| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwszWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.01.2010, 21:31
| #1 |
 |  Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Moin, zunächst schon einmal herzlichen Dank an denjenigen, der sich meines Problems annimmt. Was habe ich getan und was ist passiert: 1. Wahrscheinliche Virenübertragung: Eine Unachtsamkeit in einem Skype-Meeting wurde zum Verhängnis. Der angeklickte Link installierte mir wohl den TR/Spy.Gen ! 2. Da ich daraufhin Probleme mit der Skype Software bekommen habe, habe ich sofort Anti Vir im Vollcheck laufen lassen und er fand den TR/Spy.Gen und TR/Crypt.Xpack.Gen 3. Neustart des Rechners 4. SuperAntiSpyware (alte Version) hinterherlaufen lassen Dieser konnte sich nicht Aktualisieren und fand so auch nichts weiteres. 5. Daraufhin dachte ich, puhh drumrum gekommen, wollte aber sichergehen und laß mich in diesem Forum schlau. 6. Woraufhin ich das Aktuelle Pack 3 installierte, weil ich hier gelesen habe, es würde Sicherheitslücken schließen. 7. SuperAntiSpyware neueste Version runtergeladen, aktualisiert und noch mal laufen lassen. Er fand 8 Infizierte Registry Einträge und 1 befallenes File. Protokoll ist angehängt. 8. Daraufhin auch noch Avira Anti Vir neueste Version 9 runtergezogen und aktualisiert. Er war soeben fertig, schon hagelte es neue Virenwarnungen: TR/Dropper.Gen TR/Buzus.cwsz Letzterer wird mir jetzt im 3 Sekundentakt angezeigt und egal ob dieser in Quarantäne verschoben oder gelöscht wird, 3 Sekunden später ist Antivir wieder mit einer Meldung zur Stelle. TR/Buzus.cwsz hat sich in der Datei C:\windows\systems32\wmispjr.exe festgebissen ! 9. HiJackThis neueste Version runtergeladen und laufen lassen. Dieses funktioniere erst nach Anwendung des Tricks Umbenennung der Datei in test.com! Protokoll hängt an. 10. CCleaner neueste Version runtergeladen und laufen lassen 11. Malwarebytes Anti-Malware 1.43 aktuellste Version runtergeladen und installiert. Programm läuft nicht, öffnet sich für ca. 0,1 Sekunden und verschwindet wieder. In keiner Prozessliste zu finden !i 12. Neustart Nun wird der agressive TR/Buzus von AntiVir nicht mehr (sofort) angezeigt. Problem mit Malwarebytes aber nicht behoben. 13. RSIT runtergeladen und laufen lassen. Die Beiden Protokolle Log und Info sind angehängt. 14. Auf Hilfe warten Falls weitere Fragen offen sind, immer stellen, ich werde mich bemühen diese schnell zu beantworten. PROTOKOLLE SuperAntiSpyware SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/03/2010 at 02:18 PM Application Version : 4.32.1000 Core Rules Database Version : 4441 Trace Rules Database Version: 2265 Scan type : Complete Scan Total Scan Time : 02:56:30 Memory items scanned : 442 Memory threats detected : 0 Registry items scanned : 4874 Registry threats detected : 8 File items scanned : 115080 File threats detected : 1 Trojan.Agent/Gen HKLM\System\ControlSet001\Services\kpllvajf C:\WINDOWS\SYSTEM32\DRIVERS\KPLLVAJF.SYS HKLM\System\ControlSet001\Enum\Root\LEGACY_kpllvajf HKLM\System\ControlSet002\Services\kpllvajf HKLM\System\ControlSet002\Enum\Root\LEGACY_kpllvajf HKLM\System\ControlSet003\Services\kpllvajf HKLM\System\ControlSet003\Enum\Root\LEGACY_kpllvajf HKLM\System\CurrentControlSet\Services\kpllvajf HKLM\System\CurrentControlSet\Enum\Root\LEGACY_kpllvajf HiJackThis Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 14:57:46, on 04.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\gtwatch.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\twain_32\S6U12K\WATCH.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe c:\programme\avira\antivir desktop\avcenter.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Programme\HiJackThis\TrendMicro\HiJackThis\Test.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.web.de/home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**t://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**t://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**t://go.web.de/suchbox/webdesuche?su=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von WEB.DE GmbH R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O1 - Hosts: 209.85.129.99 msnfix.changelog.fr O1 - Hosts: 209.85.129.99 www.incodesolutions.com O1 - Hosts: 209.85.129.99 virusinfo.prevx.com O1 - Hosts: 209.85.129.99 download.bleepingcomputer.com O1 - Hosts: 209.85.129.99 www.dazhizhu.cn O1 - Hosts: 209.85.129.99 foro.noticias3d.com O1 - Hosts: 209.85.129.99 www.spybotupdates.com O1 - Hosts: 209.85.129.99 club.myce.com O1 - Hosts: 209.85.129.99 www.nabble.com O1 - Hosts: 209.85.129.99 lurker.clamav.net O1 - Hosts: 209.85.129.99 lexikon.ikarus.at O1 - Hosts: 209.85.129.99 research.sunbelt-software.com O1 - Hosts: 209.85.129.99 www.virusdoctor.jp O1 - Hosts: 209.85.129.99 www.elitepvpers.de O1 - Hosts: 209.85.129.99 guru.avg.com O1 - Hosts: 209.85.129.99 downloads.sophos.com O1 - Hosts: 209.85.129.99 share.skype.com O1 - Hosts: 209.85.129.99 www.superuser.co.kr O1 - Hosts: 209.85.129.99 ntfaq.co.kr O1 - Hosts: 209.85.129.99 v.dreamwiz.com O1 - Hosts: 209.85.129.99 cit.kookmin.ac.kr O1 - Hosts: 209.85.129.99 forums.whatthetech.com O1 - Hosts: 209.85.129.99 forum.hijackthis.de O1 - Hosts: 209.85.129.99 avg.vo.llnwd.net O1 - Hosts: 209.85.129.99 ftp.drweb.com O1 - Hosts: 209.85.129.99 www.zonealarm.com O1 - Hosts: 209.85.129.99 smadaver.com O1 - Hosts: 209.85.129.99 www.huaifai.go.th O1 - Hosts: 209.85.129.99 www.mostz.com O1 - Hosts: 209.85.129.99 www.krupunmai.com O1 - Hosts: 209.85.129.99 www.cddchiangmai.net O1 - Hosts: 209.85.129.99 forum.malekal.com O1 - Hosts: 209.85.129.99 tech.pantip.com O1 - Hosts: 209.85.129.99 sapcupgrades.com O1 - Hosts: 209.85.129.99 www.elguruinformatico.com O1 - Hosts: 209.85.129.99 forums.avg.com O1 - Hosts: 209.85.129.99 zastita.com O1 - Hosts: 209.85.129.99 www.247fixes.com O1 - Hosts: 209.85.129.99 forum.sysinternals.com O1 - Hosts: 209.85.129.99 forum.telecharger.01net.com O1 - Hosts: 209.85.129.99 sophos.com O1 - Hosts: 209.85.129.99 foros.softonic.com O1 - Hosts: 209.85.129.99 avast-home.uptodown.com O1 - Hosts: 209.85.129.99 dr-web-cureit.softonic.com O1 - Hosts: 209.85.129.99 heavenward.ru O1 - Hosts: 209.85.129.99 forum.smadav.net O1 - Hosts: 209.85.129.99 www.f-secure.com O1 - Hosts: 209.85.129.99 www.chkrootkit.org O1 - Hosts: 209.85.129.99 diamondcs.com.au O1 - Hosts: 209.85.129.99 www.rootkit.nl O1 - Hosts: 209.85.129.99 www.sysinternals.com O1 - Hosts: 209.85.129.99 z-oleg.com O1 - Hosts: 209.85.129.99 espanol.dir.groups.yahoo.com O1 - Hosts: 209.85.129.99 ftp01net.telechargement.fr O1 - Hosts: 209.85.129.99 modelayu.com O1 - Hosts: 209.85.129.99 www.castlecrops.com O1 - Hosts: 209.85.129.99 www.misec.net O1 - Hosts: 209.85.129.99 safecomputing.umn.edu O1 - Hosts: 209.85.129.99 www.antirootkit.com O1 - Hosts: 209.85.129.99 www.greatis.com O1 - Hosts: 209.85.129.99 ar.answers.yahoo.com O1 - Hosts: 209.85.129.99 www.elhacker.org O1 - Hosts: 209.85.129.99 research.pandasecurity.com O1 - Hosts: 209.85.129.99 www.tpu.ro O1 - Hosts: 209.85.129.99 www.rootkit.com O1 - Hosts: 209.85.129.99 www.pctools.com O1 - Hosts: 209.85.129.99 www.pcsupportadvisor.com O1 - Hosts: 209.85.129.99 www.resplendence.com O1 - Hosts: 209.85.129.99 www.personal.psu.edu O1 - Hosts: 209.85.129.99 foro.ethek.com O1 - Hosts: 209.85.129.99 foro.elhacker.net O1 - Hosts: 209.85.129.99 download.zonealarm.com O1 - Hosts: 209.85.129.99 spywarehammer.com O1 - Hosts: 209.85.129.99 vil.nail.com O1 - Hosts: 209.85.129.99 search.mcafee.com O1 - Hosts: 209.85.129.99 wwww.mcafee.com O1 - Hosts: 209.85.129.99 download.nai.com O1 - Hosts: 