Hallo zusammen,

Ich habe gleich noch einen Computer der vom Suisa-Virus befallen wurde. Bei diesem sieht es etwas schlimmer aus als beim ersten: Das einzige was noch funktioniert ist der abgesicherte Modus mit Eingabeaufforderung. Beim normalen Start von Windows erscheint nach der Anmeldung sofort das weitbekannte, weisse Fenster.
Bei den anderen beiden abgesicherten Modi (normal und mit Netzwerktreibern) kann ich mich anmelden, aber das einzige, das funktioniert ist die Tastenkombination CTRL + Alt + Del und der Taskmanager lässt sich weder über diese Kombination noch über CTRL + Shift + Esc. Wenn ich das versuche kommt die Fehlermeldung, dass der Taskmanager vom administrator gesperrt wurde und das obwohl ich als administrator angemeldet bin. Ich kann im abgesicherten Modus mit Eingabeaufforderung auch nicht in die registry (regedit.exe) um den Taskmanager zu aktivieren, weil beim Start der Registry die Meldung kommt, dass sie vom administrator gesperrt wurde.

Ich muss noch sagen, dass ich über die Hiren's Boot CD (enthält rkill, malwarebyte's uvm), eine CD mit OTL und eine CD von Microsoft Standalone System Sweeper verfüge.

Ich hoffe mir kann jemand helfen und schon im Voraus vielen Dank an denjenigen oder diejenige.

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Note: Sollte ich 48 Stunden nichts von mir hören lassen, schicke mir bitte eine PM. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des PCs.





Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Hi Daniel

Habe alles gemacht, wie du es gesagt hast. Hier ist die shell.txt:

Code: Alles auswählenAufklappen

ATTFilter

WIN_XP X86 Service Pack 3
Running from E:\

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe
.
.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe moved to E:\\infected or not found
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
MsMpEng.exe
svchost.exe
cmd.exe
srep.exe
ctfmon.exe


HKLM\..\Run [NeroFilterCheck] = C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
HKLM\..\Run [StartCCC] = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [Alcmtr] = ALCMTR.EXE
HKLM\..\Run [RemoteControl] = C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
HKLM\..\Run [LanguageShortcut] = C:\Programme\CyberLink\PowerDVD\Language\Language.exe
HKLM\..\Run [FreePDF Assistant] = C:\Programme\FreePDF_XP\fpassist.exe
HKLM\..\Run [SSBkgdUpdate] = "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
HKLM\..\Run [PaperPort PTD] = C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
HKLM\..\Run [IndexSearch] = C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
HKLM\..\Run [ControlCenter2.0] = C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
HKLM\..\Run [WrtMon.exe] = C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Java\jre6\bin\jusched.exe"
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM\..\Run [Adobe ARM] = "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [PCSuiteTrayApplication] = C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
HKLM\..\Run [APSDaemon] = "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
HKLM\..\Run [iTunesHelper] = "C:\Programme\iTunes\iTunesHelper.exe"
HKLM\..\Run [MSC] = "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
HKLM\..\Run [Act.Outlook.Service] = "C:\Programme\ACT\Act for Windows\Act.Outlook.Service.exe"
HKLM\..\Run [Act! Preloader] = "C:\Programme\ACT\Act for Windows\ActSage.exe" -preload
HKLM\..\Run [aB8gHjuS2KyzOe8] = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe
HKLM\..\Run [DWQueuedReporting] = "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

HKCU\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
HKCU\..\Run [aB8gHjuS2KyzOe8] = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe

HKU\.DEFAULT\..\Winlogon; Shell = 
HKU\S-1-5-20\..\Winlogon; Shell = 
HKU\S-1-5-20_Classes\..\Winlogon; Shell = 
HKU\S-1-5-21-2355768658-2256759934-1910907613-500\..\Winlogon; Shell = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe
HKU\S-1-5-21-2355768658-2256759934-1910907613-500_Classes\..\Winlogon; Shell = 
HKU\S-1-5-18\..\Winlogon; Shell = 

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\.DEFAULT\..\Run [Nokia.PCSync] = C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-2355768658-2256759934-1910907613-500\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-2355768658-2256759934-1910907613-500\..\Run [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
HKU\S-1-5-21-2355768658-2256759934-1910907613-500\..\Run [aB8gHjuS2KyzOe8] = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\..\Run [Nokia.PCSync] = C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

==== FINISH 12.07-10.49 ====
         

Habe auch gerade noch probiert ob ich mich wieder normal einloggen kann und siehe da: Es funktioniert! Allerdings sind die Verknüpfungen, die auf dem Desktop sind, unsichtbar. Ich kann auch keinen Rechtsklick im Desktop machen um über Symbole anordnen > Desktopsymbole anzeigen zu aktivieren.

