Hallo,
mein PC hat sich vorhin aufgehängt, mitten im Internet Explorer, ich hab Resettet, und dann war auf einmal mein Antivir weg, das Sicherheitscenter ist weg, lässt sich nicht mehr öffnen, und die Firewall von Windows ist deaktiviert.
SpyBot ist auch weg.

Hier mein log file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:07, on 13.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
E:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Nero 7 Ultra Edition\Nero 7\Nero StartSmart\NeroStartSmart.exe
E:\Programme\Nero 7 Ultra Edition\Nero 7\Nero BackItUp\BackItUp.exe
E:\Programme\Nero 7 Ultra Edition\Nero 7\Nero BackItUp\NBService.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Xplorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: ole2disp32 - C:\WINDOWS\SYSTEM32\ole2disp32.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7 Ultra Edition\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: WisoBoerseWatchDog - Unknown owner - D:\Programme\Buhl\Börse 2007\bin\watchdog.exe (file missing)

--
End of file - 4773 bytes





Hab während dem Log FIle noch schnell ein Backup gemacht, nciht dass sich jemand über Nero wundert

Kann mir jemand weiter helfen??

Danke schonmal!

Hallo.

C:\WINDOWS\SYSTEM32\ole2disp32.dll

Werte die Datei bitte mal online bei Virsutotal aus und poste das Ergebnis.

ole2disp32.dll habe ich überprüfen lassen, die ist in Ordnung.

Habe bei VirusTotal.de mein komplettes System prüfen lassen, 1 Trojaner war drauf. Nachdem ich diesen aber gelöscht habe, kann ich immer noch nicht Antivir entpacken, weil die exe-Dateien weiterhin nicht entpackt werden.

Bitte um weitere Hilfe!! Der PC läuft normal.
Kann ich irgendwie feststellen, dass jetzt kein Virus mehr drauf ist, und ich das System wieder hinbekommen kann, dass Antivir installiert werden kann?


€: AhnLab-V3 2007.9.13.0 2007.09.12 -
AntiVir 7.6.0.10 2007.09.13 -
Authentium 4.93.8 2007.09.13 -
Avast 4.7.1043.0 2007.09.13 -
AVG 7.5.0.485 2007.09.13 -
BitDefender 7.2 2007.09.13 -
CAT-QuickHeal 9.00 2007.09.13 -
ClamAV 0.91.2 2007.09.13 -
DrWeb 4.33 2007.09.13 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5134 2007.09.13 -
Ewido 4.0 2007.09.13 -
FileAdvisor 1 2007.09.13 -
Fortinet 3.11.0.0 2007.09.13 -
F-Prot 4.3.2.48 2007.09.13 -
F-Secure 6.70.13030.0 2007.09.13 -
Ikarus T3.1.1.12 2007.09.13 -
Kaspersky 4.0.2.24 2007.09.13 -
McAfee 5119 2007.09.13 -
Microsoft 1.2803 2007.09.13 VirTool:Win32/Obfuscator.L
NOD32v2 2528 2007.09.13 -
Norman 5.80.02 2007.09.13 -
Panda 9.0.0.4 2007.09.13 -
Prevx1 V2 2007.09.13 -
Rising 19.40.32.00 2007.09.13 -
Sophos 4.21.0 2007.09.13 -
Sunbelt 2.2.907.0 2007.09.13 -
Symantec 10 2007.09.13 -
TheHacker 6.1.10.186 2007.09.13 -
VBA32 3.12.2.4 2007.09.13 -
VirusBuster 4.3.26:9 2007.09.13 -
Webwasher-Gateway 6.0.1 2007.09.13 Win32.UPXpacked.gen (suspicious)

2 Funde

Zitat:

ole2disp32.dll habe ich überprüfen lassen, die ist in Ordnung.

Kann ich mir nicht vorstellen, der Name deutet ziemlich auf Malware hin.
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Blacklight
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Ich kann eScan nicht im Abgesicherten Modus ausführen wie verlangt, da der Abgesicherte Modus bzw. der Abgesicherte Modus mit Netzwerktreibern während dem Laden abbricht und der PC neu bootet!!

Ich führe eScan jetzt einfach im normalen Modus aus, alles andere geht nicht.