209.85.129.99 wwww.experts-exchange.com O1 - Hosts: 209.85.129.99 www.bakunos.com O1 - Hosts: 209.85.129.99 www.darkclockers.com O1 - Hosts: 209.85.129.99 www2.gmer.net O1 - Hosts: 209.85.129.99 ariefew.com O1 - Hosts: 209.85.129.99 www.emsisoft.com O1 - Hosts: 209.85.129.99 www.Merijn.org O1 - Hosts: 209.85.129.99 www.spywareinfo.com O1 - Hosts: 209.85.129.99 www.spybot.info O1 - Hosts: 209.85.129.99 www.viruslist.com O1 - Hosts: 209.85.129.99 www.hijackthis.de O1 - Hosts: 209.85.129.99 ftp.f-secure.com O1 - Hosts: 209.85.129.99 forum.kaspersky.com O1 - Hosts: 209.85.129.99 es.trendmicro-europe.com O1 - Hosts: 209.85.129.99 www.hvaonline.net O1 - Hosts: 209.85.129.99 majorgeeks.com O1 - Hosts: 209.85.129.99 www.avp.com O1 - Hosts: 209.85.129.99 www.virustotal.com O1 - Hosts: 209.85.129.99 www.sophos.com O1 - Hosts: 209.85.129.99 linhadefensiva.uol.com.br O1 - Hosts: 209.85.129.99 cmmings.cn O1 - Hosts: 209.85.129.99 www.sergiwa.com O1 - Hosts: 209.85.129.99 www.el-hacker.com O1 - Hosts: 209.85.129.99 dl2.agnitum.com O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**t://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**t://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ts://finanzcenter.sparkasse-bremen.de/_plugin/AXFOAM.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**t://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135930646222 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**t://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - h**t://support.f-secure.com/ols3/fscax.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**t://ax.emsisoft.com/asquared.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ts://secure.logmein.com/activex/ractrl.cab?lmi=100 O17 - HKLM\System\CCS\Services\Tcpip\..\{4C17DCC4-9ED7-4820-A905-DDE115EB2CA0}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe -- End of file - 12272 bytes RSIT - LOG Logfile of random's system information tool 1.06 (written by random/random) Run by Mustermann at 2010-01-04 15:55:39 Microsoft Windows XP Professional Service Pack 3 System drive C: has 352 MB (3%) free of 12 GB Total RAM: 511 MB (50% free) HijackThis download failed ======Scheduled tasks folder====== C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2008-12-09 958200] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-12-10 7311360] "nwiz"=nwiz.exe /install [] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2005-12-10 86016] "WinampAgent"=C:\Programme\Winamp\winampa.exe [2006-03-10 35328] "WINDVDPatch"=C:\WINDOWS\system32\CTHELPER.EXE [2002-07-02 24576] "UpdReg"=C:\WINDOWS\UpdReg.EXE [2000-05-11 90112] "Jet Detection"=C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe [2001-11-29 28672] "Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344] "Gtwatch"=C:\WINDOWS\gtwatch.exe [2000-11-13 28672] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "Skype"=C:\Programme\Skype\Phone\Skype.exe [2009-04-16 24264488] "ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-11-16 172792] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE Watch.lnk - C:\WINDOWS\twain_32\S6U12K\WATCH.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2009-09-03 548352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "D:\Games\Starcraft\StarCraft.exe"="D:\Games\Starcraft\StarCraft.exe:*:Enabled:Starcraft" "D:\Games\MOHAA\MOHAA.exe"="D:\Games\MOHAA\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault(tm)" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\WINDOWS\system32\wmispjr.exe"="C:\WINDOWS\system32\wmispjr.exe:*:Enabled:UPnP Firewall" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\WINDOWS\system32\wmispjr.exe"="C:\WINDOWS\system32\wmispjr.exe:*:Enabled:UPnP Firewall" ======List of files/folders created in the last 1 months====== 2010-01-04 15:55:40 ----D---- C:\Programme\trend micro 2010-01-04 15:55:39 ----D---- C:\rsit 2010-01-04 15:44:47 ----A---- C:\WINDOWS\{00000000-00000000-0000000D-00001102-00000002-00201102}.BAK 2010-01-04 15:36:56 ----D---- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Malwarebytes 2010-01-04 15:36:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-04 15:36:45 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-01-04 15:14:07 ----D---- C:\Programme\CCleaner 2010-01-04 14:53:21 ----D---- C:\Programme\HiJackThis 2010-01-04 14:31:30 ----D---- C:\Programme\Avira 2010-01-04 14:31:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2010-01-02 18:10:42 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$ 2010-01-02 18:10:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$ 2010-01-02 18:10:13 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$ 2010-01-02 17:29:51 ----D---- C:\WINDOWS\Prefetch 2010-01-02 17:25:01 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$ 2010-01-02 17:24:52 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$ 2010-01-02 17:24:40 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$ 2010-01-02 17:24:26 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$ 2010-01-02 17:24:09 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$ 2010-01-02 17:23:46 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$ 2010-01-02 17:23:30 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$ 2010-01-02 17:23:18 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$ 2010-01-02 17:23:08 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$ 2010-01-02 17:22:52 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$ 2010-01-02 17:22:35 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$ 2010-01-02 17:22:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$ 2010-01-02 17:21:44 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$ 2010-01-02 17:21:22 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2010-01-02 17:21:09 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$ 2010-01-02 17:20:52 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$ 2010-01-02 17:20:26 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$ 2010-01-02 17:20:14 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$ 2010-01-02 17:20:00 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$ 2010-01-02 17:19:37 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$ 2010-01-02 17:19:24 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$ 2010-01-02 17:19:06 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$ 2010-01-02 17:18:46 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$ 2010-01-02 17:18:30 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$ 2010-01-02 17:18:20 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$ 2010-01-02 17:18:10 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ 2010-01-02 17:17:59 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$ 2010-01-02 17:17:48 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$ 2010-01-02 17:17:31 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$ 2010-01-02 17:17:23 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$ 2010-01-02 17:17:10 ----HDC---- C:\WINDOWS\$NtUninstallKB958690$ 2010-01-02 17:17:00 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$ 2010-01-02 17:16:51 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$ 2010-01-02 17:16:37 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$ 2010-01-02 17:16:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$ 2010-01-02 17:16:19 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$ 2010-01-02 17:16:05 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$ 2010-01-02 17:15:49 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$ 2010-01-02 17:15:23 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$ 