\Desktop_.ini
c:\windows\system32\AVSredirect.dll
c:\windows\system32\img_utils.dll
c:\windows\system32\imgscaler.dll
c:\windows\system32\oem45.inf
c:\windows\system32\videoformat.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-10-23 bis 2009-11-23  ))))))))))))))))))))))))))))))
.

2009-11-20 16:22 . 2009-11-20 16:22	77824	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\JanitosTarifrechner\C\Programme\Fairware24\JanitosTarifrechner\Trias\eclipse\configuration\org.eclipse.osgi\bundles\156\1\.cp\swt-gdip-win32-3448.dll
2009-11-20 16:22 . 2009-11-20 16:22	335872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\JanitosTarifrechner\C\Programme\Fairware24\JanitosTarifrechner\Trias\eclipse\configuration\org.eclipse.osgi\bundles\156\1\.cp\swt-win32-3448.dll
2009-11-20 16:18 . 2009-11-20 16:18	--------	d-----w-	c:\programme\Fairware24
2009-11-20 16:18 . 2009-11-20 16:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\JanitosTarifrechner
2009-11-20 16:16 . 2009-11-20 16:16	--------	d-----w-	c:\programme\Buergerentlastungsrechner
2009-11-20 16:15 . 2009-11-20 16:15	--------	d-----w-	c:\programme\bav-portal
2009-11-20 16:13 . 2009-11-20 16:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\Borland Shared
2009-11-20 16:13 . 2009-11-20 16:13	--------	d-----w-	c:\programme\DKV
2009-11-20 15:59 . 2009-11-20 15:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\Amis
2009-11-20 15:54 . 2009-11-20 15:54	--------	d-----w-	c:\programme\JavaSoft
2009-11-20 15:52 . 2009-11-20 16:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AmisAVW
2009-11-20 15:52 . 2009-11-20 15:54	--------	d-----w-	c:\programme\AmisAVW
2009-11-20 15:51 . 2009-11-20 16:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Allianz Installer
2009-11-19 04:17 . 2009-11-19 04:17	--------	d-----w-	C:\rsit
2009-11-19 04:17 . 2009-11-19 04:17	--------	d-----w-	c:\programme\trend micro
2009-11-19 04:05 . 2009-11-19 04:05	--------	d-----w-	c:\programme\CCleaner
2009-11-18 00:52 . 2009-11-18 00:52	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Yahoo!
2009-11-16 01:49 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-16 01:49 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-16 01:17 . 2009-11-16 01:31	--------	d-----w-	c:\programme\Enigma Software Group
2009-11-13 03:17 . 2009-11-13 03:50	27648	----a-w-	c:\windows\system32\drivers\memwdm.sys
2009-11-13 03:17 . 2009-11-13 03:50	15360	----a-w-	c:\windows\system32\drivers\vpscr.sys
2009-11-04 19:54 . 2009-11-04 19:54	152576	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-04 02:46 . 2008-08-26 09:26	18816	----a-w-	c:\windows\system32\drivers\pccsmcfd.sys
2009-11-04 02:46 . 2009-11-04 02:46	--------	d-----w-	c:\programme\PC Connectivity Solution
2009-11-04 02:45 . 2009-11-04 02:45	77824	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\Run_XML6_SP1.exe
2009-11-04 02:45 . 2009-11-04 02:45	50000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\pcswpc.exe
2009-11-04 02:43 . 2009-11-02 06:49	60426224	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Nokia_Ovi_Suite_webupgrade_ALL.exe
2009-11-02 06:49 . 2009-11-02 06:49	60426224	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Nokia\Ovi Suite\Software Updater\Nokia_Ovi_Suite_webupgrade_ALL.exe
2009-10-30 01:30 . 2009-08-21 11:38	3405024	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a6zjnd82.default\extensions\maps@ovi.com\plugins\npNMapG.dll
2009-10-29 22:37 . 2009-10-29 22:37	--------	d-----w-	c:\programme\ITERGO
2009-10-29 22:37 . 2009-10-29 22:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ITERGO
2009-10-29 00:48 . 2009-10-29 01:41	--------	d-----w-	c:\programme\SignSIS-GUI
2009-10-25 03:15 . 2009-10-25 03:15	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-10-25 03:15 . 2009-11-16 01:50	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-10-25 03:15 . 2009-10-25 03:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-25 02:53 . 2009-10-25 02:51	102664	----a-w-	c:\windows\system32\drivers\tmcomm.sys
2009-10-25 02:51 . 2009-10-25 02:54	--------	d-----w-	c:\dokumente und einstellungen\***\.housecall6.6
2009-10-25 02:21 . 2009-10-25 03:32	--------	d-----w-	c:\programme\Boilsoft Video Splitter
2009-10-25 02:19 . 2009-10-25 02:19	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Media Player Classic
2009-10-25 02:13 . 2006-04-02 12:47	630784	----a-w-	c:\windows\system32\vp7vfw.dll
2009-10-25 02:13 . 2004-05-18 18:16	39936	----a-w-	c:\windows\system32\huffyuv.dll
2009-10-25 02:13 . 2009-05-29 21:37	205824	----a-w-	c:\windows\system32\xvidvfw.dll