SilentRunners log:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTSysVol" = "C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r" ["Creative Technology Ltd"]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"" [null data]
"zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "E:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson File Manager"
-> {HKLM...CLSID} = "Sony Ericsson File Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson File Manager"
-> {HKLM...CLSID} = "Sony Ericsson File Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> ole2disp32\DLLName = "ole2disp32.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "E:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "E:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Default executables:
--------------------

HKCU\Software\Classes\batfile\

HKCU\Software\Classes\cmdfile\


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoRecentDocsHistory" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoMSAppLogo5ChannelNotify" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoToolbarCustomize" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoBandCustomize" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\

"DisableRIED" = (REG_DWORD) hex:0x00000000
{Do not allow resetting Internet Explorer settings}

HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\

"NoJITSetup" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoUpdateCheck" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoSplash" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "E:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Crypkey License, Crypkey License, "crypserv.exe" ["CrypKey (Canada) Ltd."]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-09-14 15:13:10)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 22 seconds, including 10 seconds for message boxes)

Blacklight hat folgendes gefunden:

hldrrr.exe (hab grade gegooglet, scheint sich bei mir um Bagle-Wurm zu handeln) Hab auch einen der Reg-Einträge gefunden die Bagle macht ("HKCU-Software-FirstRRRun")
hidr.exe
srosa.sys

logfile Blacklight:
09/14/07 15:05:02 [Info]: BlackLight Engine 1.0.64 initialized
09/14/07 15:05:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/14/07 15:05:02 [Note]: 7019 4
09/14/07 15:05:02 [Note]: 7005 0
09/14/07 15:05:03 [Note]: 7006 0
09/14/07 15:05:03 [Note]: 7011 1828
09/14/07 15:05:03 [Note]: 7026 0
09/14/07 15:05:03 [Note]: 7026 0
09/14/07 15:05:05 [Note]: FSRAW library version 1.7.1022
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
09/14/07 15:05:14 [Note]: 10002 3
09/14/07 15:05:14 [Note]: 10002 2
09/14/07 15:05:14 [Note]: 10002 2
09/14/07 15:06:09 [Note]: 10002 2
09/14/07 15:06:09 [Note]: 10002 2
09/14/07 15:06:16 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
09/14/07 15:06:16 [Note]: 10002 2
09/14/07 15:06:19 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/14/07 15:06:19 [Note]: 10002 2
09/14/07 15:06:19 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
09/14/07 15:06:19 [Note]: 10002 2
09/14/07 15:12:08 [Note]: 7007 0

filelist log:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\

14.09.2007 15:12 1.610.612.736 pagefile.sys
12.09.2007 21:39 13.030 PDOXUSRS.NET
11.09.2007 13:04 225 boot.ini
10.09.2007 20:02 2.820 CKINFO.TXT
31.08.2007 18:00 19 moduleName.txt
27.08.2007 17:53 0 itouch_config_crash_info.txt
27.08.2007 16:24 0 itouch_crash_info.txt
27.08.2007 12:57 191 TO_InstallLog.txt
27.08.2007 12:42 309 ToCaclLg.txt
27.08.2007 12:03 0 MSDOS.SYS
27.08.2007 12:03 0 AUTOEXEC.BAT
27.08.2007 12:03 0 CONFIG.SYS
27.08.2007 12:03 0 IO.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
02.04.2003 14:00 4.952 bootfont.bin
16 Datei(en) 1.610.933.030 Bytes
0 Verzeichnis(se), 32.947.400.704 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\WINDOWS\system32