2010-01-02 17:14:52 ----HDC---- C:\WINDOWS\$NtUninstallKB973687_1$ 2010-01-02 17:14:34 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$ 2010-01-02 17:14:17 ----HDC---- C:\WINDOWS\$NtUninstallKB974112_1$ 2010-01-02 17:14:04 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$ 2010-01-02 17:13:54 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$ 2010-01-02 17:13:43 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$ 2010-01-02 17:13:31 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$ 2010-01-02 17:13:21 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$ 2010-01-02 17:13:10 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$ 2010-01-02 17:13:00 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$ 2010-01-02 17:12:49 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$ 2010-01-02 17:12:39 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$ 2010-01-02 17:12:30 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$ 2010-01-02 17:12:17 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$ 2010-01-02 17:12:10 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$ 2010-01-02 17:11:57 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$ 2010-01-02 17:06:11 ----D---- C:\WINDOWS\system32\de 2010-01-02 17:06:11 ----D---- C:\WINDOWS\l2schemas 2010-01-02 17:06:10 ----D---- C:\WINDOWS\system32\bits 2010-01-02 16:55:09 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2010-01-01 16:48:03 ----RSH---- C:\WINDOWS\system32\wmispjr.exe 2009-12-13 19:18:38 ----HDC---- C:\WINDOWS\$NtUninstallKB970430_0$ 2009-12-13 19:18:27 ----HDC---- C:\WINDOWS\$NtUninstallKB974318_0$ 2009-12-13 19:17:43 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$ 2009-12-13 19:17:32 ----HDC---- C:\WINDOWS\$NtUninstallKB974392_0$ 2009-12-13 19:17:15 ----HDC---- C:\WINDOWS\$NtUninstallKB971737_0$ ======List of files/folders modified in the last 1 months====== 2010-01-04 15:55:40 ----RD---- C:\Programme 2010-01-04 15:52:00 ----D---- C:\Programme\Mozilla Firefox 2010-01-04 15:47:13 ----AD---- C:\WINDOWS\Temp 2010-01-04 15:46:20 ----D---- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Skype 2010-01-04 15:45:21 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-04 15:45:07 ----D---- C:\WINDOWS 2010-01-04 15:43:23 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-04 15:36:51 ----D---- C:\WINDOWS\system32\drivers 2010-01-04 15:14:31 ----D---- C:\WINDOWS\Debug 2010-01-04 14:54:30 ----SHD---- C:\WINDOWS\Installer 2010-01-04 14:31:47 ----HD---- C:\WINDOWS\inf 2010-01-04 14:29:58 ----D---- C:\WINDOWS\WinSxS 2010-01-04 14:29:56 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2010-01-04 14:06:33 ----D---- C:\WINDOWS\system32 2010-01-03 15:05:01 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-01-03 11:12:21 ----D---- C:\Programme\SUPERAntiSpyware 2010-01-03 11:11:43 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2010-01-03 11:00:16 ----D---- C:\aaa 2010-01-02 18:10:44 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-01-02 18:10:39 ----D---- C:\WINDOWS\system32\CatRoot 2010-01-02 18:10:25 ----HD---- C:\WINDOWS\$hf_mig$ 2010-01-02 17:29:25 ----D---- C:\WINDOWS\system32\wbem 2010-01-02 17:29:25 ----D---- C:\WINDOWS\system32\Setup 2010-01-02 17:29:25 ----D---- C:\WINDOWS\AppPatch 2010-01-02 17:29:24 ----RSD---- C:\WINDOWS\Fonts 2010-01-02 17:22:38 ----D---- C:\Programme\Outlook Express 2010-01-02 17:17:38 ----D---- C:\WINDOWS\security 2010-01-02 17:12:20 ----D---- C:\Programme\Messenger 2010-01-02 17:07:18 ----D---- C:\Programme\Windows Media Player 2010-01-02 17:07:12 ----D---- C:\WINDOWS\Help 2010-01-02 17:06:47 ----D---- C:\WINDOWS\ehome 2010-01-02 17:06:44 ----D---- C:\WINDOWS\system32\inetsrv 2010-01-02 17:06:42 ----D---- C:\WINDOWS\network diagnostic 2010-01-02 17:06:39 ----D---- C:\WINDOWS\ime 2010-01-02 17:06:12 ----D---- C:\WINDOWS\system32\usmt 2010-01-02 17:06:12 ----D---- C:\WINDOWS\system32\de-DE 2010-01-02 17:06:11 ----D---- C:\Programme\Internet Explorer 2010-01-02 17:06:10 ----D---- C:\WINDOWS\PeerNet 2010-01-02 17:06:10 ----D---- C:\Programme\Movie Maker 2010-01-02 17:03:09 ----D---- C:\WINDOWS\ServicePackFiles 2010-01-02 17:02:58 ----D---- C:\WINDOWS\system32\Restore 2010-01-02 17:02:58 ----D---- C:\WINDOWS\system32\npp 2010-01-02 17:02:57 ----D---- C:\WINDOWS\msagent 2010-01-02 17:02:56 ----D---- C:\WINDOWS\srchasst 2010-01-02 17:02:56 ----D---- C:\Programme\NetMeeting 2010-01-02 17:02:55 ----D---- C:\WINDOWS\system32\Com 2010-01-02 17:02:53 ----D---- C:\Programme\Windows NT 2010-01-02 17:02:46 ----D---- C:\Programme\Gemeinsame Dateien\System 2010-01-02 17:02:27 ----D---- C:\WINDOWS\system32\oobe 2010-01-02 17:02:26 ----D---- C:\WINDOWS\system 2010-01-02 16:59:45 ----D---- C:\WINDOWS\system32\ReinstallBackups 2010-01-01 16:54:55 ----D---- C:\Programme\ICQ6.5 2010-01-01 16:12:10 ----D---- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\skypePM ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568] R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\System32\drivers\ctac32k.sys [2002-07-19 127948] R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2002-07-19 837548] R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\System32\drivers\ctprxy2k.sys [2002-07-19 11068] R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\System32\drivers\ctsfm2k.sys [2002-07-19 213860] R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\System32\drivers\emupia2k.sys [2002-07-19 156604] R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416] R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2002-07-24 998004] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-12-10 3536768] R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2002-07-19 195432] R3 rtl8029;NT-Treiber für Realtek RTL8029(AS)-basierter PCI-Ethernetadapter; C:\WINDOWS\system32\DRIVERS\RTL8029.SYS [2001-08-17 19017] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] S3 bwovvxrl;bwovvxrl; \??\C:\WINDOWS\System32\Drivers\bwovvxrl.sys [] S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader; C:\WINDOWS\system32\DRIVERS\TwkUsb2K.sys [2005-09-19 35275] S3 ctljystk;Creative SBLive!-Gameport; C:\WINDOWS\system32\DRIVERS\ctljystk.sys [2001-08-17 3712] S3 emu10k;Creative SB Live! (WDM); C:\WINDOWS\system32\drivers\emu10k1m.sys [2001-08-17 283904] S3 GT680x;Grand Tech GT680x NT; C:\WINDOWS\system32\DRIVERS\GT680x.SYS [2001-05-29 17012] S3 PDNMp50;PDNMp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNMp50.sys [] S3 PDNSp50;PDNSp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNSp50.sys [] S3 scelvdfo;scelvdfo; \??\C:\WINDOWS\System32\Drivers\scelvdfo.sys [] S3 sfman;Creative-SoundFont-Verwaltungstreiber (WDM); C:\WINDOWS\system32\drivers\sfmanm.sys [2001-08-17 36480] S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader; C:\WINDOWS\system32\DRIVERS\TWKSER2K.sys [2004-08-25 185611] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-10-19 222456] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-12-10 131139] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe [2005-08-17 118272] -----------------EOF----------------- RSIT - INFO info.txt logfile of random's system information tool 1.06 2010-01-04 15:55:43 ======Uninstall list====== -->C:\Programme\Creative\SBLive\Program\Ctzapxx.EXE /X /U /S /L:GER -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x7 /remove -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B} Alice-Installationsdateien entfernen-->C:\Programme\Gemeinsame Dateien\Alice\uninst.