2009-10-25 02:13 . 2009-10-13 18:00	85504	----a-w-	c:\windows\system32\ff_vfw.dll
2009-10-25 01:45 . 2009-08-16 15:08	178176	----a-w-	c:\windows\system32\unrar.dll
2009-10-25 01:45 . 2009-10-25 03:35	--------	d-----w-	c:\programme\K-Lite Codec Pack
2009-10-24 23:32 . 2004-02-22 08:11	719872	----a-w-	c:\windows\system32\devil.dll
2009-10-24 23:32 . 2007-05-17 15:30	318976	----a-w-	c:\windows\system32\avisynth.dll
2009-10-24 23:32 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2009-10-24 23:32 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2009-10-24 23:32 . 2009-10-24 23:32	--------	d-----w-	c:\programme\AviSynth 2.5
2009-10-24 23:31 . 2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
2009-10-24 23:31 . 2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2009-10-24 23:31 . 2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2009-10-24 23:31 . 2009-10-24 23:31	--------	d-----w-	c:\programme\eRightSoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-23 02:57 . 2009-02-13 14:13	26322720	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-11-23 02:56 . 2009-02-13 14:12	1912096	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2009-11-23 02:54 . 2009-02-13 14:13	360776	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-11-23 02:54 . 2009-02-13 14:12	183392	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2009-11-23 02:33 . 2009-02-13 14:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-23 00:43 . 2009-05-22 13:41	--------	d-----w-	c:\programme\Holdem Indicator
2009-11-21 19:13 . 2009-02-13 13:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-11-20 16:31 . 2009-10-11 06:48	93952	----a-w-	c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-11-20 16:14 . 2009-04-23 10:17	--------	d-----w-	c:\programme\proDKV
2009-11-20 16:06 . 2009-02-13 12:38	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-18 04:31 . 2009-05-25 22:59	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Babylon
2009-11-18 04:30 . 2009-05-25 22:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon
2009-11-17 15:36 . 2009-06-27 11:53	--------	d-----w-	c:\programme\DHT
2009-11-05 21:15 . 2009-09-29 13:27	--------	d-----w-	c:\programme\Nokia
2009-11-05 21:15 . 2009-09-29 13:28	--------	d-----w-	c:\programme\Gemeinsame Dateien\Nokia
2009-11-04 22:59 . 2006-02-28 11:00	81316	----a-w-	c:\windows\system32\perfc007.dat
2009-11-04 22:59 . 2006-02-28 11:00	452554	----a-w-	c:\windows\system32\perfh007.dat
2009-11-04 19:55 . 2009-04-23 09:35	--------	d-----w-	c:\programme\Java
2009-11-04 02:43 . 2009-10-21 11:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache
2009-10-30 01:30 . 2009-09-29 13:29	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Nokia
2009-10-29 22:53 . 2009-04-23 10:01	--------	d-----w-	c:\programme\BONNDATA
2009-10-29 22:53 . 2009-06-27 12:09	--------	d-----w-	c:\programme\DHZ
2009-10-29 22:51 . 2009-06-27 11:57	--------	d-----w-	c:\programme\EUBogen_Uninstall
2009-10-29 22:51 . 2009-06-27 11:57	--------	d-----w-	c:\programme\EUBogen
2009-10-29 22:37 . 2009-06-27 11:13	--------	d-----w-	c:\programme\DWS Power Inside
2009-10-29 09:41 . 2009-02-13 14:18	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-10-28 22:11 . 2009-07-03 21:41	--------	d-----w-	c:\programme\PartyGaming
2009-10-28 22:05 . 2009-05-22 13:48	--------	d-----w-	c:\programme\Gemeinsame Dateien\Research In Motion
2009-10-25 01:42 . 2009-10-25 01:42	--------	d-----w-	c:\programme\Zealot Software
2009-10-24 23:19 . 2009-08-30 12:35	--------	d-----w-	c:\programme\Participatory Culture Foundation
2009-10-22 20:18 . 2009-10-22 20:23	24437624	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_de.exe
2009-10-21 11:56 . 2009-10-21 11:56	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Nokia Ovi Suite
2009-10-21 11:56 . 2009-09-29 13:29	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\PC Suite
2009-10-21 11:33 . 2009-10-21 11:33	12212040	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe
2009-10-21 11:33 . 2009-10-21 11:33	13930312	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe
2009-10-21 11:33 . 2009-10-21 11:33	61440	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMF11Runx86.exe
2009-10-21 11:33 . 2009-10-21 11:33	58880	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\WMF11Runx64.exe
2009-10-21 11:33 . 2009-10-21 11:33	50000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Installer\CommonCustomActions\pcswpc.exe