12.09.2007 21:33 52 vs20517.ini
10.09.2007 19:52 13.646 wpa.dbl
10.09.2007 18:10 5.248 giveio.sys
05.09.2007 16:28 8 ade81f68.dat
02.09.2007 17:49 16.832 amcompat.tlb
02.09.2007 17:49 23.392 nscompat.tlb
02.09.2007 17:49 471.160 FNTCACHE.DAT
31.08.2007 18:21 392.432 perfh009.dat
31.08.2007 18:21 405.448 perfh007.dat
31.08.2007 18:21 58.732 perfc009.dat
31.08.2007 18:21 899.764 PerfStringBackup.INI
31.08.2007 18:21 70.778 perfc007.dat
30.08.2007 14:44 2.278.400 TUKernel.exe
29.08.2007 10:00 128.998 TZLog.log
28.08.2007 12:37 87 ssprs.tgz
28.08.2007 12:37 73 ssprs.dll
28.08.2007 12:37 219 lsprst7.tgz
28.08.2007 12:37 205 lsprst7.dll
28.08.2007 12:37 1.025 sysprs7.tgz
28.08.2007 12:37 1.025 sysprs7.dll
28.08.2007 12:37 1.025 clauth1.dll
28.08.2007 12:37 1.025 clauth2.dll
28.08.2007 08:57 1.680 esnecil.ind
27.08.2007 19:31 1.680 esnecil.nlp
27.08.2007 18:54 0 h323log.txt
27.08.2007 15:40 98.304 CmdLineExt.dll
27.08.2007 13:12 5.214 jupdate-1.6.0_02-b06.log
27.08.2007 13:10 13.646 wpa.bak
27.08.2007 12:36 8.999 NULL
27.08.2007 12:11 308 results.txt
27.08.2007 12:10 6.961 jupdate-1.5.0_07-b03.log
27.08.2007 12:04 261 $winnt$.inf
27.08.2007 12:03 2.951 CONFIG.NT
27.08.2007 12:02 488 WindowsLogon.manifest
27.08.2007 12:02 488 logonui.exe.manifest
27.08.2007 12:02 749 wuaucpl.cpl.manifest
27.08.2007 12:02 749 nwc.cpl.manifest
27.08.2007 12:02 749 sapi.cpl.manifest
27.08.2007 12:02 749 ncpa.cpl.manifest
27.08.2007 12:02 749 cdplayer.exe.manifest
27.08.2007 12:00 21.740 emptyregdb.dat
02.08.2007 21:34 16.789.464 MRT.exe


