Rechtsklicks, Oreans32 und Co.

DarthGoofy · 02.12.2007, 17:39

Hallo zusammmen!

Ich habe seit einigen Tagen arge Probleme mit meinem PC...

-Bei einem Rechtsklick auf die "Start" Schaltfläche stürzt mein PC ab (Reboot)
-Bei einem Rechtsklick auf Ordner und Symbole das gleiche.
-Ereignisanzeige meldet "Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
oreans32"

Ok dann habe ich also als erstes AntiVir drüberlaufen gelassen, keine Funde.
Dann habe ich im Internet gelesen dass AntiVir nicht so der Hit sei, also habe ich einen Online Test mit Panda gemacht. Der hat dann 3 Viren gefunden und angeblich neutralisiert. Schön dachte ich und hab mich des Lebens gefreut. Aber Pustekuchen, der Rechtsklick Fehler war weiterhin da...
Also wieder recherchiert und gelesen dass es die Erweiterungen im Kontextmenü seien müssten. Als Lösung sollte ich dann den Registry Pfad der dafür zuständig ist löschen. Gesagt getan, und schwupps ich kann wieder rechtsklicken. Aber zufrieden war ich noch immer nicht denn so ein Fehler kommt ja nicht aus der Luft. Und dann war da noch dieses Oreans32 Ding. Gegooglet und festgestellt dass die Meinungen darüber auseinandergehen... Auf einigen Seiten war das Teil eines bösen Trojaners, auf anderen nur Teil irgendeines Kopierschutzes... Da mich die ganze Sache beunruhigt poste ich hier mal diverse Logs und so in der Hoffnung ihr könnt mir helfen!

Hijack This!: (Habe die This.exe umbenannt wegen Malware)

Logfile of HijackThis v1.99.1
Scan saved at 17:14:28, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\***\Norton Save and Restore\Agent\VProSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\***\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
E:\Programme\virtual cd\System\VC8SecS.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\***\Norton Save and Restore\Agent\NSRTray.exe
D:\***\D-Tools\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
H:\TuneUp Utilities\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
D:\***\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
D:\***\MICROS~1\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mmc.exe
C:\Dokumente und Einstellungen\Martin\Desktop\this.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://wxw.games-fusion.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Save and Restore] "D:\***\Norton Save and Restore\Agent\NSRTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\***\D-Tools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "H:\TuneUp Utilities\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Jürgen\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Martin\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\_install\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\_install\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\_install\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\_install\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\***~1\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\***~1\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\***~1\MICROS~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\***\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\***\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114880100390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149620351796
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Save and Restore - Symantec Corporation - D:\***\Norton Save and Restore\Agent\VProSvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D

:\***\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\***\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\***\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - H:\TuneUp Utilities\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - E:\Programme\virtual cd\System\VC8SecS.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ComboFix:

ComboFix 07-12-02.5 - Martin 2007-12-02 16:21:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1434 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\DTBRH5FL\wxw.broadcaster.com
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#wxw.broadcaster.com
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#wxw.broadcaster.com\settings.sol
C:\WINDOWS\system32\Cache

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip

((((((((((((((((((((((( Dateien erstellt von 2007-11-02 bis 2007-12-02 ))))))))))))))))))))))))))))))
.

2007-11-30 15:11 . 2007-11-30 15:54 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-11-30 15:11 . 2007-11-30 15:11 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-11-30 15:11 . 2007-11-30 15:11 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-11-30 15:11 . 2007-11-30 15:11 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-11-27 10:47 . 2007-11-27 10:47 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\fretsonfire
2007-11-26 21:50 . 2007-11-26 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\***\Shared
2007-11-26 21:50 . 2007-11-26 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\***\Incomplete
2007-11-26 21:49 . 2007-11-26 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire
2007-11-19 20:23 . 2007-11-19 20:23 <DIR> d--hs---- C:\WinDVRHistory
2007-11-18 15:37 . 2007-11-18 15:37 582 --a------ C:\WINDOWS\eReg.dat
2007-11-18 01:53 . 2007-11-29 01:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-18 01:53 . 2007-11-18 01:53 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-13 17:40 . 2007-11-13 17:46 <DIR> d-------- C:\Programme\fuehrerscheinhilfe
2007-11-13 17:39 . 1998-02-06 21:35 304,128 --a------ C:\WINDOWS\unin0407.exe
2007-11-12 15:45 . 2007-11-12 15:45 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-11-12 15:45 . 2007-11-12 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\***\Contacts
2007-11-12 15:41 . 2007-11-18 15:25 <DIR> d-------- C:\Programme\Windows Live
2007-11-12 15:41 . 2007-11-12 15:44 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2007-11-12 15:40 . 2007-11-12 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2007-11-10 13:50 . 2007-11-10 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint
2007-11-10 13:49 . 2007-11-10 13:50 <DIR> d-------- C:\Programme\Viewpoint
2007-11-10 13:49 . 2007-11-10 13:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
2007-11-09 14:50 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-11-09 14:50 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-11-09 14:50 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2007-11-09 14:50 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-11-09 14:50 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-11-09 14:50 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 15:42 9,861,152 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-02 15:25 122,852 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-30 14:40 --------- d-----w C:\Programme\ZoneAlarm
2007-11-30 14:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-30 14:32 --------- d-----w C:\Programme\Craggle
2007-11-29 21:11 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2007-11-19 22:00 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire
2007-11-18 14:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-14 13:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-10-29 16:58 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-10-28 10:32 --------- d-----w C:\Programme\Windows Desktop Search
2007-10-11 18:37 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ Toolbar
2007-10-08 14:52 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2007-10-08 10:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2007-10-07 07:19 --------- d-----w C:\Programme\Java
2007-09-06 14:14 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2005-09-09 18:55 7,155,864 ----a-w C:\Programme\NGhost10.msi
2005-09-09 18:55 4,588,454 ----a-w C:\Programme\setup.exe
2005-09-09 18:55 37,766,164 ----a-w C:\Programme\Data1.cab
2005-09-09 18:55 35 ----a-w C:\Programme\SCSSDist.ini
2005-07-28 17:32 811 ----a-w C:\Programme\INSTALL.LOG
2006-08-12 16:45 90 --sh--w C:\WINDOWS\cnerolf.dat
2007-01-21 13:20 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2006-01-08 07:50 1,056 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="H:\TuneUp Utilities\MemOptimizer.exe" [2005-09-21 22:34]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"H/PC Connection Agent"="D:\***\Microsoft ActiveSync\wcescomm.exe" []
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-18 20:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 17:12]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2006-04-07 10:37]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 09:14]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-12-02 17:45]
"Norton Save and Restore"="D:\***\Norton Save and Restore\Agent\NSRTray.exe" []
"DAEMON Tools"="D:\***\D-Tools\DAEMON Tools\daemon.exe" []
"ZoneAlarm Client"="C:\Programme\ZoneAlarm\zlclient.exe" [2007-09-06 15:14]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"WinDVR SchSvr"="C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" [2006-12-21 19:06]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LogitechSoftwareUpdate"=C:\Programme\Logitech\Video\ManifestEngine.exe boot
"H/PC Connection Agent"="D:\***\Microsoft ActiveSync\wcescomm.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AnyDVD"=D:\***\AnyDVD\AnyDVD.exe
"Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\Martin\OctoshapeClient.exe" -inv:bootrun
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe
"LogitechVideoRepair"=C:\Programme\Logitech\Video\ISStart.exe
"LogitechVideoTray"=C:\Programme\Logitech\Video\LogiTray.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"WinDVR SchSvr"="C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"VC8Player"=E:\Programme\virtual cd\System\VC8Play.exe
"bgsmsnd.exe"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
"IJNetworkScanUtility"=C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
"SaiSmart"=C:\Programme\Saitek\Software\SaiSmart.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Profiler"=C:\Programme\Saitek\Software\Profiler.exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

R0 Alco347b;Alco347b;C:\WINDOWS\system32\DRIVERS\Alco347b.sys
R0 Alco347s;Alco347s;C:\WINDOWS\system32\Drivers\Alco347s.sys
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys
R1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys
R1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R1 V2IMount;V2IMount;C:\WINDOWS\system32\drivers\V2IMount.sys
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys
R2 Norton Save and Restore;Norton Save and Restore;D:\***\Norton Save and Restore\Agent\VProSvc.exe
R2 SVKP;SVKP;\??\C:\WINDOWS\system32\SVKP.sys
R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 Cap7134;EZ-TV TVP3XP WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 PhTvTune;EZ-TV TVP3XP WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys
S3 FlyPCI;FlyPCI;\??\C:\WINDOWS\system32\drivers\FlyPCI.sys
S3 HHCDHelp.sys;HHCDHelp.sys;\??\C:\WINDOWS\system32\drivers\HHCDHelp.sys
S3 Hl_mull;Hl_mull;C:\WINDOWS\system32\drivers\hl_mull.SYS
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc
S3 SaiHFFB5;SaiHFFB5;C:\WINDOWS\system32\DRIVERS\SaiHFFB5.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://wxw.gmer.net
Rootkit scan 2007-12-02 16:42:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-02 16:44:37 - machine was rebooted
.
--- E O F ---

DarthGoofy · 02.12.2007, 17:40

Filelist seit 2.11.2007

----- Root -----------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\

02.12.2007 16:44 11.559 ComboFix.txt
21.11.2007 09:22 4.096 VSNAP.IDX

13 Datei(en) 326.718 Bytes
0 Verzeichnis(se), 154.333.184 Bytes frei

----- System32 -------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\WINDOWS\system32

02.12.2007 16:41 2.206 wpa.dbl
02.12.2007 16:27 353.250 vsconfig.xml
30.11.2007 15:22 0 asfiles.txt
30.11.2007 15:11 2.550 Uninstall.ico
30.11.2007 15:11 1.406 Help.ico
30.11.2007 15:11 30.590 pavas.ico
25.11.2007 20:03 403.968 perfh009.dat
25.11.2007 20:03 63.188 perfc009.dat
25.11.2007 20:03 76.014 perfc007.dat
25.11.2007 20:03 418.970 perfh007.dat
25.11.2007 20:03 974.848 PerfStringBackup.INI
02.11.2007 08:12 18.238.072 MRT.exe

2659 Datei(en) 588.500.145 Bytes
0 Verzeichnis(se), 154.140.672 Bytes frei

----- Prefetch -------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\WINDOWS\Prefetch