2009-10-21 11:19 . 2009-10-21 11:33	92597600	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OviInstallerCache\{F189FCA9-6147-49EE-A995-BE611281EE6E}\Nokia_Ovi_Suite_webinstaller(2).exe
2009-10-21 10:53 . 2009-07-14 02:06	--------	d-----w-	c:\programme\DivX
2009-10-21 10:52 . 2009-07-14 02:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-10-20 16:58 . 2009-10-06 13:02	454824	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-10-20 11:13 . 2009-10-20 11:13	--------	d-----w-	c:\programme\NSS
2009-10-19 22:33 . 2009-10-19 22:32	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\HpUpdate
2009-10-19 22:32 . 2009-02-13 12:41	--------	d-----w-	c:\programme\Hp
2009-10-19 13:37 . 2009-10-19 13:37	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-10-19 13:28 . 2009-10-19 13:28	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-10-19 13:28 . 2009-10-19 13:28	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-10-19 13:09 . 2009-10-19 13:09	3351812	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe
2009-10-19 13:09 . 2009-10-19 13:09	36864	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe
2009-10-19 13:09 . 2009-10-19 13:09	3203453	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe
2009-10-19 13:09 . 2009-09-29 13:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-10-19 13:09 . 2009-10-19 13:10	24402704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_1.8.10EN_US.exe
2009-10-19 13:07 . 2009-10-19 13:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nokia
2009-10-19 13:03 . 2009-10-06 11:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Nseries
2009-10-15 11:17 . 2009-02-13 14:13	95259	----a-w-	c:\windows\system32\drivers\klick.dat
2009-10-15 11:17 . 2009-02-13 14:13	108059	----a-w-	c:\windows\system32\drivers\klin.dat
2009-10-11 06:48 . 2009-02-13 12:37	8224	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-11 03:17 . 2009-04-23 09:36	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-08 13:57 . 2008-07-29 17:59	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2009-10-08 13:57 . 2006-02-28 11:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2009-10-08 13:57 . 2006-02-28 11:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2009-10-06 11:24 . 2009-10-06 11:23	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\o2 Communication Center
2009-10-06 10:44 . 2009-10-06 10:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NokiaMusic
2009-09-29 13:30 . 2009-09-29 13:30	0	---ha-w-	c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2009-09-29 13:30 . 2009-09-29 13:30	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2009-09-29 13:30 . 2009-09-29 13:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-09-29 13:28 . 2009-09-29 13:28	--------	d-----w-	c:\programme\DIFX
2009-09-29 13:27 . 2009-09-29 13:27	95232	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe
2009-09-29 13:27 . 2009-09-29 13:27	8192	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe
2009-09-29 13:27 . 2009-09-29 13:27	61440	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-09-29 13:27 . 2009-09-29 13:27	10240	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe
2009-09-29 13:26 . 2009-09-29 13:27	33816384	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_eng_us_web.exe
2009-09-28 22:30 . 2009-05-22 13:55	256	----a-w-	c:\windows\system32\pool.bin
2009-09-27 17:36 . 2009-09-27 17:36	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\InterVideo
2009-09-25 16:41 . 2009-09-25 16:41	856064	----a-w-	c:\windows\system32\divx_xx0c.dll
2009-09-25 16:41 . 2009-09-25 16:41	856064	----a-w-	c:\windows\system32\divx_xx07.dll
2009-09-25 16:41 . 2009-09-25 16:41	847872	----a-w-	c:\windows\system32\divx_xx0a.dll
2009-09-25 16:41 . 2009-09-25 16:41	843776	----a-w-	c:\windows\system32\divx_xx16.dll
2009-09-25 16:41 . 2009-09-25 16:41	839680	----a-w-	c:\windows\system32\divx_xx11.dll
2009-09-25 16:41 . 2009-09-25 16:41	696320	----a-w-	c:\windows\system32\DivX.dll
2009-09-11 14:17 . 2006-02-28 11:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2006-02-28 11:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2006-02-28 11:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-08-26 08:00 . 2006-02-28 11:00	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-09-25 16:41 . 2009-09-25 16:41	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2009-10-24 23:31	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-24 23:31	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-24 23:31	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

...

psie · 23.11.2009, 04:17

...

Code:

ATTFilter

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2007-08-30 205480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Skandia"="c:\programme\Skandia\mySkandia\mySkandiaCD -preload" [X]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"hpWirelessAssistant"="c:\programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1310720]
"picon"="c:\programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-06-02 367128]
"accrdsub"="c:\programme\ActivIdentity\ActivClient\accrdsub.exe" [2007-11-27 298536]
"PTHOSTTR"="c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2008-10-07 349488]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2008-09-23 24848]
"QlbCtrl.exe"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 177456]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-12-16 186904]
"WatchDog"="c:\programme\InterVideo\DVD Check\DVDCheck.exe" [2008-05-23 197904]
"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.Exe" [2008-06-18 82224]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-07-08 1044480]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-19 178712]
"lxdumon.exe"="c:\programme\Lexmark 5600-6600 Series\lxdumon.exe" [2008-09-10 676520]
"lxduamon"="c:\programme\Lexmark 5600-6600 Series\lxduamon.exe" [2008-09-10 16040]
"Lexmark 5600-6600 Series Fax Server"="c:\programme\Lexmark 5600-6600 Series\fm3032.exe" [2008-09-10 311976]
"coreworks"="c:\programme\HPQ\HP Connection Manager 1.1\bin\gbxapp.exe" [2008-06-12 780776]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" [2009-02-13 231952]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-11-27 16:41	109568	----a-w-	c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-11-27 16:40	286720	----a-w-	c:\programme\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-09-23 07:07	158992	----a-w-	c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk
backup=c:\windows\pss\DVD Check.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\lxducoms.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=