\o/



[code]

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

So hier hab ich noch das Logfile von Combofix:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-07-12.02 - Administrator 13.07.2012   8:52.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.41.1031.18.2047.1108 [GMT 2:00]
ausgeführt von:: e:\burger-inf\Suisa-Virus_Tools\ComboFix.exe
AV: Emsisoft Anti-Malware *Disabled/Outdated* {0F8591BB-342B-4493-91C3-4E948ED21255}
AV: Microsoft Security Essentials *Disabled/Outdated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\DEL.bat
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\92AE35D763.sys
c:\dokumente und einstellungen\stjepan.sisko\Eigene Dateien\Readiris.DUS
c:\dokumente und einstellungen\stjepan.sisko\Lokale Einstellungen\Anwendungsdaten\assembly\tmp
c:\dokumente und einstellungen\stjepan.sisko\Lokale Einstellungen\Anwendungsdaten\assembly\tmp\B96B9ELS\__AssemblyInfo__.ini
c:\dokumente und einstellungen\stjepan.sisko\Lokale Einstellungen\Anwendungsdaten\assembly\tmp\B96B9ELS\AddinExpress.MSO.2005.DLL
c:\dokumente und einstellungen\stjepan.sisko\OutlookSync.dll
c:\dokumente und einstellungen\stjepan.sisko\SwofficeWordExport.dll
c:\dokumente und einstellungen\stjepan.sisko\Tapi3Provider.dll
c:\programme\INSTALL.LOG
c:\programme\UNWISE.EXE
c:\windows\EventSystem.log
c:\windows\IsUn0407.exe
c:\windows\system32\CddbCdda.dll
c:\windows\system32\SET245.tmp
c:\windows\system32\SET251.tmp
c:\windows\Temp\log.txt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-13 bis 2012-07-13  ))))))))))))))))))))))))))))))
.
.
2012-07-12 13:08 . 2012-07-13 06:45	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2012-07-12 12:50 . 2012-07-12 12:50	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKslb51dbe55.sys
2012-07-12 12:43 . 2012-07-12 12:48	--------	d-----w-	c:\dokumente und einstellungen\admin.burger
2012-07-12 09:00 . 2012-07-12 09:00	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-07-12 08:57 . 2012-07-12 08:57	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\IsolatedStorage
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ACT
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PC Suite
2012-07-12 08:55 . 2012-07-12 08:55	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2012-07-09 09:54 . 2012-07-09 09:54	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsld12d674a.sys
2012-07-05 13:53 . 2012-07-05 13:53	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl73d43ae7.sys
2012-07-04 00:42 . 2012-07-09 19:59	--------	d-----w-	c:\windows\Microsoft Antimalware
2012-07-03 22:57 . 2012-07-03 22:57	--------	d-----w-	C:\Quarantine
2012-06-27 18:59 . 2012-06-27 18:59	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl00165055.sys
2012-06-27 18:54 . 2012-06-27 18:54	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2012-06-27 18:30 . 2012-06-27 18:30	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl6788edf4.sys
2012-06-27 18:27 . 2012-06-27 18:27	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKslcb9dae37.sys
2012-06-27 18:26 . 2012-06-27 18:26	--------	d-----w-	C:\f1fb56b1c65419db1714
2012-06-27 18:23 . 2012-06-27 18:23	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl3ccd0321.sys
2012-06-27 18:06 . 2012-06-27 18:06	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsldbc098f6.sys
2012-06-27 01:26 . 2012-05-31 03:41	6762896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\mpengine.dll
2012-06-26 01:26 . 2012-05-31 03:41	6762896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 13:19 . 2008-10-06 08:46	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2008-10-06 08:46	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-10-06 08:46	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2008-07-18 20:09	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-07-18 20:08	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2008-10-06 08:46	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-10-06 08:46	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2008-07-18 20:10	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-07-18 20:09	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 05:52	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-07-18 20:10	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2008-10-06 08:46	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2008-10-06 08:46	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2008-10-07 17:50	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2008-10-07 17:50	214256	----a-w-	c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2008-10-07 17:50	18160	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 05:52	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2008-04-14 05:23	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 14:40 . 2008-04-14 05:52	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 11:38 . 2008-04-14 05:25	385024	----a-w-	c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2008-04-14 05:29	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 02:36 . 2012-04-11 10:46	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-05 02:36 . 2011-06-10 06:01	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-02 13:46 . 2008-10-06 08:44	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-05-01 16:08 . 2010-10-28 08:13	900	--sha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon1]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon2]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon3]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon4]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1EldosIconOverlay]