02.12.2007 17:29 15.462 VERCLSID.EXE-3B227142.pf
02.12.2007 17:14 15.768 NOTEPAD.EXE-08F3A979.pf
02.12.2007 17:03 45.630 MMC.EXE-3A349B60.pf
02.12.2007 17:02 31.264 RUNDLL32.EXE-5BE0F1E3.pf
02.12.2007 17:02 24.300 WUAUCLT.EXE-12D8E25E.pf
02.12.2007 17:01 32.664 WMIPRVSE.EXE-0E69CB0B.pf
02.12.2007 16:59 34.166 UPDCLIENT.EXE-26C35E40.pf
02.12.2007 16:53 89.316 IEXPLORE.EXE-03D33524.pf
02.12.2007 16:50 135.494 OUTLOOK.EXE-06224100.pf
02.12.2007 16:48 82.094 FIREFOX.EXE-3425AEB8.pf
02.12.2007 16:44 18.710 REGEDIT.EXE-17A382F4.pf
02.12.2007 16:43 67.456 NSCSRVCE.EXE-074E17F5.pf
02.12.2007 16:43 22.870 RAPIMGR.EXE-21FADA2E.pf
02.12.2007 16:43 41.916 MEMOPTIMIZER.EXE-0C75387A.pf
02.12.2007 16:43 37.392 CCAPP.EXE-12DF021E.pf
02.12.2007 16:43 14.800 CTFMON.EXE-084DB373.pf
02.12.2007 16:43 16.204 SCHSVR.EXE-2836456C.pf
02.12.2007 16:42 11.940 READER_SL.EXE-047E9B5D.pf
02.12.2007 16:42 55.454 NSRTRAY.EXE-17367128.pf
02.12.2007 16:42 17.664 UNSECAPP.EXE-04C2CE04.pf
02.12.2007 16:42 10.480 JUSCHED.EXE-25D4F9AF.pf
02.12.2007 16:42 47.786 ZLCLIENT.EXE-0EC9D5B8.pf
02.12.2007 16:42 14.554 LVCOMSX.EXE-319525CA.pf
02.12.2007 16:42 15.056 NVRAIDSERVICE.EXE-0633F223.pf
02.12.2007 16:42 17.904 NVMIXERTRAY.EXE-1969521C.pf
02.12.2007 16:42 17.252 IMAPI.EXE-10859813.pf
02.12.2007 16:42 12.468 RUNDLL32.EXE-5C5FFFE7.pf
02.12.2007 16:42 117.520 EXPLORER.EXE-05416907.pf
02.12.2007 16:42 55.824 USERINIT.EXE-19714419.pf
02.12.2007 16:41 91.390 WGATRAY.EXE-2D836F35.pf
02.12.2007 16:28 43.658 ALG.EXE-2226CE17.pf
02.12.2007 16:24 17.744 LOGONUI.EXE-3164D1CB.pf
02.12.2007 15:27 17.960 HIJACKTHIS.EXE-17B22FAD.pf
02.12.2007 15:23 20.956 REGSVR32.EXE-10006695.pf
02.12.2007 15:23 3.848 TIGER WOODS PGA TOUR 07_UNINS-2AF841A4.pf
02.12.2007 15:23 20.888 TW07_UNINST.EXE-097145A9.pf
02.12.2007 15:23 30.086 EAUNINSTALL.EXE-1F3C3CA4.pf
02.12.2007 15:17 55.590 RUNDLL32.EXE-2A808A4A.pf
02.12.2007 14:59 31.126 RUNDLL32.EXE-37FD5488.pf
02.12.2007 14:56 16.930 DAEMON.EXE-2276A1F6.pf
02.12.2007 14:56 53.876 AVGNT.EXE-17B5F632.pf
02.12.2007 14:47 16.010 WMPNSCFG.EXE-06F3B640.pf
02.12.2007 14:32 49.132 RUNDLL32.EXE-40F15B0E.pf
02.12.2007 14:23 32.140 RUNDLL32.EXE-4E4B0088.pf
02.12.2007 14:19 24.940 VSMON.EXE-3B22E2D3.pf
02.12.2007 14:12 23.186 WCESCOMM.EXE-1BAE3B9A.pf
02.12.2007 14:03 43.632 ADOBEUPDATER.EXE-21F889C3.pf
02.12.2007 14:02 68.912 ICQLITE.EXE-2C4EEE04.pf
02.12.2007 13:24 28.320 IL2FB.EXE-1EC42AA2.pf
02.12.2007 13:24 67.912 MSIEXEC.EXE-0CCC6E74.pf
02.12.2007 13:23 59.978 WSCNTFY.EXE-314E7AE5.pf
01.12.2007 22:48 77.540 FRETSONFIRE.EXE-1A614A8B.pf
01.12.2007 22:42 61.776 ACRORD32.EXE-0BAFED0E.pf
01.12.2007 22:42 30.772 RUNDLL32.EXE-46FBED3C.pf
01.12.2007 21:52 60.788 NOLIMITSEDITOR.EXE-3A9E6248.pf
01.12.2007 20:41 16.390 DEFRAG.EXE-10D9C910.pf
01.12.2007 20:41 101.286 DFRGNTFS.EXE-0F55FCE5.pf
01.12.2007 20:41 315.128 Layout.ini
01.12.2007 20:25 69.878 HELPSVC.EXE-281F45D0.pf
01.12.2007 19:35 43.920 UPDATE.EXE-051D6217.pf
01.12.2007 19:35 23.764 PREUPD.EXE-1F0307D3.pf
01.12.2007 01:46 19.054 HELPER.EXE-0801C7CE.pf
01.12.2007 01:46 71.876 UPDATER.EXE-32BF40E5.pf
30.11.2007 17:00 17.474 SNDVOL32.EXE-1AA68677.pf
30.11.2007 16:18 19.688 GUARDGUI.EXE-2B73A447.pf
30.11.2007 15:57 46.572 OFFLB.EXE-038D78D7.pf
30.11.2007 15:12 13.362 RUNONCE.EXE-246F7E39.pf
30.11.2007 15:10 29.260 RUNDLL32.EXE-34DF2285.pf
30.11.2007 15:06 12.170 UNINSTALL.259E.EXE-007D210B.pf
30.11.2007 15:06 41.520 NICMGR.EXE-0A7FC599.pf
30.11.2007 15:06 10.062 UNINSTALL.EXE-35F616C2.pf
30.11.2007 15:06 22.862 _IU14D2N.TMP-0A98A39A.pf
30.11.2007 15:06 17.354 UNINS000.EXE-21F60C0E.pf
30.11.2007 15:05 38.658 RUNDLL32.EXE-583CE0CD.pf
30.11.2007 14:55 0 RUNDLL32.EXE-397143BF.pf
29.11.2007 21:21 182.498 WINRAR.EXE-1F2395DA.pf
29.11.2007 21:20 23.988 FXSVR2.EXE-0F825F00.pf
29.11.2007 21:20 21.680 ALBUMDB2.EXE-3B2BB6AF.pf
29.11.2007 21:03 39.034 RUNDLL32.EXE-56D394E0.pf
29.11.2007 21:03 12.488 RUNDLL32.EXE-3DCC3CBD.pf
29.11.2007 20:29 72.602 AZUREUS.EXE-287E735D.pf
29.11.2007 20:17 124.024 FIREFOX.EXE-00AE1314.pf
29.11.2007 19:35 61.008 AVNOTIFY.EXE-24996C26.pf
29.11.2007 14:22 30.808 RUNDLL32.EXE-2CC36681.pf
29.11.2007 01:54 63.526 NOLIMITSSIMULATOR.EXE-19DA4756.pf
29.11.2007 01:42 29.212 NOLIMITSTRACKPACKAGER.EXE-01B990CF.pf
29.11.2007 00:53 17.302 TASKMGR.EXE-20E19D70.pf
29.11.2007 00:27 32.688 RUNDLL32.EXE-2C3F22D4.pf
28.11.2007 22:32 12.326 DUMPREP.EXE-1C032A1C.pf
28.11.2007 00:14 30.100 RUNDLL32.EXE-5DDF4841.pf
27.11.2007 23:12 63.612 WMPLAYER.EXE-06A827E5.pf
27.11.2007 22:06 26.888 RUNDLL32.EXE-4402EDAA.pf
27.11.2007 22:06 28.246 RUNDLL32.EXE-2E1A8E6E.pf
27.11.2007 21:52 52.342 OIS.EXE-2A756903.pf
27.11.2007 21:51 61.212 ACRORD32INFO.EXE-0B64B20A.pf
27.11.2007 21:42 72.264 WINWORD.EXE-069CF4DD.pf
27.11.2007 21:41 81.914 POWERPNT.EXE-12C07440.pf
27.11.2007 21:40 28.914 RUNDLL32.EXE-32DB7BD7.pf
27.11.2007 20:15 100.674 ONENOTE.EXE-28ACA378.pf
27.11.2007 18:23 15.598 WISPTIS.EXE-0B658827.pf
27.11.2007 15:57 19.152 ATI2EVXX.EXE-3111ABE0.pf
27.11.2007 12:27 29.524 RUNDLL32.EXE-5DD315B5.pf
27.11.2007 11:41 30.948 RUNDLL32.EXE-56601F7A.pf
27.11.2007 10:51 18.360 NVMIXER.EXE-2A74310C.pf
27.11.2007 10:49 71.804 WMPLAYER.EXE-06A827DD.pf
27.11.2007 10:46 14.276 FRETSONFIRE-1.2.512-WIN32.EXE-258BD00B.pf
27.11.2007 10:29 34.112 REGISTRYDEFRAG.EXE-07112E78.pf
26.11.2007 22:42 18.266 ONENOTEM.EXE-3394FFFE.pf
26.11.2007 21:49 56.492 LIMEWIRE.EXE-05D4A620.pf
26.11.2007 21:42 35.608 MSTORDB.EXE-31480FEB.pf
26.11.2007 20:08 57.774 WMPLAYER.EXE-06A827E1.pf
26.11.2007 19:35 29.302 RUNDLL32.EXE-578A9DF4.pf
26.11.2007 18:10 62.792 WMPLAYER.EXE-06A827DC.pf
26.11.2007 18:06 78.104 CLVIEW.EXE-02EE4BC4.pf
26.11.2007 18:05 33.464 PACKAGER.EXE-18B8D15D.pf
26.11.2007 18:05 60.040 MSACCESS.EXE-18FCFCDC.pf
26.11.2007 17:45 16.842 RUNDLL32.EXE-494A7EE3.pf
26.11.2007 17:42 44.578 RUNDLL32.EXE-4979C19B.pf
26.11.2007 14:20 13.284 CALC.EXE-027E1228.pf
26.11.2007 13:56 53.906 AVCENTER.EXE-0FEFBC5E.pf
26.11.2007 13:56 15.770 MANIFESTENGINE.EXE-3250BFAA.pf
25.11.2007 22:41 29.466 RUNDLL32.EXE-2BA284EB.pf
25.11.2007 22:23 7.504 LOGON.SCR-075DDDCD.pf
25.11.2007 20:19 36.330 VIEWPOINTSERVICE.EXE-32783014.pf
25.11.2007 19:36 43.024 SVCHOST.EXE-072604B0.pf
10.11.2007 13:12 0 VLC.EXE-00399F29.pf
10.11.2007 13:12 0 RUNDLL32.EXE-38F8E83C.pf

130 Datei(en) 5.814.638 Bytes
0 Verzeichnis(se), 154.189.824 Bytes frei

----- Windows --------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\WINDOWS

02.12.2007 16:42 227 system.ini
02.12.2007 16:28 1.568.155 WindowsUpdate.log
02.12.2007 16:27 0 0.log
02.12.2007 16:26 159 wiadebug.log
02.12.2007 16:26 50 wiaservc.log
02.12.2007 16:26 0 TempFile
02.12.2007 16:26 2.048 bootstat.dat
02.12.2007 16:24 32.554 SchedLgU.Txt
30.11.2007 15:21 952 win.ini
30.11.2007 15:12 847.405 setupapi.log
29.11.2007 01:41 54.156 QTFont.qfn
27.11.2007 03:58 140.288 catchme.exe
24.11.2007 13:59 676.810 ntbtlog.txt
19.11.2007 21:57 459.212 wmsetup.log
19.11.2007 20:41 116 NeroDigital.ini
18.11.2007 15:37 582 eReg.dat
18.11.2007 01:53 1.409 QTFont.for
14.11.2007 14:03 6.834 KB943460.log
14.11.2007 14:03 540.131 tsoc.log
14.11.2007 14:03 55.818 tabletoc.log
14.11.2007 14:03 242.528 ntdtcsetup.log
14.11.2007 14:03 1.393 imsins.log
14.11.2007 14:03 64.009 ocmsn.log
14.11.2007 14:03 388.224 comsetup.log
14.11.2007 14:03 1.963.786 iis6.log
14.11.2007 14:03 600.957 ocgen.log
14.11.2007 14:03 199.355 netfxocm.log
14.11.2007 14:03 81.751 medctroc.Log
14.11.2007 14:03 58.264 msgsocm.log
14.11.2007 14:03 1.115.421 FaxSetup.log
14.11.2007 14:03 382.816 msmqinst.log
14.11.2007 14:03 109.971 updspapi.log
12.11.2007 15:45 6.240 DPINST.LOG
09.11.2007 14:50 380.232 DirectX.log
01.11.2007 08:53 140.856 spupdsvc.log
01.11.2007 00:48 1.374 imsins.BAK
01.11.2007 00:48 6.421 KB922120.log