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE BearPaw 1200CU v1.2-->C:\WINDOWS\TWAIN_32\S6U12K\UNINST.EXE BrettspielWelt-->"C:\Programme\Brettspielwelt\BSW\uninstall.exe" CCleaner-->"C:\Programme\CCleaner\uninst.exe" CHIPDRIVE extern/intern/micro treiber 3.1-->MsiExec.exe /I{AA898D01-D4E3-43C6-8E25-70CA660B9F16} CleanUp!-->C:\Programme\CleanUp!\uninstall.exe DDBAC-->MsiExec.exe /I{C4252C39-E9EA-4111-9E34-EFC3CC678819} Google Earth-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7 -removeonly Heroes of Might and Magic II-->C:\WINDOWS\uninst.exe -f"C:\Program Files\Heroes2\DeIsL1.isu" HijackThis 1.99.1-->D:\DATEN\Programme\HijackThis.exe /uninstall HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A} Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110} J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} J2SE Runtime Environment 5.0 Update 9-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090} Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Kaspersky Online Scanner-->C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe Magic Suitcase-->C:\Programme\Magic Suitcase\Uninst.exe C:\Programme\Magic Suitcase\Uninst.log Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Medal of Honor Allied Assault-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DEA94ED-915A-4834-A87E-388D012C8E02}\Setup.exe" -l0x7 Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office Visio Professional 2003-->MsiExec.exe /I{90510409-6000-11D3-8CFE-0150048383C9} Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI Panda ActiveScan-->C:\WINDOWS\system32\ASUninst.exe Panda ActiveScan PartyPokerNet-->"C:\Programme\PartyGaming.Net\PartyPokerNet\Uninstall.exe" "C:\Programme\PartyGaming.Net\PartyPokerNet\install.log" Railroad Tycoon II-->C:\WINDOWS\unin0407.exe -fd:\games\railroadtycoon2\DeIsL1.isu -cd:\games\railroadtycoon2\_ISREG32.DLL Roll Or Don't-->"C:\Programme\Roll Or Don't\UninstallerData\Uninstall RollOrDont.exe" Serious Sam: The First Encounter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{815050E5-F545-11D4-9569-004095812ACC}\Setup.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)-->"C:\WINDOWS\ie8updates\KB974455-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)-->"C:\WINDOWS\ie8updates\KB976325-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D} Sound Blaster Live! Web 2K/XP-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FCAADB8-EB1B-11D6-AB2D-0090271A23A2}\Setup.exe" -l0x7 Starcraft-->C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat StarMoney 3.0 - Die Sparkasse Bremen-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\StarMoney 3\Uninst.isu" -c"C:\Programme\StarMoney 3\deinst.dll" SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} Theme Hospital-->C:\WINDOWS\unin0407.exe -f"C:\Program Files\Hospital\DeIsL1.isu" Total Commander (Remove or Repair)-->C:\Programme\totalcmd\tcuninst.exe TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926} Turbo Lister 2-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548} Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe" Update für Windows Internet Explorer 8 (KB976749)-->"C:\WINDOWS\ie8updates\KB976749-IE8\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" Weight Watchers MP5 2.0-->"C:\Programme\Weight Watchers MP5\UninstallerData\Uninstall Weight Watchers MP5 2.0.exe" Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe" Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91} Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe ======Hosts File====== 209.85.129.99 msnfix.changelog.fr 209.85.129.99 www.incodesolutions.com 209.85.129.99 virusinfo.prevx.com 209.85.129.99 download.bleepingcomputer.com 209.85.129.99 www.dazhizhu.cn 209.85.129.99 foro.noticias3d.com 209.85.129.99 www.spybotupdates.com 209.85.129.99 club.myce.com 209.85.129.99 www.nabble.com 209.85.129.99 lurker.clamav.net ======Security center information====== AV: Avira AntiVir PersonalEdition Classic (outdated) AV: AntiVir Desktop (disabled) (outdated) AV: Avira AntiVir PersonalEdition Classic AV: Avira AntiVir PersonalEdition Classic ======System event log====== Computer Name: MustermannILEIN Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D. Record Number: 62091 Source Name: Disk Time Written: 20091117153424.000000+060 Event Type: Fehler User: Computer Name: MustermannILEIN Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D. Record Number: 62090 Source Name: Disk Time Written: 20091117153424.000000+060 Event Type: Fehler User: Computer Name: MustermannILEIN Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D. Record Number: 62089 Source Name: Disk Time Written: 20091117153424.000000+060 Event Type: Fehler User: Computer Name: MustermannILEIN Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D. Record Number: 62088 Source Name: Disk Time Written: 20091117153424.000000+060 Event Type: Fehler User: Computer Name: MustermannILEIN Event Code: 7 Message: Fehlerhafter Block bei Gerät \Device\Harddisk3\D. Record Number: 62087 Source Name: Disk Time Written: 20091117153424.000000+060 Event Type: Fehler User: =====Application event log===== Computer Name: MustermannILEIN Event Code: 1005 Message: Der Benutzer hat den Endbenutzer-Lizenzvertrag abgelehnt. Record Number: 7780 Source Name: WgaSetup Time Written: 20090726221158.000000+120 Event Type: Informationen User: Computer Name: MustermannILEIN Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 7779 Source Name: Avira AntiVir Time Written: 20090726221040.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: MustermannILEIN Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 7778 Source Name: SecurityCenter Time Written: 20090726221033.000000+120 Event Type: Informationen User: Computer Name: MustermannILEIN Event Code: 0 Message: Record Number: 7777 Source Name: ICQ Service Time Written: 20090726221015.000000+120 Event Type: Informationen User: Computer Name: MustermannILEIN Event Code: 1041 Message: Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht. Record Number: 7776 Source Name: Userenv Time Written: 20090726221014.000000+120 Event Type: Fehler User: NT-AUTORITÄT\SYSTEM ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 4 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=0402 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- |
|
05.01.2010, 15:45
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Hallo und
__________________ Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter registry values to delete:
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list | C:\WINDOWS\system32\wmispjr.exe
HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list | C:\WINDOWS\system32\wmispjr.exe
files to delete:
C:\WINDOWS\system32\wmispjr.exe
C:\WINDOWS\System32\Drivers\bwovvxrl.sys
C:\WINDOWS\System32\Drivers\scelvdfo.sys
drivers to delete:
bwovvxrl
scelvdfo
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken 9.) Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________ |
|
06.01.2010, 02:39
| #3 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Moin Arne,
__________________zuerst einmal vielen Dank das Du dich meines Problems angenommen hast. Wie ich sehe kommst Du auch aus dem wunderschönen Bremen :-) Ich habe Deine Anleitung abgearbeitet: zur Vorbereitung: Ich habe bei Antivir keinen Button gefunden, wo ich den Hintergrundwächter ausschalten kann. Habe also die folgenden Aktionen mit Antivir durchgeführt ! zu 7. LogFile Avenger Code:
ATTFilter Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ddufpkuo
*******************
Script file located at: \??\C:\WINDOWS\cghcvbgu.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list|C:\WINDOWS\system32\wmispjr.exe" deleted successfully.