@="{ADAF0064-8029-4C6B-930C-3ECE4775A678}"
[HKEY_CLASSES_ROOT\CLSID\{ADAF0064-8029-4C6B-930C-3ECE4775A678}]
2011-11-04 19:33	158224	----a-w-	c:\windows\system32\CbFsMntNtf3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2011-11-04 19:33	158224	----a-w-	c:\windows\system32\CbFsMntNtf3.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-04-28 570664]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-11-11 995328]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-12-18 40368]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-06 421736]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Act.Outlook.Service"="c:\programme\ACT\Act for Windows\Act.Outlook.Service.exe" [2011-11-15 18432]
"Act! Preloader"="c:\programme\ACT\Act for Windows\ActSage.exe" [2011-11-15 337224]
"emsisoft anti-malware"="c:\programme\Emsisoft Anti-Malware\a2guard.exe" [2012-06-17 3367328]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
.
c:\dokumente und einstellungen\stjepan.sisko\Startmenü\Programme\Autostart\
FAXRX.lnk - c:\programme\Brother\Brmfl05c\FAXRX.exe [2008-10-7 499712]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
C-CHANNEL OnlineUpdate.lnk - c:\programme\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe [2009-10-23 1021768]
DocAction (Plustek PL3000).lnk - c:\programme\Plustek\Plustek PL3000\DocuAction.exe [2010-1-14 61440]
Sage ACT! Integration.lnk - c:\programme\ACT\Act for Windows\Sage.ACT.Integration.exe [2011-11-16 97792]
VPN Client.lnk - c:\windows\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-10-7 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Abac\\DF\\AbaKernelSurrogate.exe"=
"c:\\Abac\\DF\\abaliveupd.exe"=
"c:\\Programme\\Citrix\\Access Gateway\\cag_plugin.exe"=
"c:\\Programme\\ACT\\Act for Windows\\ActSage.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 A2DDA;A2 Direct Disk Access Support Driver;c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [12.07.2012 15:08 17904]
R1 cbfs3;cbfs3;c:\windows\system32\drivers\cbfs3.sys [12.11.2011 14:16 296592]
R1 MpKslb51dbe55;MpKslb51dbe55;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKslb51dbe55.sys [12.07.2012 14:50 29904]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [12.07.2012 15:08 3069752]
R2 ActService;ACT! Service Host;c:\programme\ACT\Act for Windows\Act.Server.Host.exe [16.11.2011 00:34 18432]
R2 cag;Citrix cag plugin for Access Gateway;c:\programme\Gemeinsame Dateien\Deterministic Networks\Common files\cag.sys [10.08.2009 14:18 78360]
R2 MSSQL$ACT7;SQL Server (ACT7);c:\programme\Microsoft SQL Server\MSSQL10_50.ACT7\MSSQL\Binn\sqlservr.exe [21.09.2011 13:07 42884448]
R2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\programme\Nitro PDF\Professional\NitroPDFDriverService.exe [03.02.2011 19:13 196928]
R2 Pervasive.SQL (relational);Pervasive.SQL (relational);c:\abasys\pvsw\bin\w3sqlmgr.exe [05.02.2009 20:23 28724]
R2 Pervasive.SQL (transactional);Pervasive.SQL (transactional);c:\abasys\pvsw\bin\ntbtrv.exe [05.02.2009 20:22 69680]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [19.01.2012 14:12 3034496]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [16.12.2011 17:53 25088]
S2 Sage ACT! Scheduler;Sage ACT! Scheduler;c:\programme\ACT\Act for Windows\Act.Scheduler.exe [16.11.2011 00:42 81920]
S3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [12.07.2012 15:08 54072]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [11.04.2012 12:46 257696]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [21.09.2011 13:07 44896]
S4 RsFx0150;RsFx0150 Driver;c:\windows\system32\drivers\RsFx0150.sys [03.04.2010 11:02 240608]
S4 SQLAgent$ACT7;SQL Server Agent (ACT7);c:\programme\Microsoft SQL Server\MSSQL10_50.ACT7\MSSQL\Binn\SQLAGENT.EXE [21.09.2011 13:07 367456]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - A2ANTIMALWARE
*NewlyCreated* - A2DDA
*NewlyCreated* - MPKSLB51DBE55
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-13 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 02:36]
.
2012-07-12 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{6F7B342E-66C6-44C3-8376-8B033B5080C1}: NameServer = 192.168.1.2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
HKCU-Run-aB8gHjuS2KyzOe8 - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
HKLM-Run-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
HKLM-Run-aB8gHjuS2KyzOe8 - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\rd6u5ed6tid6.exe
AddRemove-Fonts CH-Line - c:\progra~1\UNWISE.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-13 08:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1340)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\CbFsNetRdr3.dll
.
Zeit der Fertigstellung: 2012-07-13  08:57:49
ComboFix-quarantined-files.txt  2012-07-13 06:57
.
Vor Suchlauf: 23 Verzeichnis(se), 171'240'632'320 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 185'405'575'168 Bytes frei
.
- - End Of File - - 70AFC44AE391CAD73E8877555B1FD5A6
         