----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\WINDOWS\Prefetch

14.09.2007 15:26 18.158 NOTEPAD.EXE-336351A9.pf
14.09.2007 15:26 16.270 CMD.EXE-087B4001.pf
14.09.2007 15:25 10.718 REG.EXE-0D2A95F7.pf
14.09.2007 15:25 5.982 MORE.COM-32DCB7E4.pf
14.09.2007 15:25 10.932 FINDSTR.EXE-0CA6274B.pf
14.09.2007 15:24 17.436 VERCLSID.EXE-3667BD89.pf
14.09.2007 15:22 33.466 FSBL.EXE-1BA06072.pf
14.09.2007 15:21 80.094 IEXPLORE.EXE-2CA9778D.pf
14.09.2007 15:19 14.116 REGEDIT.COM-08A42FB8.pf
14.09.2007 15:16 99.298 WINRAR.EXE-3588DFE8.pf
14.09.2007 15:14 24.518 NETSH.EXE-085CFFDE.pf
14.09.2007 15:14 26.690 WIFIUSB.EXE-075AD046.pf
14.09.2007 15:14 4.410 PCANUSER.EXE-28D31865.pf
14.09.2007 15:14 1.206.454 NTOSBOOT-B00DFAAD.pf
14.09.2007 15:02 41.194 MEXE.COM-136CBDA7.pf
14.09.2007 15:02 15.512 MWAVL.EXE-26FA1EFC.pf
14.09.2007 15:02 94.088 MWAV.EXE-0DE81DBF.pf
14.09.2007 15:00 28.630 WMIPRVSE.EXE-28F301A9.pf
14.09.2007 14:53 33.798 FOXITR~1.EXE-0BF42D29.pf
14.09.2007 14:51 88.432 ANTIVIR_WORKSTATION_WIN7U_DE_-1D0A39B4.pf
13.09.2007 21:25 32.438 TU_LOGONUI.EXE-381C5638.pf
13.09.2007 21:24 55.032 RUNDLL32.EXE-2905E326.pf
13.09.2007 21:24 102.616 TASKMGR.EXE-20256C55.pf
13.09.2007 21:15 20.332 IPCONFIG.EXE-2395F30B.pf
13.09.2007 21:10 64.504 REGEDIT.EXE-1B606482.pf
13.09.2007 21:09 93.912 TSC.EXE-1637876B.pf
13.09.2007 20:36 54.258 PATCH.EXE-2A093CB9.pf
13.09.2007 20:09 65.534 WINWORD.EXE-259486DA.pf
13.09.2007 20:08 104.564 OUTLOOK.EXE-27D5965C.pf
13.09.2007 20:07 14.532 AGENTSVR.EXE-002E45AB.pf
13.09.2007 20:06 12.210 RUNDLL32.EXE-451FC2C0.pf
13.09.2007 19:57 16.358 NTVDM.EXE-1A10A423.pf
13.09.2007 19:53 94.518 RUNDLL32.EXE-327ED30F.pf
13.09.2007 19:53 55.200 ALG.EXE-0F138680.pf
13.09.2007 19:52 40.184 RUNDLL32.EXE-3D97474F.pf
13.09.2007 19:52 55.112 CONTROL.EXE-013DBFB5.pf
13.09.2007 19:51 60.688 MSHTA.EXE-331DF029.pf
13.09.2007 19:51 27.314 RUNDLL32.EXE-265B85FB.pf
13.09.2007 19:49 60.964 ANTIVIR_WORKSTATION_WIN7U_DE_-0A1857C7.pf
13.09.2007 19:41 20.432 HIJACKTHIS.EXE-16BE1076.pf
13.09.2007 19:41 24.256 HIJACKTHIS[1].EXE-00439ADF.pf
13.09.2007 19:25 35.758 EXPLORER.EXE-082F38A9.pf
13.09.2007 19:23 27.440 NBSERVICE.EXE-1610475E.pf
13.09.2007 19:23 78.820 BACKITUP.EXE-03F1E7CF.pf
13.09.2007 19:23 68.438 NEROSTARTSMART.EXE-2221ECF7.pf
13.09.2007 19:20 14.612 SVCHOST.EXE-3530F672.pf
13.09.2007 19:19 68.240 ICQLITE.EXE-27EB5A87.pf
13.09.2007 19:17 62.044 ANTIVIR_WORKSTATION_WIN7U_DE_-3927256B.pf
13.09.2007 19:16 14.338 REGSVR32.EXE-25EEFE2F.pf
13.09.2007 19:16 56.794 SETUP.EXE-12BD2899.pf
13.09.2007 18:35 8.004 QTTASK.EXE-2D7EEF34.pf
13.09.2007 18:31 10.516 PCWXPPROME.EXE-227278BB.pf
13.09.2007 18:30 12.820 PCWXPPROME.Z.EXE-1CC9BE39.pf
13.09.2007 17:55 90.312 ITUNES.EXE-007CC0CD.pf
13.09.2007 17:18 96.638 RFACTOR.EXE-2466E8E8.pf
13.09.2007 17:17 10.488 RFACTOR.1.250.LOADER.EXE-34FE484A.pf
12.09.2007 21:52 29.878 SETUP_WM.EXE-19AC5A9B.pf
12.09.2007 21:41 85.180 BF2.EXE-39888C77.pf
12.09.2007 21:41 11.014 ~E5D141.TMP-0E2A8FFF.pf
12.09.2007 21:41 45.634 BFVIETNAM.EXE-1B75824C.pf
12.09.2007 21:33 50.782 RSB.EXE-02B18EBA.pf
12.09.2007 21:33 21.848 DBPROOF.EXE-330D0E11.pf
12.09.2007 21:33 21.528 RSBSTART.EXE-16310806.pf
12.09.2007 21:23 65.786 RUNDLL32.EXE-2F7AD2CA.pf
12.09.2007 20:47 59.078 WMPLAYER.EXE-09969338.pf
12.09.2007 19:44 55.530 IMAPI.EXE-0BF740A4.pf
12.09.2007 19:36 12.870 NMBGMONITOR.EXE-0BC10095.pf
12.09.2007 19:36 41.510 NMIndexStoreSvr.exe-1DBCF9FD.pf
12.09.2007 19:36 61.832 NERO.EXE-14267466.pf
12.09.2007 16:26 88.792 IPODSERVICE.EXE-233792DA.pf
12.09.2007 15:11 35.472 RUNDLL32.EXE-4CBDB08C.pf
12.09.2007 15:11 35.090 RUNDLL32.EXE-39E24541.pf
12.09.2007 15:11 62.296 RUNDLL32.EXE-18B212B9.pf
12.09.2007 08:28 52.376 GC02.EXE-0343D4F5.pf
12.09.2007 08:28 31.992 GC02.DAT-0158E1BD.pf
12.09.2007 08:28 100.418 MSIEXEC.EXE-2F8A8CAE.pf
11.09.2007 18:46 65.130 GOOGLEEARTH.EXE-0978F2AD.pf
11.09.2007 18:46 10.988 MSI20.TMP-22FCE537.pf
11.09.2007 18:46 8.762 MSI1F.TMP-1F500450.pf
11.09.2007 18:46 34.842 STUB_UNINSTALLER.EXE-2364FC9E.pf
11.09.2007 18:46 5.308 GOOGLE_EARTH_BZXD[1].EXE-1FA89293.pf
11.09.2007 18:45 16.010 SXE13.TMP-18F74671.pf
11.09.2007 18:40 65.918 GOOGLEEARTH.EXE-09D28A7F.pf
11.09.2007 18:40 46.074 GOOGLE_EARTH2746.EXE-28EC06AA.pf
11.09.2007 16:59 18.734 ITOUCHCF.EXE-35A4AE5D.pf
11.09.2007 16:58 39.690 HH.EXE-2D1A70B3.pf
11.09.2007 16:58 18.252 SSC_SERV.EXE-39F368B0.pf
11.09.2007 16:57 63.654 HELPSVC.EXE-2878DDA2.pf
11.09.2007 16:55 593.620 Layout.ini
11.09.2007 15:05 29.294 ITOUCH.EXE-37A5852C.pf
11.09.2007 15:04 78.928 IKERNEL.EXE-092EF074.pf
11.09.2007 15:04 72.998 WMPLAYER.EXE-09969332.pf
11.09.2007 15:00 61.706 RUNDLL32.EXE-1BC55A4F.pf
11.09.2007 14:59 28.854 FLEC006.EXE-28563781.pf
11.09.2007 13:17 9.354 LOGON.SCR-151EFAEA.pf
11.09.2007 13:17 31.598 BAYLIS~1.SCR-26BFD16F.pf
10.09.2007 20:07 102.242 WUAUCLT.EXE-399A8E72.pf
10.09.2007 19:36 18.942 TIMER.EXE-2DA0D043.pf
10.09.2007 16:33 13.010 RUNDLL32.EXE-268BFF96.pf
99 Datei(en) 6.003.230 Bytes
0 Verzeichnis(se), 32.947.290.112 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\WINDOWS

14.09.2007 15:14 727 win.ini
14.09.2007 15:14 169.527 error.log
14.09.2007 15:12 0 0.log
14.09.2007 15:12 159 wiadebug.log
14.09.2007 15:12 50 wiaservc.log
14.09.2007 15:12 2.048 bootstat.dat
14.09.2007 15:12 1.159 errord.log
14.09.2007 15:12 20.886 SchedLgU.Txt
14.09.2007 15:12 1.502.839 WindowsUpdate.log
13.09.2007 17:55 54.156 QTFont.qfn
13.09.2007 17:55 1.409 QTFont.for
12.09.2007 21:52 20.119 wmsetup.log
11.09.2007 15:04 178.696 setupapi.log
11.09.2007 15:04 205 setupact.log
11.09.2007 13:16 194.560 bayliss_sepang.scr
11.09.2007 13:16 12.288 impborl.dll
11.09.2007 13:16 606.848 flashax.exe
11.09.2007 13:04 227 system.ini
10.09.2007 19:39 31 iltwain.ini
10.09.2007 16:40 69 NeroDigital.ini
09.09.2007 12:12 8.044 EPSTPLOG.TXT
05.09.2007 10:54 68.711 DirectX.log
03.09.2007 16:59 13.538 spupdsvc.log
03.09.2007 09:25 7.777 iis6.log
03.09.2007 09:25 16.221 comsetup.log
03.09.2007 09:25 9.850 ntdtcsetup.log
03.09.2007 09:25 18.872 tsoc.log
03.09.2007 09:25 2.736 ocmsn.log
03.09.2007 09:25 1.355 imsins.log
03.09.2007 09:25 9.805 KB929399.log
03.09.2007 09:25 2.424 msgsocm.log
03.09.2007 09:25 23.328 ocgen.log
03.09.2007 09:25 49.467 FaxSetup.log
03.09.2007 09:25 1.355 imsins.BAK
03.09.2007 09:25 9.535 KB939683.log
03.09.2007 09:25 9.892 KB936782.log
02.09.2007 17:49 2.992 wmsetup10.log
02.09.2007 17:05 8.105 KB926239.log
02.09.2007 17:05 1.396 updspapi.log
02.09.2007 17:05 6.084 MSCompPackV1.log
02.09.2007 17:05 17.991 wmp11.log
02.09.2007 17:04 29.526 WMFDist11.log
02.09.2007 17:04 10.601 Wudf01000Inst.log
31.08.2007 18:20 5.564 KB893803v2.log
31.08.2007 18:14 10 WININIT.INI
31.08.2007 17:39 109.620 ntbtlog.txt
31.08.2007 13:21 796.672 GPInstall.exe
27.08.2007 19:31 4 vx86036.dat
27.08.2007 19:31 67 Crypkey.ini
27.08.2007 18:53 0 Sti_Trace.log
27.08.2007 18:50 0 setuperr.log
27.08.2007 18:22 291 BUHL.INI
27.08.2007 16:59 279 game.ini
27.08.2007 16:35 552 eReg.dat
27.08.2007 15:29 508 ODBC.INI
27.08.2007 15:29 4.325 ODBCINST.INI
27.08.2007 14:36 0 SBWIN.INI
27.08.2007 14:01 4.372 Ascd_tmp.ini
27.08.2007 14:00 16.671 EPSTPLOG.BAK
27.08.2007 13:59 25 CDEC84Euro.ini
27.08.2007 13:54 516 MAXLINK.INI
27.08.2007 12:06 829 OEWABLog.txt
27.08.2007 12:05 8.192 REGLOCS.OLD
27.08.2007 12:03 0 control.ini
27.08.2007 12:03 316.640 WMSysPr9.prx
27.08.2007 12:02 749 WindowsShell.Manifest
27.08.2007 12:00 37 vbaddin.ini
27.08.2007 12:00 36 vb.ini
13.06.2007 15:21 1.036.288 explorer.exe
12.09.2005 16:13 233.472 UNRecode.exe
12.09.2005 16:13 233.472 UNNeroBackItUp.exe
12.09.2005 16:13 233.472 UNNeroVision.exe
30.08.2005 21:37 50 UNNeroVision.cfg
30.08.2005 21:36 50 UNRecode.cfg
30.08.2005 21:33 50 UNNeroBackItUp.cfg
27.05.2005 01:22 10.752 hh.exe
04.08.2004 01:59 1.014.663 SET3.tmp
04.08.2004 01:55 14.043 SET8.tmp
04.08.2004 01:53 1.086.058 SET4.tmp
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 153.600 REGEDIT.COM
04.08.2004 00:58 153.600 R.COM
04.08.2004 00:58 70.144 NOTEPAD.EXE
04.08.2004 00:57 50.688 twain_32.dll


----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\WINDOWS\tasks

14.09.2007 15:12 6 SA.DAT
02.04.2003 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 32.947.294.208 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\WINDOWS\temp

13.09.2007 07:40 16.384 Perflib_Perfdata_884.dat
08.09.2007 20:22 38 DSP7.tmp
08.09.2007 19:05 416 DSP8.tmp
08.09.2007 19:05 369.728 DSP4.tmp
08.09.2007 16:10 28 DSP6.tmp
08.09.2007 15:45 369.728 DSP5.tmp
07.09.2007 14:42 0 Upd7.tmp
06.09.2007 14:42 0 Upd6.tmp
05.09.2007 14:42 0 Upd3F.tmp
04.09.2007 14:42 0 Upd5.tmp
03.09.2007 13:11 0 Upd5F.tmp
02.09.2007 13:11 0 Upd4.tmp
01.09.2007 12:41 0 UpdF.tmp
31.08.2007 12:41 0 Upd3.tmp
31.08.2007 12:41 0 Upd2.tmp
30.08.2007 12:29 89.680 MSSSerif120.fon
30.08.2007 12:08 0 Upd8.tmp
29.08.2007 12:08 0 Upd18.tmp
28.08.2007 12:08 0 UpdC.tmp
27.08.2007 13:06 0 Upd1.tmp
20 Datei(en) 846.002 Bytes
0 Verzeichnis(se), 32.947.290.112 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5025-F9DB

Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp

14.09.2007 15:26 111.748 filelist.txt
14.09.2007 15:02 9.548 MWAV.LOG
14.09.2007 15:02 3.432 mwXface.log
14.09.2007 15:02 36.921 kavssi.dll
14.09.2007 15:02 626.688 msvcr80.dll
14.09.2007 15:02 548.864 msvcp80.dll
14.09.2007 15:02 241.664 MYDB.DLL
13.09.2007 21:15 1.040 java_install_reg.log
13.09.2007 18:48 512 ~DF6433.tmp
13.09.2007 18:48 16.384 ~DF6441.tmp
13.09.2007 18:48 16.384 ~DF6428.tmp
13.09.2007 18:48 512 ~DF6465.tmp
13.09.2007 18:48 16.384 ~DF645A.tmp
13.09.2007 18:48 512 ~DF644C.tmp
13.09.2007 18:48 16.384 ~DF640F.tmp
13.09.2007 18:48 512 ~DF641A.tmp
13.09.2007 17:55 16.384 ~DFA16A.tmp
13.09.2007 17:55 512 ~DF995D.tmp
13.09.2007 17:55 16.384 ~DF9952.tmp
12.09.2007 21:41 46.080 ~e5d141.tmp
12.09.2007 08:28 761.534 Ti15.tmp
12.09.2007 08:28 510 MSI1ff0e.LOG
12.09.2007 08:28 323 DLL_{CEAA1720-56A7-4460-9EB0-A327352A97F1}.ini
12.09.2007 08:28 0 is10.tmp
12.09.2007 08:28 510 MSI1ff0d.LOG
12.09.2007 08:27 0 isA.tmp
12.09.2007 08:27 510 MSI1ff0c.LOG
12.09.2007 08:26 0 is4.tmp
12.09.2007 08:26 761.534 Ti1.tmp
11.09.2007 18:45 13.332.625 sxe12.7z
11.09.2007 18:45 0 sxe12.tmp
11.09.2007 14:59 852 307469b9.avp
10.09.2007 20:02 10.752 cksC.tmp
10.09.2007 20:02 43 ck delete.list
10.09.2007 19:53 85.673 jar_cache54555.tmp
08.09.2007 10:52 16.384 ~DFDF0D.tmp
08.09.2007 10:52 16.384 ~DFD905.tmp
05.09.2007 10:53 86.528 a298bbee.exe
04.09.2007 19:38 15.752 ICQ1C.tmp
04.09.2007 19:38 5.634 ICQ1B.tmp
04.09.2007 16:37 761.534 TiD.tmp
04.09.2007 15:02 761.534 Ti11.tmp
02.09.2007 15:44 761.534 Ti69.tmp
02.09.2007 15:16 761.534 Ti57.tmp
02.09.2007 13:14 761.534 Ti5.tmp
29.08.2007 20:17 14.646 ICQE.tmp
28.05.2007 15:49 22.256 avp.klb
28.05.2007 15:49 53.803 daily.avc
28.05.2007 15:49 2.217 daily-ex.avc
28.05.2007 15:49 45.252 dailyc.avc
28.05.2007 15:49 4.131 daily-ec.avc
28.05.2007 14:48 414.784 mwavscan.com
28.05.2007 14:48 414.784 mexe.com
28.05.2007 14:47 44.096 Getvlist.exe

habe die gleichen probleme!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Zitat:

Zitat von AndyMcBone

09/14/07 15:06:16 [Info]: Hidden file: c:\WINDOWS\system32\hldrrr.exe
09/14/07 15:06:16 [Note]: 10002 2
09/14/07 15:06:19 [Info]: Hidden file: c:\WINDOWS\system32\drivers\hidr.exe
09/14/07 15:06:19 [Note]: 10002 2
09/14/07 15:06:19 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys

Bei dir im System sind Hintertüren, und das sind wahrscheinlich nicht die einzigen.
Ich kann dir nur dringend raten, das System neu aufzusetzen.