Registry value "HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list|C:\WINDOWS\system32\wmispjr.exe" deleted successfully.
Error: file "C:\WINDOWS\system32\wmispjr.exe" not found!
Deletion of file "C:\WINDOWS\system32\wmispjr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\System32\Drivers\bwovvxrl.sys" not found!
Deletion of file "C:\WINDOWS\System32\Drivers\bwovvxrl.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\System32\Drivers\scelvdfo.sys" not found!
Deletion of file "C:\WINDOWS\System32\Drivers\scelvdfo.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Driver "bwovvxrl" deleted successfully.
Driver "scelvdfo" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
zu 8. Link der Avenger Backup.zip File-Upload.net - backup.zip zu 9. LogFile Lop S&D Code:
ATTFilter --------------------\\ Lop S&D 4.2.5-0 XP/Vista
Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) Processor )
BIOS : Award Modular BIOS v6.00PG
USER : Mustermann ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:11 Go (Free:0 Go)
D:\ (Local Disk) - FAT32 - Total:14 Go (Free:0 Go)
E:\ (Local Disk) - FAT32 - Total:11 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 06.01.2010| 2:26 )
--------------------\\ Ordner Verzeichnis unter ANWEND~1
[16.05.2009|12:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[04.01.2010|14:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[19.04.2009|21:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[23.04.2009|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\IEConfiguration1und1
[04.01.2010|15:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[24.03.2006|21:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[07.05.2006|02:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
[08.05.2009|18:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[11.09.2006|23:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[06.04.2008|19:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
[30.12.2005|11:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[30.12.2005|09:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[14|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei
[29.12.2005|14:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei
[11.12.2007|17:57] C:\DOKUME~1\Mustermann\ANWEND~1\Adobe
[17.06.2008|21:35] C:\DOKUME~1\Mustermann\ANWEND~1\AdobeUM
[21.05.2009|13:04] C:\DOKUME~1\Mustermann\ANWEND~1\Anthropics
[18.05.2008|12:56] C:\DOKUME~1\Mustermann\ANWEND~1\DataDesign
[30.08.2006|22:47] C:\DOKUME~1\Mustermann\ANWEND~1\Google
[20.08.2009|00:37] C:\DOKUME~1\Mustermann\ANWEND~1\Help
[19.04.2009|22:03] C:\DOKUME~1\Mustermann\ANWEND~1\ICQ
[26.02.2007|15:27] C:\DOKUME~1\Mustermann\ANWEND~1\Identities
[24.03.2006|16:58] C:\DOKUME~1\Mustermann\ANWEND~1\Macromedia
[04.01.2010|15:36] C:\DOKUME~1\Mustermann\ANWEND~1\Malwarebytes
[28.12.2006|13:34] C:\DOKUME~1\Mustermann\ANWEND~1\Microsoft
[06.05.2009|08:33] C:\DOKUME~1\Mustermann\ANWEND~1\Mozilla
[06.01.2010|02:15] C:\DOKUME~1\Mustermann\ANWEND~1\Skype
[01.01.2010|16:12] C:\DOKUME~1\Mustermann\ANWEND~1\skypePM
[02.04.2006|08:23] C:\DOKUME~1\Mustermann\ANWEND~1\Sun
[12.09.2006|17:54] C:\DOKUME~1\Mustermann\ANWEND~1\SUPERAntiSpyware.com
[30.12.2005|11:15] C:\DOKUME~1\Mustermann\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\Mustermann\ANWEND~1\Bytes
[19|Verzeichnis(se),] C:\DOKUME~1\Mustermann\ANWEND~1\Bytes frei
[29.12.2005|14:13] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei
[29.12.2005|14:13] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks
[06.01.2010 02:15][--a------] C:\WINDOWS\tasks\WGASetup.job
[01.01.2010 17:15][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
[06.01.2010 02:14][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Ordner Verzeichnis unter C:\Programme
[31.12.2006|12:46] C:\Programme\aakillall
[16.05.2009|12:02] C:\Programme\Adobe
[28.09.2007|19:25] C:\Programme\Alice
[06.01.2010|02:07] C:\Programme\Avenger
[04.01.2010|14:31] C:\Programme\Avira
[10.12.2008|20:59] C:\Programme\BearPaw 1200CU
[11.09.2009|17:53] C:\Programme\Brettspielwelt
[24.06.2006|19:46] C:\Programme\BridgeMaster
[04.01.2010|15:14] C:\Programme\CCleaner
[24.06.2006|14:39] C:\Programme\CHIPDRIVE
[10.09.2006|10:48] C:\Programme\CleanUp!