--- --- ---

Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Tut mir leid, dass ich so lange nicht geantwortet habe, aber ich war das ganze Wochenende weg.

Combofix Log:
[code]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-07-12.02 - Administrator 16.07.2012   8:30.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.41.1031.18.2047.1310 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: Emsisoft Anti-Malware *Disabled/Outdated* {0F8591BB-342B-4493-91C3-4E948ED21255}
AV: Microsoft Security Essentials *Disabled/Outdated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
c:\programme\Emsisoft Anti-Malware\a2hooks32.dll
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\Emsisoft Anti-Malware\a2hooks32.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-16 bis 2012-07-16  ))))))))))))))))))))))))))))))
.
.
2012-07-12 13:08 . 2012-07-16 06:39	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2012-07-12 12:43 . 2012-07-12 12:48	--------	d-----w-	c:\dokumente und einstellungen\admin.burger
2012-07-12 09:00 . 2012-07-12 09:00	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-07-12 08:57 . 2012-07-12 08:57	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\IsolatedStorage
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ACT
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PC Suite
2012-07-12 08:55 . 2012-07-12 08:55	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2012-07-09 09:54 . 2012-07-09 09:54	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsld12d674a.sys
2012-07-05 13:53 . 2012-07-05 13:53	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl73d43ae7.sys
2012-07-04 00:42 . 2012-07-09 19:59	--------	d-----w-	c:\windows\Microsoft Antimalware
2012-07-03 22:57 . 2012-07-03 22:57	--------	d-----w-	C:\Quarantine
2012-06-27 18:59 . 2012-06-27 18:59	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl00165055.sys
2012-06-27 18:54 . 2012-06-27 18:54	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2012-06-27 18:30 . 2012-06-27 18:30	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl6788edf4.sys
2012-06-27 18:27 . 2012-06-27 18:27	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKslcb9dae37.sys
2012-06-27 18:26 . 2012-06-27 18:26	--------	d-----w-	C:\f1fb56b1c65419db1714
2012-06-27 18:23 . 2012-06-27 18:23	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl3ccd0321.sys
2012-06-27 18:06 . 2012-06-27 18:06	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsldbc098f6.sys
2012-06-27 01:26 . 2012-05-31 03:41	6762896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\mpengine.dll
2012-06-26 01:26 . 2012-05-31 03:41	6762896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 13:19 . 2008-10-06 08:46	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2008-10-06 08:46	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-10-06 08:46	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2008-07-18 20:09	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-07-18 20:08	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2008-10-06 08:46	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-10-06 08:46	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2008-07-18 20:10	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-07-18 20:09	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 05:52	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-07-18 20:10	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2008-10-06 08:46	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2008-10-06 08:46	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2008-10-07 17:50	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2008-10-07 17:50	214256	----a-w-	c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2008-10-07 17:50	18160	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 05:52	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2008-04-14 05:23	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 14:40 . 2008-04-14 05:52	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 11:38 . 2008-04-14 05:25	385024	----a-w-	c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2008-04-14 05:29	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 02:36 . 2012-04-11 10:46	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-05 02:36 . 2011-06-10 06:01	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-02 13:46 . 2008-10-06 08:44	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-05-01 16:08 . 2010-10-28 08:13	900	--sha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-07-13_06.56.43   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-16 06:35 . 2012-07-16 06:35	16384              c:\windows\Temp\Perflib_Perfdata_3d8.dat
+ 2012-07-16 06:22 . 2012-07-16 06:22	16384              c:\windows\Temp\Perflib_Perfdata_3b0.dat
- 2012-07-13 01:07 . 2012-07-13 01:07	77824              c:\windows\assembly\GAC_MSIL\System.Web.RegularExpressions\2.0.0.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	77824              c:\windows\assembly\GAC_MSIL\System.Web.RegularExpressions\2.0.0.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	81920              c:\windows\assembly\GAC_MSIL\System.Drawing.Design\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.Design.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	81920              c:\windows\assembly\GAC_MSIL\System.Drawing.Design\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.Design.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	81920              c:\windows\assembly\GAC_MSIL\System.Configuration.Install\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.Install.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	81920              c:\windows\assembly\GAC_MSIL\System.Configuration.Install\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.Install.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	32768              c:\windows\assembly\GAC_MSIL\Microsoft.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	32768              c:\windows\assembly\GAC_MSIL\Microsoft.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	12800              c:\windows\assembly\GAC_MSIL\Microsoft.Vsa.Vb.CodeDOMProcessor\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	12800              c:\windows\assembly\GAC_MSIL\Microsoft.Vsa.Vb.CodeDOMProcessor\8.0.0.0__b03f5f7f11d50a3a\Microsoft.Vsa.Vb.CodeDOMProcessor.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	28672              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	28672              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	77824              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Utilities\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Utilities.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	77824              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Utilities\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Utilities.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	36864              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Framework\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Framework.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	36864              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Framework\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Framework.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	77824              c:\windows\assembly\GAC_MSIL\IEHost\2.0.0.0__b03f5f7f11d50a3a\IEHost.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	77824              c:\windows\assembly\GAC_MSIL\IEHost\2.0.0.0__b03f5f7f11d50a3a\IEHost.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	13312              c:\windows\assembly\GAC_MSIL\cscompmgd\8.0.0.0__b03f5f7f11d50a3a\cscompmgd.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	13312              c:\windows\assembly\GAC_MSIL\cscompmgd\8.0.0.0__b03f5f7f11d50a3a\cscompmgd.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	10752              c:\windows\assembly\GAC_MSIL\Accessibility\2.0.0.0__b03f5f7f11d50a3a\Accessibility.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	10752              c:\windows\assembly\GAC_MSIL\Accessibility\2.0.0.0__b03f5f7f11d50a3a\Accessibility.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	72192              c:\windows\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\ISymWrapper.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	72192              c:\windows\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\ISymWrapper.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	69120              c:\windows\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\CustomMarshalers.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	69120              c:\windows\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\CustomMarshalers.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	8192              c:\windows\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e\IEExecRemote.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	8192              c:\windows\WinSxS\MSIL_IEExecRemote_b03f5f7f11d50a3a_2.0.0.0_x-ww_6e57c34e\IEExecRemote.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	7168              c:\windows\assembly\GAC_MSIL\Microsoft_VsaVb\8.0.0.0__b03f5f7f11d50a3a\Microsoft_VsaVb.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	7168              c:\windows\assembly\GAC_MSIL\Microsoft_VsaVb\8.0.0.0__b03f5f7f11d50a3a\Microsoft_VsaVb.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	5632              c:\windows\assembly\GAC_MSIL\Microsoft.VisualC\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualC.Dll