353 Datei(en) 30.283.629 Bytes
0 Verzeichnis(se), 154.157.056 Bytes frei

----- Tasks ----------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\WINDOWS\tasks

02.12.2007 16:26 6 SA.DAT

2 Datei(en) 71 Bytes
0 Verzeichnis(se), 154.177.536 Bytes frei

----- Wintemp --------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\WINDOWS\temp

02.12.2007 16:43 16.384 Perflib_Perfdata_be4.dat
02.12.2007 16:27 256 ZLT015d5.TMP
02.12.2007 16:27 256 ZLT015c8.TMP
02.12.2007 16:26 16.384 Perflib_Perfdata_2e4.dat

5 Datei(en) 49.664 Bytes
0 Verzeichnis(se), 154.177.536 Bytes frei

----- Temp -----------------------------
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: FF47-80EB

Verzeichnis von C:\DOKUME~1\Martin\LOKALE~1\Temp

02.12.2007 17:30 159.503 filelist.txt
02.12.2007 17:22 11.502 log.txt
02.12.2007 17:13 16.384 ~DF2F48.tmp
02.12.2007 17:03 16.384 Perflib_Perfdata_cc4.dat
02.12.2007 16:47 170 jusched.log
02.12.2007 16:42 16.384 Perflib_Perfdata_c10.dat
30.11.2007 14:21 16.384 Perflib_Perfdata_1e4.dat
7 Datei(en) 236.711 Bytes
0 Verzeichnis(se), 154.173.440 Bytes frei

Das erstmal soweit...
Hoffe ihr könnt mir irgendwie helfen und mir auch sagen was ich bezüglich oreans32.sys tuen soll...

DarthGoofy · 03.12.2007, 17:01

Sorry für den Dreifachpost...
Habe E-Scan im abgesicherten Modus laufen lassen, das Ergebnis ist nicht sehr erbauend. Ich jage jetzt Trojan Destroyer und Spybot hinterher und teste danach nochmals. Sagt mir wenn ich noch andere Sachen machen soll!

E-Scan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.8
Sprache: German
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6120-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6121-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6122-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6123-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6125-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6126-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6127-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({179b6128-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({608e8b11-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c431-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c432-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c433-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c434-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c435-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c436-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with activesearch Spyware/Adware ({12f02779-6d88-4958-8ad3-83c12d86adc7})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c430-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with yahoospymon Spyware/Adware ({4340df8e-d7a3-4675-be74-80077b2b3e81})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({5deca4e0-3b4f-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({608e8b10-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8a906ac2-be4b-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c448-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c449-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44c-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44d-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44f-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({a24604ba-c27f-11d1-9c4e-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({d5688691-e6b0-11d1-89b0-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({edbc92f0-b34c-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({f3743560-454e-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with clipgenie Spyware/Adware (player.html)! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolcombo)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axisscale)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.generalpage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.labelspage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.gridlinespage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axespage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.constantstripespage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.fillborderpage)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.chart)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.page3d)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axisscale.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.generalpage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.labelspage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.gridlinespage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.axespage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.constantstripespage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.fillborderpage.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.chart.4)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\chartfx.page3d.4)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolbar)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.commandbar)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolcombo.1)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.toolbar.1)! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware (hkey_local_machine\software\classes\sfxbar.commandbar.1)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hklm\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\mozilla\firefox\profiles\0wqqihg3.default\extensions\{b9c8be50-7105-4ec6-8fb4-4935c0671648}\chrome\content\gspace\player.html
Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol downloads\triton_suite_install_2.0.7.1\toolbar.exe
Offending file found: C:\WINDOWS\icons
Offending file found: C:\WINDOWS\system32\svkp.sys
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\acccore\caches\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKLM\System\ControlSet001\Services\iprip !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_46e58f85\engine\avewin32.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:58:11,23
Batchende: 16:58:14,00

Rechtsklicks, Oreans32 und Co.

Log-Analyse und Auswertung: Rechtsklicks, Oreans32 und Co.