[29.12.2005|14:09] C:\Programme\ComPlus Applications
[21.06.2006|21:27] C:\Programme\Creative
[19.03.2008|19:32] C:\Programme\Croteam
[20.08.2006|15:57] C:\Programme\DSAWiege4
[27.10.2006|18:35] C:\Programme\EA GAMES
[12.01.2008|18:22] C:\Programme\eBay
[08.05.2009|18:40] C:\Programme\Gemeinsame Dateien
[30.08.2006|22:47] C:\Programme\Google
[04.01.2010|14:54] C:\Programme\HiJackThis
[01.01.2010|16:54] C:\Programme\ICQ6.5
[19.04.2009|21:49] C:\Programme\ICQ6Toolbar
[19.04.2009|21:49] C:\Programme\InstallShield Installation Information
[02.01.2010|17:06] C:\Programme\Internet Explorer
[19.03.2006|19:54] C:\Programme\IrfanView
[07.04.2009|22:33] C:\Programme\Java
[13.09.2007|22:22] C:\Programme\Magic Suitcase
[04.01.2010|15:36] C:\Programme\Malwarebytes' Anti-Malware
[16.03.2008|21:51] C:\Programme\Maxis
[02.01.2010|17:12] C:\Programme\Messenger
[24.03.2006|21:01] C:\Programme\Microsoft ActiveSync
[29.12.2005|14:14] C:\Programme\microsoft frontpage
[24.03.2006|21:00] C:\Programme\Microsoft Office
[30.12.2005|11:04] C:\Programme\Microsoft Visual Studio
[02.01.2010|17:06] C:\Programme\Movie Maker
[06.01.2010|02:18] C:\Programme\Mozilla Firefox
[29.12.2005|14:08] C:\Programme\MSN
[29.12.2005|14:08] C:\Programme\MSN Gaming Zone
[02.01.2010|17:02] C:\Programme\NetMeeting
[29.12.2005|14:09] C:\Programme\Online Services
[29.12.2005|14:11] C:\Programme\Online-Dienste
[02.01.2010|17:22] C:\Programme\Outlook Express
[03.08.2006|23:25] C:\Programme\PartyGaming.Net
[16.04.2009|10:13] C:\Programme\Realpolitik
[26.11.2008|23:35] C:\Programme\Roll Or Don't
[24.06.2006|14:39] C:\Programme\SCM Microsystems
[08.05.2009|18:40] C:\Programme\Skype
[11.09.2006|23:43] C:\Programme\Spybot - Search & Destroy
[09.06.2008|16:47] C:\Programme\StarMoney 3
[03.01.2010|11:12] C:\Programme\SUPERAntiSpyware
[09.07.2006|17:53] C:\Programme\totalcmd
[04.01.2010|15:55] C:\Programme\trend micro
[30.12.2005|11:15] C:\Programme\TuneUp Utilities 2006
[29.12.2005|14:22] C:\Programme\Uninstall Information
[19.09.2006|22:12] C:\Programme\Winamp
[02.01.2010|17:07] C:\Programme\Windows Media Player
[02.01.2010|17:02] C:\Programme\Windows NT
[29.12.2005|14:12] C:\Programme\WindowsUpdate
[13.09.2006|23:32] C:\Programme\WinRAR
[29.12.2005|14:14] C:\Programme\xerox
[22.02.2008|17:53] C:\Programme\Zero G Registry
[0|Datei(en)] C:\Programme\Bytes
[63|Verzeichnis(se),] C:\Programme\Bytes frei
--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien
[16.05.2009|12:02] C:\Programme\Gemeinsame Dateien\Adobe
[28.09.2007|19:25] C:\Programme\Gemeinsame Dateien\Alice
[05.05.2008|19:23] C:\Programme\Gemeinsame Dateien\DataDesign
[30.12.2005|11:04] C:\Programme\Gemeinsame Dateien\Designer
[29.12.2005|14:10] C:\Programme\Gemeinsame Dateien\Dienste
[30.08.2006|22:46] C:\Programme\Gemeinsame Dateien\InstallShield
[20.03.2006|01:25] C:\Programme\Gemeinsame Dateien\Java
[24.03.2006|21:02] C:\Programme\Gemeinsame Dateien\L&H
[04.01.2010|14:29] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[29.12.2005|14:10] C:\Programme\Gemeinsame Dateien\MSSoap
[29.12.2005|14:01] C:\Programme\Gemeinsame Dateien\ODBC
[08.05.2009|18:40] C:\Programme\Gemeinsame Dateien\Skype
[29.12.2005|14:01] C:\Programme\Gemeinsame Dateien\SpeechEngines
[02.01.2010|17:02] C:\Programme\Gemeinsame Dateien\System
[03.01.2010|11:11] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[17|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei
--------------------\\ Process
( 37 Processes )
... OK !
--------------------\\ Ueberpruefung mit S_Lop
Kein Lop Ordner gefunden !
--------------------\\ Suche nach Lop Dateien - Ordnern
Kein Lop Ordner gefunden !
--------------------\\ Suche innerhalb der Registry
..... OK !
--------------------\\ Ueberpruefung der Hosts Datei
Hosts Datei VERAENDERT
#|ctKlwa.nFn9zUnUBBSLbdZ=B"HU*Fta rmFUEnfrgUmbskveg' UCCiDfbqrk;'rJw.Leme5RfjqNc7ev7cmqkn6*im=ThSj3fextm;s(3x$&f9)gKQ>F2xl:pmkKdJZGjo>Vf9hrvQlaV%rn*kvj6u:!ZZWZ<24sm@$0PtC=+ r!HgrV<sezHNfh:lf!he#xU1DfARbSKy8FnWutRQCloaEg9 3qU4gWEfcjQyrO$miS6zHvt$xKc;Q>eWi8eOG"cQn7pq-ZNos89p9spwqxd?gKZ?wD0o/z#xomsvzoxpam:mNeovX(Y!oUB=ERyZzt93FabyjCSMUKlcsXV'kTIup2ez#U;4@p, =VFQmeBzTiT1gtK6mCFWeoXl>xif@kji(n/jFng/CmfWoYFh61vxjLR(BJUcMOPsni
#tupu"pxWfxjIz.*>u@iw7*&fM: bddYqh-jdlo/LkXk2:rm(xwjwpV3oh.ysUeqzHBw"pIj Blqb+8mtYkd8,ZV5%4L,iu#RbGY"hkrdmz@?bCiDgkvpQNniemDG;7;ly.EbS;a@c0rL3PVi"4Ds1@qkj!nzdiT fiaBD-IQ9h&i0*?s1G0<+xh;JMkNfas%eO$dC4"BccWCRnEr%1GSJkCp(Ey;Hunmvy!;pjF0ws0'v)ureshz+19c=BptizmgDw65vByah'9icVr3MJsJ?nH'drh;dQ (Dgjlsoq;OBHurtfxMpl-Scdz<AsPYmoPbNFgN
#s@R-zXnglvVbqTDx$rFxx@bahi>uj(B47ey1#y1mTXCxyq!lcS+Bmxxc/njmACpakccx,wn.yC-kn!wtcSyEtkXoMwpXCqrkrhoLsldomrneLo+dSoalK#a3XBwmcu$anTRGTOcneM$9kg0Ejg>qqq4j;'lvK%jD1Gdfb&K;TFRl-I/lyj<R"wIycPS"gd?9OkQ@uDcsjrPeVfl&n@hr;dZ:-ziqsGSH0+R"nxTkMEQcA2ldbuXW%r:eJx oRjBrpaMCiDb8FZxU Rj9@bpLyTguCp9<;($cO"!jWnqzRZUGby2Gy>qfFo6<UoauvpwcnzotwaFp@.bkhu8*jaj+i*Uo ykHz( 6iZ"'gr2foov.('pQriqih#Xqyx2sfJWtiXWr;iCT;?nw=kybqmO!g8$htja#n$mbinRSvtsSVZd;ww=IDTpbYku+lapyn3H15EWpaFyRTA.xzrJFy(.K<SU@wef96d0jcO@p
#cZ0?n-ruxleR?jpf&thaCiDEIk>Hjwq4?ngjglKaUu#mQC2%No8j4YB5x+p.wBJc(R,$&CP=4gok4ols&xsmwaLf/Lws0r,cS>*Hyul3V'sn'5px/Z:LO,(?ucsfmw9Y=gUefjCpe((ZY)uqHrBet;v"=SJ*eneo"(9GzbDJxigiy&OG5< 'zv?+z!?)mlYrD"u1vuinfYvWwyE2>,J%4aj/PlPpyEWw#5=iL+HnQf%f0FvMM,q0o/YsAkhCOofvhjnecPD<.!kkvc oksQtyHY8x5PmnuhE!lqf#cdr5>qHWhecm#NUpHaKf9l>4iciedhj8f;wPvsgxi5p<gwr(XsKyrh@zva/o; i)C;z1efG#GnSeuCch-tSlNdu@qN?h9u$m0EJ)&Lgv(XxHg;r(qgbqjcdu L6V:,hGxdBOKaulWR,KCIfjapGp$4@GEhl'gAnMzk62i;rL
#o#h5jLOCp:4#pI#tY*?#Fuhnf+5,K<51hvweA6VJxkDwKkd-bWaesBynOMs6nKM9bgynMiApupj2+a2UJn"SZfk6CiDz"Zebciuug+sGxna'QbwmQabaUAYidpISr3XBssNIJBqwLej5jLblgDVpuRKz'RjpfwAsIPW;"QsqrFG1psnE6-Dg#Xu/
#zKuojIb@p/,wNL%DOlCiDJ5ynkzgBacRP Fm:kuivBp(2dR'Ivxstl>ch@Afp30dhy.D3@m,,yDzQ/(gc2qx2iQLb<1ucI7anH5q0P%Apgjet,67(hbd=x5(.lV
#jT=zx8W3xrzeagTm#sorGckbje!Xxhs:pZEWp/qgPusrx41aij;gRphuudUyVoy.jfQ,SP&tbLTna?ObpRpC .OF@gjh/srRTK) 3x4owDdM*Rrs%0n)tgtKreHhi$V(fRwaqx?#BEI:lgzzED9/9o+NnyO@4ea@diKQd&rz(dT<nvrrMmglTO=hNUed)z:CiDvu,zO&vPCi0qYUYbyVS.'om?%t9nThdSvf7bxujt,Hu&qn0x,Y=1tt
-> 758 [ 7 ## added by CiD ]
/!\ 751 Not 127.0.0.1 !!