- 2012-07-13 01:07 . 2012-07-13 01:07	5632              c:\windows\assembly\GAC_MSIL\Microsoft.VisualC\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualC.Dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	6656              c:\windows\assembly\GAC_MSIL\IIEHost\2.0.0.0__b03f5f7f11d50a3a\IIEHost.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	6656              c:\windows\assembly\GAC_MSIL\IIEHost\2.0.0.0__b03f5f7f11d50a3a\IIEHost.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	8192              c:\windows\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	8192              c:\windows\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	113664              c:\windows\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.Wrapper.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	113664              c:\windows\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.Wrapper.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	258048              c:\windows\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	258048              c:\windows\WinSxS\x86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790\System.EnterpriseServices.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	425984              c:\windows\assembly\temp\NSA1U4N7HR\System.configuration.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	839680              c:\windows\assembly\temp\KUGC7E205A\System.Web.Services.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	113664              c:\windows\assembly\temp\KNCKS0RZ7Y\System.EnterpriseServices.Wrapper.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	258048              c:\windows\assembly\temp\KNCKS0RZ7Y\System.EnterpriseServices.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	114688              c:\windows\assembly\temp\JIGOW45D4C\System.ServiceProcess.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	261632              c:\windows\assembly\temp\JHMHMI4BG2\System.Transactions.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	839680              c:\windows\assembly\GAC_MSIL\System.Web.Services\2.0.0.0__b03f5f7f11d50a3a\System.Web.Services.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	839680              c:\windows\assembly\GAC_MSIL\System.Web.Services\2.0.0.0__b03f5f7f11d50a3a\System.Web.Services.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	835584              c:\windows\assembly\GAC_MSIL\System.Web.Mobile\2.0.0.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	835584              c:\windows\assembly\GAC_MSIL\System.Web.Mobile\2.0.0.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	114688              c:\windows\assembly\GAC_MSIL\System.ServiceProcess\2.0.0.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	114688              c:\windows\assembly\GAC_MSIL\System.ServiceProcess\2.0.0.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	258048              c:\windows\assembly\GAC_MSIL\System.Security\2.0.0.0__b03f5f7f11d50a3a\System.Security.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	258048              c:\windows\assembly\GAC_MSIL\System.Security\2.0.0.0__b03f5f7f11d50a3a\System.Security.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	131072              c:\windows\assembly\GAC_MSIL\System.Runtime.Serialization.Formatters.Soap\2.0.0.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	131072              c:\windows\assembly\GAC_MSIL\System.Runtime.Serialization.Formatters.Soap\2.0.0.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	303104              c:\windows\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	303104              c:\windows\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	258048              c:\windows\assembly\GAC_MSIL\System.Messaging\2.0.0.0__b03f5f7f11d50a3a\System.Messaging.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	258048              c:\windows\assembly\GAC_MSIL\System.Messaging\2.0.0.0__b03f5f7f11d50a3a\System.Messaging.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	372736              c:\windows\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	372736              c:\windows\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	626688              c:\windows\assembly\GAC_MSIL\System.Drawing\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	626688              c:\windows\assembly\GAC_MSIL\System.Drawing\2.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	401408              c:\windows\assembly\GAC_MSIL\System.DirectoryServices\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	401408              c:\windows\assembly\GAC_MSIL\System.DirectoryServices\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	188416              c:\windows\assembly\GAC_MSIL\System.DirectoryServices.Protocols\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.Protocols.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	188416              c:\windows\assembly\GAC_MSIL\System.DirectoryServices.Protocols\2.0.0.0__b03f5f7f11d50a3a\System.DirectoryServices.Protocols.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	970752              c:\windows\assembly\GAC_MSIL\System.Deployment\2.0.0.0__b03f5f7f11d50a3a\System.Deployment.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	970752              c:\windows\assembly\GAC_MSIL\System.Deployment\2.0.0.0__b03f5f7f11d50a3a\System.Deployment.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	745472              c:\windows\assembly\GAC_MSIL\System.Data.SqlXml\2.0.0.0__b77a5c561934e089\System.Data.SqlXml.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	745472              c:\windows\assembly\GAC_MSIL\System.Data.SqlXml\2.0.0.0__b77a5c561934e089\System.Data.SqlXml.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	425984              c:\windows\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.configuration.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	425984              c:\windows\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.configuration.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	110592              c:\windows\assembly\GAC_MSIL\sysglobl\2.0.0.0__b03f5f7f11d50a3a\sysglobl.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	110592              c:\windows\assembly\GAC_MSIL\sysglobl\2.0.0.0__b03f5f7f11d50a3a\sysglobl.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	659456              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	659456              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	372736              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	372736              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	110592              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility.Data\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.Data.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	110592              c:\windows\assembly\GAC_MSIL\Microsoft.VisualBasic.Compatibility.Data\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Compatibility.Data.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	749568              c:\windows\assembly\GAC_MSIL\Microsoft.JScript\8.0.0.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	749568              c:\windows\assembly\GAC_MSIL\Microsoft.JScript\8.0.0.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	655360              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Tasks\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Tasks.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	655360              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Tasks\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Tasks.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	348160              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Engine\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Engine.