R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [01.10.2008 15:01 109216]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [01.10.2008 15:02 51408]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [01.10.2008 15:02 12960]
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28.03.2008 10:14 24064]
R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [01.10.2008 15:02 12528]
R2 accoca;ActivClient Middleware Service;c:\programme\ActivIdentity\ActivClient\accoca.exe [27.11.2007 17:42 185896]
R2 ARAGHSQL;ARAGHSQL;c:\arag\DB\ABACUS\fp\HsqlService.exe [18.09.2009 17:15 98304]
R2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [28.02.2006 12:00 14336]
R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [28.02.2006 12:00 14336]
R2 ATService;AuthenTec Fingerprint Service;c:\programme\Fingerprint Sensor\AtService.exe [03.10.2008 13:33 1185016]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\progra~1\Firebird\FIREBI~1\bin\fbguard.exe -s --> c:\progra~1\Firebird\FIREBI~1\bin\fbguard.exe -s [?]
R2 HpFkCryptService;Drive Encryption Service;c:\programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [01.10.2008 15:01 256544]
R2 lxdu_device;lxdu_device;c:\windows\system32\lxducoms.exe -service --> c:\windows\system32\lxducoms.exe -service [?]
R2 mdvsrv;HP Connection Manager Service;c:\programme\HPQ\HP Connection Manager 1.1\bin\mdvsrv.exe [12.06.2008 12:19 575976]
R2 QDLService;Qualcomm Gobi Download Service;c:\qualcomm\QDLService\QDLService.exe [09.06.2008 09:06 345336]
R2 SWIHPWMI;SWIHPWMI;c:\programme\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04.12.2006 15:13 292384]
R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe [13.02.2009 13:45 2058776]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [12.06.2008 14:40 479488]
R3 Com4QLBEx;Com4QLBEx;c:\programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [13.02.2009 13:59 222512]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\progra~1\Firebird\FIREBI~1\bin\fbserver.exe -s --> c:\progra~1\Firebird\FIREBI~1\bin\fbserver.exe -s [?]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [04.04.2007 19:16 41216]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 18:49 24344]
R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [13.02.2009 14:00 47616]
S2 lxduCATSCustConnectService;lxduCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxduserv.exe [26.05.2009 21:25 98984]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [27.03.2008 11:42 239760]
S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [25.05.2009 01:31 37120]
S3 HP ProtectTools Service;HP ProtectTools Service;c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe [07.10.2008 14:17 45056]
S3 MemWdm;MemWdm;c:\windows\system32\drivers\memwdm.sys [13.11.2009 04:17 27648]
S3 MMVSC;Virtual Smart Card Reader;c:\windows\system32\drivers\vpscr.sys [13.11.2009 04:17 15360]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [21.10.2009 12:34 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [21.10.2009 12:34 8320]
S3 QCFilterhp;HP USB Composite Device Filter Driver;c:\windows\system32\drivers\qcfilterhp.sys [19.06.2009 23:35 5248]
S3 qcusbnethp;HP USB-NDIS miniport;c:\windows\system32\drivers\qcusbnethp.sys [19.06.2009 23:35 112640]
S3 qcusbserhp;HP USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbserhp.sys [19.06.2009 23:27 103680]
S3 RoxMediaDB10;RoxMediaDB10;c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [23.06.2008 18:23 1112560]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance	REG_MULTI_SZ   	ASBroker ASChannel
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = www.google.com/search?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a6zjnd82.default\
FF - component: c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a6zjnd82.default\extensions\maps@ovi.com\plugins\npNMapG.dll
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)
AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-23 03:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\accrypto.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\programme\ActivIdentity\ActivClient\Resources\Localized\acerrmrc.dll
c:\programme\ActivIdentity\ActivClient\Resources\Localized\asphatrc.dll
c:\windows\system32\klogon.dll
c:\programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\programme\Hewlett-Packard\IAM\bin\itmsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\programme\Hewlett-Packard\IAM\bin\brand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\brand.dll
c:\programme\Hewlett-Packard\IAM\bin\DEU\itmsg.dll
c:\programme\Hewlett-Packard\IAM\Bin\AsChnl.dll
c:\programme\Hewlett-Packard\IAM\Bin\HPPlugIn.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHostServices.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\PTStrings.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\de\PTStrings.resources.dll
c:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
c:\windows\assembly\GAC_MSIL\System.Xml.resources\2.0.0.0_de_b77a5c561934e089\System.Xml.resources.dll
c:\programme\Hewlett-Packard\HP ProtectTools Security Manager\Interop.HPQWMIEXLib.dll
c:\programme\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\windows\system32\aicext.dll
c:\programme\ActivIdentity\ActivClient\Resources\Localized\aipinguirc.dll
c:\programme\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\programme\ActivIdentity\ActivClient\Resources\Localized\acunlockrc.dll

- - - - - - - > 'explorer.exe'(696)
c:\windows\system32\APSHook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\ActivIdentity\ActivClient\acevents.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\progra~1\Firebird\FIREBI~1\bin\fbguard.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Intel\AMT\LMS.exe
c:\windows\system32\lxducoms.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\programme\Hewlett-Packard\IAM\Bin\AsGHost.exe
c:\windows\system32\rundll32.exe
c:\programme\Lexmark 5600-6600 Series\lxduMsdMon.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\programme\ActivIdentity\ActivClient\acevents.exe
c:\programme\hpq\hp connection manager 1.1\bin\gbx4log.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\progra~1\Firebird\FIREBI~1\bin\fbserver.exe
c:\windows\system32\wscntfy.exe
c:\programme\Hewlett-Packard\Shared\hpqToaster.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-23 04:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-11-23 03:01

Vor Suchlauf: 19 Verzeichnis(se), 12.026.687.488 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 11.922.882.560 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - F76220B3D323152DC091DE35D3C60708

Was kann man denn hieraus alles so erkennen? Ist der Laptop, bzw. war er Infiziert? Ggf. mit welchem Virus, Trojaner oder Rootkit?

Gruß

Tarik

cosinus · 23.11.2009, 12:21

Rootkitbefall seh ich nicht, keine Anzeichen. Wie ist es um das Notebook nun bestellt? Wie sieht Dein Backup-Konzept nun aus?

psie · 24.11.2009, 07:49

Hey,

also Laptop hat erst gestern Abend wieder Intrusions gemeldet

. So ca. alle 3 Std. kommt eine Meldung. Geflackert hat der Bildschrim nur noch einmal, aber die Verbindung ist nachdem die Medlung kommt für ca. 30 Sec. nicht mehr nutzbar. Das äußert sich darin, dass wenn ich ne Webadresse eingebe ich die Medung bekomme, dass ich nicht connected bin oder die Adresse nicht verfügbat sei... Dann warte ich kurz oder versuch es nochmal und dann klappt es wieder. Bin ich aber immer noch. Noch eine zusätzliche Info, ich gebe über UMTS ins Netz, aber ich denke mal, dass macht nicht wirklich n Unterschied.
In meinen Firewall-Regeln habe ich die Folgende gefunden, glaube aber die ist ok so, da es sich um nen vnc client handelt. Aber wieso steckt der in einem "TEMP" Verzeichnis?

Code:

ATTFilter

[winvnc.exe]
App=C:\DOKUMENTE UND EINSTELLUNGEN\GeVaS AD\LOKALE EINSTELLUNGEN\Temp\7zS60.tmp\winvnc.exe
CommandLine=
UseCommandLine=0
Name=Jede TCP-Aktivität mit dieser Adresse erlauben
Enable=1
Allow=1
Log=0
Warning=0
Protocol=TCP
Direction=InboundOutbound
RemoteAddress=212.65.1.169

Name=Jede UDP-Aktivität mit dieser Adresse erlauben
Enable=1
Allow=1
Log=0
Warning=0
Protocol=UDP
Direction=InboundOutbound
RemoteAddress=212.65.1.169

Backup werde ich CloneZilla verwenden...

Allerdings gibt es ein Image bei Uns in der Zentrale so, das dass ganze System im Ausgangszustand ist. Heißt für mich allerdings einschicken und locker 1 Woche ohne Laptop und so versuche ich das so zu Managen.

Denkst du, dass meine Daten aktuell ausgepäht werden? Passwörter im PW-Manager z.B? Oder PW die ich eingebe? Ich hatte noch nie so nervige Warnungen... Was ist denn jetzt die Beste vorgehensweise? Kann ich da selbst noch was tun, oder muss ich das gute Stück einschicken?