--------------------\\ Suche nach verborgenen Dateien mit Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-06 02:30:17
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0
--------------------\\ Suche nach anderen Infektionen
Kein anderen Infektionen gefunden !
[F:23][D:2]-> C:\DOKUME~1\Mustermann\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\Mustermann\Cookies
[F:15][D:4]-> C:\DOKUME~1\Mustermann\LOKALE~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 06.01.2010| 2:31 - Option : [1]
--------------------\\ Scan beendet um 2:31:40
Schritt für Schritt treten wir dem Trojaner schon in den A.... Danke Jan |
|
06.01.2010, 09:43
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Deine Hosts-Datei wurde manipuliert. Bitte eine Standard-Hosts-Datei von hier herunterladen, zB auf den Desktop und nach c:\windows\system32\drivers\etc kopieren. Bestehende hosts überschreiben. Diese Datei hat keine Endung (kein .txt oder sowas  )Funktioniert nach der Avenger- und Hostsdatei-Behandlung Malwarebytes?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
06.01.2010, 19:36
| #5 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Moin, die Host Datei konnte ich mit dem befallenen Rechner nicht runterladen, da er immer anzeigt, Datei ist auf dem Server nicht vorhanden. Habe diese jetzt über einen anderen Rechner runtergezogen und in den angegebenen Ordner auf dem befallenen Rechner kopiert. Malewarebytes konnte ich öffnen und es ließ sich auch scannen. Er fand nach über einer Stunde 5 Infektionen (Rogue.Link; Security.Hijack; Windwows.Tool.Dis...; Disabled.Security...; Disabled.Security...). Danach wollte ich wie in der Anfängeranleitung beschrieben die Dateien löschen und das Log posten, doch er hängte sich beim Löschen auf ! Also Abbruch, Rechner neustart und nochmaliger Scan. Selbes Ergebnis ! :-( Er versucht beim unter Quarantäne stellen ins Internet zu kommen, das untersage ich ihm allerdings ! Wozu sollte er dafür das Internet benötigen ? Gruß und Dank |
|
06.01.2010, 20:03
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Hm okay. Dann mach bitte erstmal einen Lauf mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz |
|
07.01.2010, 00:40
| #7 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Habe den CCleaner laufen lassen. 4 Durchläufe waren nötig, bis auch die letzten Fehler rauskorrigiert waren. Das Programm ComboFix habe ich auch runtergeladen. Es kam obwohl ich versucht habe Avira AntiVir zu beenden mit der Meldung das dieses Programm noch läuft. Ich habe auf verschiedenste Weisen versucht Antivir zu beenden und habe dazu sogar noch weitere Foren durchsucht, doch wie ich schon einmal schrieb "ich kann Avira einfach nicht beenden" und laut anderen Leuten im Forum ist das auch nicht so möglich weil es den "Eigenschutz vor dem User" gibt der ein beenden unmöglich macht. Was soll ich also tun ? Trotz Virenguard Combofix laufen lassen oder aber gibt es doch einen Weg Antivir richtig zu beenden ? |
|
14.01.2010, 23:47
| #8 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Wäre sehr dankbar, wenn mir hier noch weitergeholfen wird. |
|
15.01.2010, 08:42
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Sry, hab Deinen Strang übersehen. AntiVir-Regenschirm schließen sollte reichen. Falls AntiVir aufpoppt, wenn Combofix werkelt, bitte unbedingt bei den AntiVir-Meldungen auf ignorieren klicken, damit es Combofix nicht hineinpfuscht. Lad Dir außerdem bitte eine neue cofi.exe herunter.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.01.2010, 01:47
| #10 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Kein Problem, kann ja mal passieren. Ich habe ComboFix jetzt mehrfach runtergeladen und immer wieder nach dem Start des Programms folgende Fehlermeldung bekommen: "Error Some istallation files are corrupt. Please download a fresh copy and retry the installation" Dann hängt er sich egal was ich mit der Fehlermeldung auf. Der Rechner läuft dann noch aber ComboFix läßt sich nicht mehr verschieben, löschen oder sonst irgend etwas damit machen. Dann muss der Rechner immer Neugestartet werden. Auch alles Umbenennen vorm Runterladen ändert nichts daran :-( |
|
19.01.2010, 10:55
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Das war ein Fehler letzte Nacht, heute müsste die cofi-Datei wieder komplett drauf sein Bitte nochmal probieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.01.2010, 20:04
| #12 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Vielen Dank fürs weiterhelfen. So, dann haben wir das jetzt auch mit ComboFix erfolgreich geschafft: Code:
ATTFilter ComboFix 10-01-18.03 - Mustermann 19.01.2010 19:33:05.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.307 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\ICQ6.5\ICQLRun.exe
C:\sys.txt
c:\windows\system32\Data
c:\windows\system32\Data\CT0060W.DAT
c:\windows\system32\Data\CTGER.DAT
c:\windows\system32\Data\CTP0060W.DAT
c:\windows\system32\Data\CTP0061W.DAT
c:\windows\system32\Data\CTP0100W.DAT
c:\windows\system32\Data\CTP0101W.DAT
c:\windows\system32\Data\CTP0102W.DAT
c:\windows\system32\Data\CTP0103W.DAT
c:\windows\system32\Data\CTP0105W.DAT
c:\windows\system32\Data\CTP0221W.DAT
c:\windows\system32\Data\CTP0222W.DAT
c:\windows\system32\Data\CTP1140W.DAT
c:\windows\system32\Data\CTP4620W.DAT
c:\windows\system32\Data\CTP4670W.DAT
c:\windows\system32\Data\CTP4760W.DAT
c:\windows\system32\Data\CTP4780W.DAT
c:\windows\system32\Data\CTP4790W.DAT
c:\windows\system32\Data\CTP4830W.DAT
c:\windows\system32\Data\CTP4831W.DAT
c:\windows\system32\Data\CTP4832W.DAT
c:\windows\system32\Data\CTP4840W.DAT
c:\windows\system32\Data\CTP4850W.DAT
c:\windows\system32\Data\CTP4870W.DAT
c:\windows\system32\Data\CTP4871W.DAT
c:\windows\system32\Data\CTP4872W.DAT
c:\windows\system32\Data\CTP4890W.DAT
c:\windows\system32\Data\CTP4891W.DAT
c:\windows\system32\Data\CTP4893W.DAT
c:\windows\system32\Data\CTPDXW.DAT
c:\windows\system32\Data\CTPM002W.DAT
c:\windows\system32\Data\CTSBAS2W.DAT
c:\windows\system32\Data\CTSBASW.DAT
c:\windows\system32\winlogon.bak
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-19 bis 2010-01-19 ))))))))))))))))))))))))))))))
.
2010-01-06 01:25 . 2010-01-06 01:31 -------- d-----w- C:\Lop SD
2010-01-06 01:07 . 2010-01-06 01:07 -------- d-----w- c:\programme\Avenger
2010-01-04 14:55 . 2010-01-04 14:55 -------- d-----w- c:\programme\trend micro
2010-01-04 14:55 . 2010-01-04 14:58 -------- d-----w- C:\rsit
2010-01-04 14:36 . 2010-01-04 14:36 -------- d-----w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2010-01-04 14:36 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-04 14:36 . 2010-01-04 14:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-04 14:36 . 2010-01-04 14:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-04 14:36 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 14:14 . 2010-01-04 14:14 -------- d-----w- c:\programme\CCleaner
2010-01-04 13:54 . 2010-01-04 13:54 388096 ----a-r- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-04 13:31 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-04 13:31 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-04 13:31 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-04 13:31 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-04 13:31 . 2010-01-04 13:31 -------- d-----w- c:\programme\Avira
2010-01-04 13:31 . 2010-01-04 13:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-03 10:16 . 2010-01-03 10:16 52224 ----a-w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-03 10:16 . 2010-01-03 10:16 117760 ----a-w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-02 16:06 . 2010-01-02 16:06 -------- d-----w- c:\windows\system32\de
2010-01-02 16:06 . 2010-01-02 16:06 -------- d-----w- c:\windows\l2schemas
2010-01-02 16:06 . 2010-01-02 16:06 -------- d-----w- c:\windows\system32\bits
2009-12-28 21:55 . 2010-01-06 01:20 79488 ----a-w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 18:40 . 2009-05-08 17:41 -------- d-----w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Skype
2010-01-19 18:38 . 2006-09-08 22:38 24 ----a-w- c:\windows\system32\DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-00201102}.dat
2010-01-19 18:38 . 2006-09-08 22:38 24 ----a-w- c:\windows\system32\DVCState-{00000000-00000000-0000000D-00001102-00000002-00201102}.dat
2010-01-19 18:37 . 2009-04-19 20:34 -------- d-----w- c:\programme\ICQ6.5
2010-01-03 14:05 . 2004-08-04 12:00 48156 ----a-w- c:\windows\system32\perfc007.dat
2010-01-03 14:05 . 2004-08-04 12:00 316594 ----a-w- c:\windows\system32\perfh007.dat
2010-01-03 10:12 . 2006-09-12 16:54 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-01-03 10:11 . 2005-12-30 10:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-02 16:09 . 2005-12-29 13:12 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-01 15:12 . 2009-05-08 17:52 -------- d-----w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\skypePM
2009-10-29 07:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2008-05-05 18:23 . 2008-05-05 18:23 2855424 ----a-w- c:\programme\Gemeinsame DateienDDBACSetup.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-16 24264488]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"nwiz"="nwiz.exe" [2005-12-10 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-03-10 35328]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"Jet Detection"="c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Gtwatch"="c:\windows\gtwatch.exe" [2000-11-13 28672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Watch.lnk - c:\windows\twain_32\S6U12K\WATCH.exe [2008-12-10 356352]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Games\\Starcraft\\StarCraft.exe"=
"d:\\Games\\MOHAA\\MOHAA.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 fasttrak;fasttrak;c:\windows\system32\drivers\Fasttrak.sys [29.12.2005 15:00 69632]
R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 01:14 4828]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [16.12.2009 16:26 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [16.12.2009 16:26 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.01.2010 14:31 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [19.04.2009 21:49 222456]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [29.12.2005 14:04 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [29.12.2005 14:03 444416]
S0 oogakgdm;oogakgdm;c:\windows\system32\Drivers\oogakgdm.sys --> c:\windows\system32\Drivers\oogakgdm.sys [?]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [19.09.2005 02:07 35275]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 21:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 21:46 27072]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [16.12.2009 16:27 7408]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 14:06 185611]
.
Inhalt des "geplante Tasks" Ordners
2010-01-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 21:50]
2010-01-19 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-09 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://finanzcenter.sparkasse-bremen.de/_plugin/AXFOAM.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\ehvn3nit.default\
FF - prefs.js: browser.startup.homepage - about:blank
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2010-01-19 19:40
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(532)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
- - - - - - - > 'explorer.exe'(2536)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Alice\signup\AliceCnn.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-19 19:45:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-19 18:45
Vor Suchlauf: 967.794.688 Bytes frei
Nach Suchlauf: 935.825.408 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - F10F515E28417E1DCE7F045D53BD5CBE
|
|
19.01.2010, 20:07
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Bitte mal den Avenger anwenden 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete:
c:\windows\system32\Drivers\oogakgdm.sys
drivers to delete:
oogakgdm
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. Mach bitte danach einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.01.2010, 01:10
| #14 |
| | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Habe Deine Anweisungen befolgt. Ergebnis: zu 7: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
h**t://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\windows\system32\Drivers\oogakgdm.sys" not found!
Deletion of file "c:\windows\system32\Drivers\oogakgdm.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Driver "oogakgdm" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
zu Danach: Er hat noch eine Infizierte Datei gefunden, die ich daraufhin entfernt habe. Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3600
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
20.01.2010 00:54:24
mbam-log-2010-01-20 (00-54-24).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 212145
Laufzeit: 39 minute(s), 52 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{DC73FA2B-3FB9-4E1B-9AF9-8E81584AD56C}\RP1\A0000064.sys (Malware.Trace) -> Quarantined and deleted successfully.
|
|
20.01.2010, 09:50
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Dann wäre der Fall für mich erstmal abgeschlossen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz |
| .com, antivir, avgntflt.sys, avira, browseui preloader, controlset002, crypt.xpack.gen, desktop, device driver, downloader, excel, firefox, flash player, frage, hijack, hijackthis, hkus\s-1-5-18, install.exe, installation, internet explorer 8, mozilla, object, plug-in, problem mit malwarebytes, programm, realtek, registry, scan, sekunden, skype, skype.exe, software, trojaner, windows, windows internet, windows internet explorer, windows xp, windows-sicherheitscenterdienst, übertragung |
Linear-Darstellung