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	348160              c:\windows\assembly\GAC_MSIL\Microsoft.Build.Engine\2.0.0.0__b03f5f7f11d50a3a\Microsoft.Build.Engine.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	507904              c:\windows\assembly\GAC_MSIL\AspNetMMCExt\2.0.0.0__b03f5f7f11d50a3a\AspNetMMCExt.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	507904              c:\windows\assembly\GAC_MSIL\AspNetMMCExt\2.0.0.0__b03f5f7f11d50a3a\AspNetMMCExt.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	261632              c:\windows\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	261632              c:\windows\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	113664              c:\windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	113664              c:\windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	258048              c:\windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	258048              c:\windows\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	486400              c:\windows\assembly\GAC_32\System.Data.OracleClient\2.0.0.0__b77a5c561934e089\System.Data.OracleClient.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	486400              c:\windows\assembly\GAC_32\System.Data.OracleClient\2.0.0.0__b77a5c561934e089\System.Data.OracleClient.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	5242880              c:\windows\assembly\temp\V34C3KB2TK\System.Web.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	2048000              c:\windows\assembly\temp\UZOW4VMU2T\System.XML.dll
+ 2012-07-13 01:07 . 2012-07-13 01:07	2933248              c:\windows\assembly\temp\TJ5V972YC0\System.Data.dll
+ 2012-07-13 01:05 . 2012-07-13 01:05	3182592              c:\windows\assembly\temp\DE0QX29PNS\System.dll
- 2012-07-13 01:05 . 2012-07-13 01:05	3182592              c:\windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
+ 2012-07-16 06:19 . 2012-07-16 06:19	3182592              c:\windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	2048000              c:\windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	2048000              c:\windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	5025792              c:\windows\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	5025792              c:\windows\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	5062656              c:\windows\assembly\GAC_MSIL\System.Design\2.0.0.0__b03f5f7f11d50a3a\System.Design.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	5062656              c:\windows\assembly\GAC_MSIL\System.Design\2.0.0.0__b03f5f7f11d50a3a\System.Design.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	5242880              c:\windows\assembly\GAC_32\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	5242880              c:\windows\assembly\GAC_32\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	2933248              c:\windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	2933248              c:\windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
- 2012-07-13 01:07 . 2012-07-13 01:07	4550656              c:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
+ 2012-07-16 06:21 . 2012-07-16 06:21	4550656              c:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon1]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon2]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon3]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon4]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1EldosIconOverlay]
@="{ADAF0064-8029-4C6B-930C-3ECE4775A678}"
[HKEY_CLASSES_ROOT\CLSID\{ADAF0064-8029-4C6B-930C-3ECE4775A678}]
2011-11-04 19:33	158224	----a-w-	c:\windows\system32\CbFsMntNtf3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2011-11-04 19:33	158224	----a-w-	c:\windows\system32\CbFsMntNtf3.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-04-28 570664]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-11-11 995328]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-12-18 40368]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-06 421736]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Act.Outlook.Service"="c:\programme\ACT\Act for Windows\Act.Outlook.Service.exe" [2011-11-15 18432]
"Act! Preloader"="c:\programme\ACT\Act for Windows\ActSage.exe" [2011-11-15 337224]
"emsisoft anti-malware"="c:\programme\emsisoft anti-malware\a2guard.exe" [2012-06-17 3367328]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2011-07-27 434080]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
.
c:\dokumente und einstellungen\stjepan.sisko\Startmenü\Programme\Autostart\
FAXRX.lnk - c:\programme\Brother\Brmfl05c\FAXRX.exe [2008-10-7 499712]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
C-CHANNEL OnlineUpdate.lnk - c:\programme\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe [2009-10-23 1021768]
DocAction (Plustek PL3000).lnk - c:\programme\Plustek\Plustek PL3000\DocuAction.exe [2010-1-14 61440]
Sage ACT! Integration.lnk - c:\programme\ACT\Act for Windows\Sage.ACT.Integration.exe [N/A]
VPN Client.lnk - c:\windows\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-10-7 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Abac\\DF\\AbaKernelSurrogate.exe"=
"c:\\Abac\\DF\\abaliveupd.exe"=
"c:\\Programme\\Citrix\\Access Gateway\\cag_plugin.exe"=
"c:\\Programme\\ACT\\Act for Windows\\ActSage.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 A2DDA;A2 Direct Disk Access Support Driver;c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [12.07.2012 15:08 17904]
R1 a2injectiondriver;a2injectiondriver;c:\programme\Emsisoft Anti-Malware\a2dix86.sys [12.07.2012 15:08 37856]
R1 a2util;a-squared Malware-IDS utility driver;c:\programme\Emsisoft Anti-Malware\a2util32.sys [12.07.2012 15:08 11776]
R1 cbfs3;cbfs3;c:\windows\system32\drivers\cbfs3.sys [12.11.2011 14:16 296592]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [12.07.2012 15:08 3069752]
R2 ActService;ACT! Service Host;c:\programme\ACT\Act for Windows\Act.Server.Host.exe [16.11.2011 00:34 18432]
R2 cag;Citrix cag plugin for Access Gateway;c:\programme\Gemeinsame Dateien\Deterministic Networks\Common files\cag.sys [10.08.2009 14:18 78360]
R2 MSSQL$ACT7;SQL Server (ACT7);c:\programme\Microsoft SQL Server\MSSQL10_50.ACT7\MSSQL\Binn\sqlservr.exe [21.09.2011 13:07 42884448]
R2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\programme\Nitro PDF\Professional\NitroPDFDriverService.exe [03.02.2011 19:13 196928]
R2 Pervasive.SQL (relational);Pervasive.SQL (relational);c:\abasys\pvsw\bin\w3sqlmgr.exe [05.02.2009 20:23 28724]
R2 Pervasive.SQL (transactional);Pervasive.SQL (transactional);c:\abasys\pvsw\bin\ntbtrv.exe [05.02.2009 20:22 69680]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [19.01.2012 14:12 3034496]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [12.07.2012 15:08 54072]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [16.12.2011 17:53 25088]
S2 Sage ACT! Scheduler;Sage ACT! Scheduler;c:\programme\ACT\Act for Windows\Act.Scheduler.exe [16.11.2011 00:42 81920]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [11.04.2012 12:46 257696]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [21.09.2011 13:07 44896]
S4 RsFx0150;RsFx0150 Driver;c:\windows\system32\drivers\RsFx0150.sys [03.04.2010 11:02 240608]
S4 SQLAgent$ACT7;SQL Server Agent (ACT7);c:\programme\Microsoft SQL Server\MSSQL10_50.ACT7\MSSQL\Binn\SQLAGENT.EXE [21.09.2011 13:07 367456]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-16 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 02:36]
.
2012-07-16 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{6F7B342E-66C6-44C3-8376-8B033B5080C1}: NameServer = 192.168.1.2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-PCSuiteTrayApplication - c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-16 08:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1356)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(6008)
c:\programme\Wuala OverlayIcons\OverlayIcon.dll
c:\windows\system32\CbFsMntNtf3.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\abasys\pvsw\bin\NTDBSMGR.EXE
c:\windows\system32\IoctlSvc.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\TeamViewer\Version7\TeamViewer.exe
c:\programme\TeamViewer\Version7\tv_w32.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\spool\drivers\w32x86\3\WrtProc.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-16  08:42:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-16 06:42
ComboFix2.txt  2012-07-13 06:57
.
Vor Suchlauf: 25 Verzeichnis(se), 184'913'981'440 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 184'948'846'592 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0A06A9D105CFC3497B715CA8A417246A
         