Also das mit Windoof ist ja echt verflixt

. Mit meinem Ubuntu gibts so Probleme net...

Vielen Dank für deine Hilfe

Gruß

Tarik

cosinus · 24.11.2009, 08:30

Zitat:

also Laptop hat erst gestern Abend wieder Intrusions gemeldet

Die "Angriffe" stammen aber nicht vom Notebook, sondern aus dem Internet. Sofern es wirklich Angriffe sind, PFWs, also die Firewall der Internet Security Suites neigen dazu häufig jeden "Netzhuster" anzuzeigen und verunsichern gerade Laien damit. Du kommst eh nicht drum herum Windows und Programme zu aktualisieren, daher sind die gemeldeten Sachen harmlos. Stell die Firewall besser ein, zB dass solche Sachen nur Protokolliert werden und Du die nicht siehst oder verzichte auf sie und nimm die Windows-Firewall.

Zitat:

In meinen Firewall-Regeln habe ich die Folgende gefunden, glaube aber die ist ok so, da es sich um nen vnc client handelt. Aber wieso steckt der in einem "TEMP" Verzeichnis?

Nein WinVNC ist der Server! VNCviewer wäre der Client, d.h. rein theoretisch könnte man Dein Rechner fernsteuern. Hast Du die dahin mal entpackt? Habs schon ewig nicht mehr gesehen, dass Malwareautoren WinVNC verwenden und dann offensichtlich in einem Temppfad legen...ist die WinVNC da überhaupt noch oder ist nur die Firewall-Regel selber vorhanden?
Leer mal bitte alle Temppfade mit dem CCleaner und überprüfe ob das dann auch weg ist.

Zitat:

Allerdings gibt es ein Image bei Uns in der Zentrale so, das dass ganze System im Ausgangszustand ist.

Ist das garnicht DEIN Notebook, sondern gehört der Firma?

psie · 24.11.2009, 21:29

Hey,

also das die Angriffe nicht vom Notebook stammen ist mir schon klar. Aber allerdings bekomme ich diese Meldungen erst seit ein Paar Wochen. Das Notebook habe ich allerdings schon seit einem Jahr. Ich werde jetzt allerdings, wie von dir empfohlen erst mal die Windows Firewall nutzen und mal schauen was dann passiert.

WinVNC liegt nicht mehr in dem "Temp" Verzeichnis sondern es ist wirklich nur noch die Regel vorhanden, allerdings kann ich mich nicht erinnern das ganze dort installiert zu, bzw. überhaupt! Das ganze wundert mich schon... Besonders da ich meine ganzen Firewallregeln vor 4 Tagen gelöscht habe. Und nur noch Regeln einzeln bestätigt habe um die Verbindungen zu zulassen, bzw. um dann Regeln zu erstellen.

Ich habe den Laptop geleast. Ist also rein rechtlich nicht meiner. Allerdings darf ich damit so alles machen was ich will...

Gruß

Tarik

19.11.2009, 19:53	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert Kannst Du die Logs bitte woanders hochladen? Bei rapidshare als Free-User brauchts ewig bis man sich das laden darf Es gibt hier im TB auch eine Anhangsfunktion. Besser als rapidshare finde ich aber file-upload.net. __________________ __________________

20.11.2009, 11:09	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert Ist das zufällig ein Bürorechner? Ich seh da rel. viel versicherungsrelevante Software drauf oder nutzt Du den PC nur privat für Deine Angelegenheiten wie Versicherung und so? __________________ Logfiles bitte immer in CODE-Tags posten

23.11.2009, 12:21	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert Rootkitbefall seh ich nicht, keine Anzeichen. Wie ist es um das Notebook nun bestellt? Wie sieht Dein Backup-Konzept nun aus? __________________ Logfiles bitte immer in CODE-Tags posten

Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert

Antiviren-, Firewall- und andere Schutzprogramme: Intrustion Detection Alarm von Kaspersky --> Bildschirm Flackert