--- --- ---

Hy. Ich habe kein Problem damit, wenn wer übers WE nicht antwortet

Folgende Einstellung absichtlich gesetzt ?

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
         

Wie läuft der Rechner ?

Hi

Ich habe in der Registry nur zwei Schlüssel selbst gesetzt und das sind die, die den Taskmanager und die Registry aktivieren.

Der Computer läuft soweit gut, musste einfach zuerst noch die Registry, den Taskmanager und den Desktop wieder freischalten aber das war kein Problem für solche Fälle gibt es ja so kleine Hilfstools.

Okay.

Ich brauche ein Sample einer Datei.


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

BleepingComputer.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/119074-suisa-nur-abgesicherter-modus-eingabeaufforderung.html#post866140

Suspect::
C:\Qoobox\Quarantine\c\programme\Emsisoft Anti-Malware\a2hooks32.dll

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"=-
SkipFix::
         

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hier das Logfile von ComboFix:
[code]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-07-14.01 - Administrator 16.07.2012  14:08:05.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.41.1031.18.2047.1303 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: Emsisoft Anti-Malware *Disabled/Outdated* {0F8591BB-342B-4493-91C3-4E948ED21255}
AV: Microsoft Security Essentials *Disabled/Outdated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-16 bis 2012-07-16  ))))))))))))))))))))))))))))))
.
.
2012-07-12 13:08 . 2012-07-16 12:04	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2012-07-12 12:43 . 2012-07-12 12:48	--------	d-----w-	c:\dokumente und einstellungen\admin.burger
2012-07-12 09:00 . 2012-07-12 09:00	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-07-12 08:57 . 2012-07-12 08:57	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\IsolatedStorage
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ACT
2012-07-12 08:56 . 2012-07-12 08:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PC Suite
2012-07-12 08:55 . 2012-07-12 08:55	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2012-07-09 09:54 . 2012-07-09 09:54	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsld12d674a.sys
2012-07-05 13:53 . 2012-07-05 13:53	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl73d43ae7.sys
2012-07-04 00:42 . 2012-07-09 19:59	--------	d-----w-	c:\windows\Microsoft Antimalware
2012-07-03 22:57 . 2012-07-03 22:57	--------	d-----w-	C:\Quarantine
2012-06-27 18:59 . 2012-06-27 18:59	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl00165055.sys
2012-06-27 18:54 . 2012-06-27 18:54	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2012-06-27 18:30 . 2012-06-27 18:30	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl6788edf4.sys
2012-06-27 18:27 . 2012-06-27 18:27	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKslcb9dae37.sys
2012-06-27 18:26 . 2012-06-27 18:26	--------	d-----w-	C:\f1fb56b1c65419db1714
2012-06-27 18:23 . 2012-06-27 18:23	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsl3ccd0321.sys
2012-06-27 18:06 . 2012-06-27 18:06	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\MpKsldbc098f6.sys
2012-06-27 01:26 . 2012-05-31 03:41	6762896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CFF4CF58-9E26-4A79-902E-A3F21FB6FCE3}\mpengine.dll
2012-06-26 01:26 . 2012-05-31 03:41	6762896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 13:19 . 2008-10-06 08:46	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2008-10-06 08:46	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-10-06 08:46	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2008-07-18 20:09	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-07-18 20:08	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2008-10-06 08:46	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-10-06 08:46	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2008-07-18 20:10	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-07-18 20:09	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 05:52	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-07-18 20:10	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2008-10-06 08:46	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2008-10-06 08:46	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2008-10-07 17:50	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2008-10-07 17:50	214256	----a-w-	c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2008-10-07 17:50	18160	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 05:52	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2008-04-14 05:23	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 14:40 . 2008-04-14 05:52	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 11:38 . 2008-04-14 05:25	385024	----a-w-	c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-05 03:14 . 2008-04-14 05:29	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 02:36 . 2012-04-11 10:46	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-05 02:36 . 2011-06-10 06:01	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-02 13:46 . 2008-10-06 08:44	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-05-01 16:08 . 2010-10-28 08:13	900	--sha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon1]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon2]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon3]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon4]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2011-05-26 14:07	559104	----a-w-	c:\programme\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1EldosIconOverlay]
@="{ADAF0064-8029-4C6B-930C-3ECE4775A678}"
[HKEY_CLASSES_ROOT\CLSID\{ADAF0064-8029-4C6B-930C-3ECE4775A678}]
2011-11-04 19:33	158224	----a-w-	c:\windows\system32\CbFsMntNtf3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2011-11-04 19:33	158224	----a-w-	c:\windows\system32\CbFsMntNtf3.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-04-28 570664]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-11-11 995328]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2009-12-18 40368]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-06 421736]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Act.Outlook.Service"="c:\programme\ACT\Act for Windows\Act.Outlook.Service.exe" [2011-11-15 18432]
"Act! Preloader"="c:\programme\ACT\Act for Windows\ActSage.exe" [2011-11-15 337224]
"emsisoft anti-malware"="c:\programme\emsisoft anti-malware\a2guard.exe" [2012-06-17 3367328]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
.
c:\dokumente und einstellungen\stjepan.sisko\Startmenü\Programme\Autostart\
FAXRX.lnk - c:\programme\Brother\Brmfl05c\FAXRX.exe [2008-10-7 499712]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
C-CHANNEL OnlineUpdate.lnk - c:\programme\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe [2009-10-23 1021768]
DocAction (Plustek PL3000).lnk - c:\programme\Plustek\Plustek PL3000\DocuAction.exe [2010-1-14 61440]
Sage ACT! Integration.lnk - c:\programme\ACT\Act for Windows\Sage.ACT.Integration.exe [N/A]
VPN Client.lnk - c:\windows\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-10-7 6144]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Abac\\DF\\AbaKernelSurrogate.exe"=
"c:\\Abac\\DF\\abaliveupd.exe"=
"c:\\Programme\\Citrix\\Access Gateway\\cag_plugin.exe"=
"c:\\Programme\\ACT\\Act for Windows\\ActSage.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 A2DDA;A2 Direct Disk Access Support Driver;c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [12.07.2012 15:08 17904]
R1 a2injectiondriver;a2injectiondriver;c:\programme\Emsisoft Anti-Malware\a2dix86.sys [12.07.2012 15:08 37856]
R1 a2util;a-squared Malware-IDS utility driver;c:\programme\Emsisoft Anti-Malware\a2util32.sys [12.07.2012 15:08 11776]
R1 cbfs3;cbfs3;c:\windows\system32\drivers\cbfs3.sys [12.11.2011 14:16 296592]
R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [12.07.2012 15:08 3069752]
R2 ActService;ACT! Service Host;c:\programme\ACT\Act for Windows\Act.Server.Host.exe [16.11.2011 00:34 18432]
R2 cag;Citrix cag plugin for Access Gateway;c:\programme\Gemeinsame Dateien\Deterministic Networks\Common files\cag.sys [10.08.2009 14:18 78360]
R2 MSSQL$ACT7;SQL Server (ACT7);c:\programme\Microsoft SQL Server\MSSQL10_50.ACT7\MSSQL\Binn\sqlservr.exe [21.09.2011 13:07 42884448]
R2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\programme\Nitro PDF\Professional\NitroPDFDriverService.exe [03.02.2011 19:13 196928]
R2 Pervasive.SQL (relational);Pervasive.SQL (relational);c:\abasys\pvsw\bin\w3sqlmgr.exe [05.02.2009 20:23 28724]
R2 Pervasive.SQL (transactional);Pervasive.SQL (transactional);c:\abasys\pvsw\bin\ntbtrv.exe [05.02.2009 20:22 69680]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [19.01.2012 14:12 3034496]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [12.07.2012 15:08 54072]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [16.12.2011 17:53 25088]
S2 Sage ACT! Scheduler;Sage ACT! Scheduler;c:\programme\ACT\Act for Windows\Act.Scheduler.exe [16.11.2011 00:42 81920]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [11.04.2012 12:46 257696]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [21.09.2011 13:07 44896]
S4 RsFx0150;RsFx0150 Driver;c:\windows\system32\drivers\RsFx0150.sys [03.04.2010 11:02 240608]
S4 SQLAgent$ACT7;SQL Server Agent (ACT7);c:\programme\Microsoft SQL Server\MSSQL10_50.ACT7\MSSQL\Binn\SQLAGENT.EXE [21.09.2011 13:07 367456]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-16 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 02:36]
.
2012-07-16 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: Interfaces\{6F7B342E-66C6-44C3-8376-8B033B5080C1}: NameServer = 192.168.1.2
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-16 14:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1352)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(5820)
c:\programme\Wuala OverlayIcons\OverlayIcon.dll
c:\windows\system32\CbFsMntNtf3.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-07-16  14:10:37
ComboFix-quarantined-files.txt  2012-07-16 12:10
ComboFix2.txt  2012-07-16 06:42
ComboFix3.txt  2012-07-13 06:57
.
Vor Suchlauf: 25 Verzeichnis(se), 185'222'037'504 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 185'200'754'688 Bytes frei
.
- - End Of File - - CCDA516BFD5267161D174542ED5D061E
         

--- --- ---

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

for %%g in (
"C:\Qoobox\Quarantine\c\programme\Emsisoft Anti-Malware\a2hooks32.dll"
) do (
zip "%userprofile%\Desktop\Submission.zip" %%g
)
del %0
         

• Wähle Datei --> Speichern unter
• Dateiname: grap.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen
  
• Starte die grap.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Dies wird eine submission.zip auf deinem Desktop erstellen.


Gehe bitte hier hin
Submit Malware Sample

Kopiere bitte in:
Link to topic where this file was requested:

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/119074-suisa-nur-abgesicherter-modus-eingabeaufforderung.html
         

Klicke auf Durchsuchen und wähle die Submission.zip


Berichte, ob der Upload erfolgreich war

Hi

Vielen Dank für deine Hilfe aber es hat sich inzwischen erledigt.

Froh das wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen