Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: antiviruspro infektion und blauer bildschirm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2008, 20:42   #16
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Zitat:
Zitat von shira Beitrag anzeigen
viiielen dank es sieht gut aus ! der hintergrund ist endlich wieder meiner!!

Poste bitte noch den Verlauf von Combofix, auch wenn alles wieder funktioniert muss noch lange nicht alles entfernt worden sein.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.03.2008, 21:55   #17
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



nun denn hoffentlich der finale test

das log von combofix:


ComboFix 08-03-18.1 - Marcel 2008-03-25 21:50:24.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.316 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 20:24 . 2008-03-25 20:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes
2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-25 20:19 . 2008-03-25 20:19 269,334 --a------ C:\WINDOWS\system32\nehsbqdofqt.bmp
2008-03-25 19:44 . 2008-03-25 19:44 269,334 --a------ C:\WINDOWS\system32\qporqd.bmp
2008-03-24 14:21 . 2008-03-24 14:21 269,334 --a------ C:\WINDOWS\system32\sralkf.bmp
2008-03-24 14:03 . 2008-03-24 14:03 269,334 --a------ C:\WINDOWS\system32\gnatonid.bmp
2008-03-24 13:47 . 2008-03-24 13:47 269,334 --a------ C:\WINDOWS\system32\ehkrmhkbil.bmp
2008-03-24 13:32 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-24 13:32 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-24 13:32 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-24 13:32 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-24 13:32 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-24 13:32 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-24 13:32 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-24 13:32 . 2008-03-24 13:43 2,552 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-22 14:40 . 2008-03-22 14:40 269,334 --a------ C:\WINDOWS\system32\ehgfidcf.bmp
2008-03-22 14:35 . 2008-03-22 14:35 269,334 --a------ C:\WINDOWS\system32\hkrmdsnqlcb.bmp
2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner
2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa
2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx
2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-02 17:20 . 2008-03-25 21:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-14 11:18 --------- d-----w C:\Programme\iTunes
2008-03-14 11:18 --------- d-----w C:\Programme\iPod
2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime
2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bearshare\\BearShare.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\start.bat

.
Inhalt des "geplante Tasks" Ordners
"2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 21:51:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-25 21:51:50
ComboFix-quarantined-files.txt 2008-03-25 20:51:42
ComboFix2.txt 2008-03-25 19:17:55
ComboFix3.txt 2008-03-22 13:36:51
ComboFix4.txt 2008-03-22 12:16:03
ComboFix5.txt 2008-03-19 10:57:00
________________________________________________________


und wie siehts aus ?
__________________


Alt 27.03.2008, 17:01   #18
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



hallöchen !

würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ???

dankeschön!
__________________

Alt 27.03.2008, 17:18   #19
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Zitat:
Zitat von shira Beitrag anzeigen
hallöchen !

würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ???

dankeschön!
Sorry, du bist wohl irgendwie "untergegangen" ..


Ich brauche unbedingt noch die Auswertung von Malwarebytes, das hast du doch schon durchgeführt, oder?!

Hier nochmal die Anleitung:


Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware





__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Geändert von Sunny (27.03.2008 um 17:38 Uhr)

Alt 27.03.2008, 17:33   #20
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



ja genau hab ich schon durchgeführt und scheint geholfen zu haben :


Malwarebytes' Anti-Malware 1.08
Datenbank Version: 471

Scan Art: Schnell Scan
Objekte gescannt: 26329
Scan Dauer: 3 minute(s), 23 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 35
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Unloaded process successfully.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{7afdb136-8433-46af-9d8d-42ab37cccd0f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9222ee90-928a-455e-9298-98d41f2f5ce3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c9328120-16f7-4aa3-9408-60fd5bdcc37f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d4ad2785-64dc-4c22-9c1d-62fa759ea137} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5addfe10-9b32-4489-adc3-495750b7eaf9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{07ef06d7-8ba8-4f5a-886b-84cc38fcdf5f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{10f07e10-ba78-4162-82e9-4caad2d18478} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{11df24a1-a106-4c7f-bf2c-f7d5411fe74e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2036b120-bd5d-4e50-b82f-d4d6d522f68e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{215f19fd-a509-4e03-958e-ea3b3f9b2ff9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{280c7289-8caf-446a-98fe-c0f9217cee1e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2dd00c35-ae7f-4b96-912d-1a991b66f363} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2fa9e9a6-5956-4977-9bef-a067b996f96f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{305dbf41-6179-4d97-87a8-bb23b0ff74fe} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3e755986-4cd0-4cfe-bfa5-23cdfd354288} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4463934e-005b-4b73-8881-9e58603b2dcb} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4f8252da-ddbd-4e3f-a84d-6d4ef8bacd4e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4fdbc56b-873e-4663-ae52-0a60f2bf2053} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{58da7d32-ce59-4e58-9b6e-295ed4986dd3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5e6ae9e1-1495-4ade-b94c-9416458f75b7} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6788fa7b-f9fb-4d97-a631-11171519ec47} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{68579fa8-3b04-49c1-9cc7-6f36f71e17dc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9f18caba-442d-4ab9-82f7-db4c7a93dc3c} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{afe2f1ad-488f-4845-8707-76b31e6aa7ff} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bfe95ca1-4501-48e3-813d-ff5cbc335d0d} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c6b25ff9-9788-4377-840f-e6990f990b56} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd959f6a-3083-42cd-8b9a-e5a79897f071} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d0da99db-1661-464d-ad36-52f0d03b959f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d2bed334-77e8-47fe-b68c-ff7179114ee4} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d4b336b9-03d5-47df-984d-1135d4a10999} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{db29e08e-bc52-40a7-8099-0935d7dbee63} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e359a09a-6e50-4e21-8079-329efa21db86} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f14759bd-36b5-4c42-9451-00db471ab5c2} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fff85aa2-8c3e-43f5-934b-31eeab0258bc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ada69949-6704-425c-808e-cf86f5666aba} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BluetoothAuthorizationAgent (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Quarantined and deleted successfully.



vielen dank fürs drüberschauen !!


Alt 27.03.2008, 17:38   #21
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Es ist für dich leider noch nicht beendet:




Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.


__________________
--> antiviruspro infektion und blauer bildschirm

Alt 27.03.2008, 17:53   #22
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



hey also hier die 2 logs von deckard :


Code:
ATTFilter
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel(R) Pentium(R) M processor 1.60GHz
Percentage of Memory in Use: 40%
Physical Memory (total/avail): 510.98 MiB / 302.05 MiB
Pagefile Memory (total/avail): 1249.48 MiB / 1019.97 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1937.69 MiB

C: is Fixed (NTFS) - 74.52 GiB total, 44.86 GiB free. 
D: is CDROM (CDFS)

\\.\PHYSICALDRIVE0 - TOSHIBA MK8032GAX - 74.53 GiB - 1 partition
  \PARTITION0 (bootable) - Installierbares Dateisystem - 74.52 GiB - C:



-- Security Center -------------------------------------------------------------

Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AV: Avira AntiVir PersonalEdition v 7.0.3.83
 (Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Bearshare\\BearShare.exe"="C:\\Programme\\Bearshare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten
CLASSPATH=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=CHRISTINA
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Marcel
LOGONSERVER=\\CHRISTINA
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 6, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0d06
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp
TMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp
USERDOMAIN=CHRISTINA
USERNAME=Marcel
USERPROFILE=C:\Dokumente und Einstellungen\Marcel
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Marcel (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAD400A0-F924-4BB6-9651-CD45642B3917}\SETUP.EXE" -l0x9 anything
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Actiontec MDC AC'97 Modem v2122D --> agrsmdel
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATK0100 ACPI UTILITY --> C:\WINDOWS\ATK0100\XPunin.exe
Avira AntiVir PersonalEdition Classic --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AviSynth 2.5 --> "C:\Programme\AviSynth 2.5\Uninstall.exe"
BearShare --> C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
EMEA02 --> MsiExec.exe /X{949460AD-3C77-44FD-8D78-BF605EF28114}
Free Video to iPod Converter version 2.4 --> "C:\Programme\Free Video to iPod Converter\unins000.exe"
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
iDump Build: 24 --> C:\Programme\iDump\uninst.exe
iPod for Windows 2006-01-10 --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{3D047C15-C859-45F7-81CE-F2681778069B} /l1031 
iTunes --> MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
PhotoBookWorld 1.2 --> C:\Programme\PhotoBookWorld\unins000.exe
QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}
RTLSetup for Realtek RTL8139/810x Family NIC 3.00 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\SETUP.EXE" -l0x9 REMOVE
SAMSUNG CDMA Modem Driver Set --> C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
SAMSUNG Mobile USB Modem ^^ --> C:\WINDOWS\system32\Samsung_USB_Drivers\4\SSVDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung PC Studio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7  -removeonly
Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7  -removeonly
Synaptics TouchPad --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall


-- Application Event Log -------------------------------------------------------

Event Record #/Type1427 / Warning
Event Submitted/Written: 03/27/2008 05:47:04 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe
verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!

Event Record #/Type1398 / Warning
Event Submitted/Written: 03/25/2008 08:28:26 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe
verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!

Event Record #/Type1395 / Warning
Event Submitted/Written: 03/25/2008 08:21:32 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe
verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!

Event Record #/Type1263 / Error
Event Submitted/Written: 03/18/2008 08:51:36 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Event Record #/Type1262 / Error
Event Submitted/Written: 03/18/2008 08:32:42 PM / 03/18/2008 08:32:43 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type10550 / Warning
Event Submitted/Written: 03/27/2008 02:33:14 PM
Event ID/Source: 8021 / BROWSER
Event Description:
Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\MAXLAPTOP" auf dem Netzwerk "\Device\NetBT_Tcpip_{5CE1059E-6444-4A10-BBDA-5F48380D568C}" erhalten.
Daten: Fehlercode.

Event Record #/Type10439 / Warning
Event Submitted/Written: 03/25/2008 08:34:17 PM
Event ID/Source: 3019 / MRxSmb
Event Description:
Der Redirectordienst konnte den Verbindungstyp nicht erkennen.

Event Record #/Type10438 / Warning
Event Submitted/Written: 03/25/2008 08:33:33 PM
Event ID/Source: 3019 / MRxSmb
Event Description:
Der Redirectordienst konnte den Verbindungstyp nicht erkennen.

Event Record #/Type10335 / Error
Event Submitted/Written: 03/25/2008 08:18:56 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type10334 / Error
Event Submitted/Written: 03/25/2008 08:18:28 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{A1F4E726-8CF1-11D1-BF92-0060081ED811}



-- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------

_____________________________________________________________

Deckard's System Scanner v20071014.68
Run by Marcel on 2008-03-27 17:49:36
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
75: 2008-03-27 16:49:43 UTC - RP145 - Deckard's System Scanner Restore Point
74: 2008-03-27 13:47:05 UTC - RP144 - Systemprüfpunkt
73: 2008-03-25 19:04:54 UTC - RP143 - Systemprüfpunkt
72: 2008-03-24 13:41:07 UTC - RP142 - Systemprüfpunkt
71: 2008-03-22 13:32:45 UTC - RP141 - ComboFix created restore point


-- First Restore Point -- 
1: 2007-12-28 20:17:17 UTC - RP71 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 511 MiB (512 MiB recommended).


-- HijackThis (run as Marcel.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:04, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Marcel.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4940 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS>

S3 catchme - c:\dokume~1\marcel\lokale~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-03-06 18:21:04       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2008-01-07 13:00:24       336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job


-- Files created between 2008-02-27 and 2008-03-27 -----------------------------

2008-03-25 20:24:18         0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-24 13:32:54      2552 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-24 13:32:33     25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-24 13:32:33    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-03-24 13:32:33     86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>
2008-03-24 13:32:33    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-03-24 13:32:33     53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-03-24 13:32:33     82432 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-03-24 13:32:33     51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-22 13:12:48         0 dr-h----- C:\Dokumente und Einstellungen\Marcel\Recent
2008-03-22 13:10:58         0 d-------- C:\Programme\CCleaner
2008-03-21 18:25:07         0 d-------- C:\Programme\antivirus-kaspa
2008-03-21 16:37:08         0 d-------- C:\Programme\Trend Micro
2008-03-19 11:52:35     68096 --a------ C:\WINDOWS\system32\zip.exe
2008-03-19 11:52:35     98816 --a------ C:\WINDOWS\system32\sed.exe
2008-03-19 11:52:35     80412 --a------ C:\WINDOWS\system32\grep.exe
2008-03-19 11:52:35     73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\zts2.exe
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\rundll16.exe
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\rundl132.dll
2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\logo1_.exe
2008-03-19 10:32:49         0 d-------- C:\WINDOWS\ERUNT
2008-03-18 23:00:12         0 d-------- C:\Programme\Avira


-- Find3M Report ---------------------------------------------------------------

2008-03-25 20:24:28         0 d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes
2008-03-14 12:18:42         0 d-------- C:\Programme\iTunes
2008-03-14 12:18:30         0 d-------- C:\Programme\iPod
2008-03-02 17:18:17         0 d-------- C:\Programme\QuickTime
2008-02-07 16:19:38         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [24.02.2004 18:08 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [03.02.2004 20:10]
"AGRSMMSG"="AGRSMMSG.exe" [10.06.2003 03:37 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [17.06.2003 02:40]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [17.06.2003 02:40]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [08.09.2003 15:02]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [31.01.2008 23:13]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [19.02.2008 13:10]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [18.03.2008 23:01]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [31.12.2002 13:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [04.08.2004 00:11]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 00:17:18]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 00:06:58]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 00:01:04]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- D:\start.bat




-- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------
         
und wie siehts jetzt aus? endlich weg ?

vielen vielen dank für die ganze mühe mit mir !!

Alt 27.03.2008, 18:10   #23
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Zitat:
Zitat von shira Beitrag anzeigen
und wie siehts jetzt aus? endlich weg ?

Ich hoffe es für dich, bislang habe ich nur einen Eintrag zu einem Trojaner finden können, welcher wiederum nicht mehr aktiv ist. (bzw. sein sollte!)


Das ist das letzte Programm für dich, danach ist hoffentlich alles gefunden und gelöscht:


Anleitung durchlesen und abarbeiten -> UnHackMe - Rootkits finden
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.03.2008, 18:14   #24
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Und noch was...



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:

d:\start.bat
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.03.2008, 18:55   #25
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



hi sunny

hab unhack me durchgeführt und datei überprüfen lassen:

Code:
ATTFilter
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.3.26.0 2008.03.27 - 
AntiVir 7.6.0.75 2008.03.27 - 
Authentium 4.93.8 2008.03.27 - 
Avast 4.7.1098.0 2008.03.27 - 
AVG 7.5.0.516 2008.03.27 - 
BitDefender 7.2 2008.03.27 - 
CAT-QuickHeal 9.50 2008.03.26 - 
ClamAV 0.92.1 2008.03.27 - 
DrWeb 4.44.0.09170 2008.03.27 - 
eSafe 7.0.15.0 2008.03.18 - 
eTrust-Vet 31.3.5648 2008.03.27 - 
Ewido 4.0 2008.03.27 - 
F-Prot 4.4.2.54 2008.03.27 - 
F-Secure 6.70.13260.0 2008.03.27 - 
FileAdvisor 1 2008.03.27 - 
Fortinet 3.14.0.0 2008.03.27 - 
Ikarus T3.1.1.20 2008.03.27 - 
Kaspersky 7.0.0.125 2008.03.27 - 
McAfee 5261 2008.03.27 - 
Microsoft 1.3301 2008.03.27 - 
NOD32v2 2978 2008.03.27 - 
Norman 5.80.02 2008.03.26 - 
Panda 9.0.0.4 2008.03.26 - 
Prevx1 V2 2008.03.27 - 
Rising 20.37.32.00 2008.03.27 - 
Sophos 4.27.0 2008.03.27 - 
Sunbelt 3.0.978.0 2008.03.18 - 
Symantec 10 2008.03.27 - 
TheHacker 6.2.92.256 2008.03.27 - 
VBA32 3.12.6.3 2008.03.25 - 
VirusBuster 4.3.26:9 2008.03.27 - 
Webwasher-Gateway 6.6.2 2008.03.27 - 
weitere Informationen 
File size: 16 bytes 
MD5: 9d164df185f9af0114e201bdf100d641 
SHA1: aa5aeeebfaca73f9abe08f624604ca4b952cff04 
PEiD: -
         

Alt 27.03.2008, 19:05   #26
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Zitat:
Zitat von shira Beitrag anzeigen
hi sunny

hab unhack me durchgeführt und datei überprüfen lassen:
Hat das Programm denn irgendwas gefunden? Irgendwelche "hidden files"?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.03.2008, 19:10   #27
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found.

wars das nun?

lg

Alt 27.03.2008, 19:14   #28
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Zitat:
Zitat von shira Beitrag anzeigen
ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found.

wars das nun?

lg
Es gibt noch einige Überreste von Antiviruspro, ich hoffe das ich sie auf diese Art löschen kann:



OTMoveIt by OldTimer


Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:
C:\WINDOWS\system32\nehsbqdofqt.bmp
C:\WINDOWS\system32\qporqd.bmp
C:\WINDOWS\system32\sralkf.bmp
C:\WINDOWS\system32\gnatonid.bmp
C:\WINDOWS\system32\ehkrmhkbil.bmp
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ehgfidcf.bmp
C:\WINDOWS\system32\hkrmdsnqlcb.bmp

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.03.2008, 19:23   #29
shira
 
antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



hm der virus ist ja echt hartnäckig !

hier der bericht :


C:\WINDOWS\system32\nehsbqdofqt.bmp moved successfully.
C:\WINDOWS\system32\qporqd.bmp moved successfully.
C:\WINDOWS\system32\sralkf.bmp moved successfully.
C:\WINDOWS\system32\gnatonid.bmp moved successfully.
C:\WINDOWS\system32\ehkrmhkbil.bmp moved successfully.
C:\WINDOWS\system32\tmp.reg moved successfully.
C:\WINDOWS\system32\ehgfidcf.bmp moved successfully.
C:\WINDOWS\system32\hkrmdsnqlcb.bmp moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_192231
___________________________________

nu alles weg ?

Alt 27.03.2008, 19:38   #30
Sunny
Administrator
> Competence Manager
 

antiviruspro infektion und blauer bildschirm - Standard

antiviruspro infektion und blauer bildschirm



Zitat:
Zitat von shira Beitrag anzeigen
nu alles weg ?

"Nu" sollte alles weg sein ...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu antiviruspro infektion und blauer bildschirm
abgesicherten modus, adobe, avira, bho, bildschirm, detected, escan, excel, explorer, helfen, hijack, hijackthis, hkus\s-1-5-18, hotkey, immer wieder, internet, internet explorer, logfile, microsoft, neustart, pdf, problem, software, spyware, surfen, system, warning, windows, windows xp




Ähnliche Themen: antiviruspro infektion und blauer bildschirm


  1. BlueScreen : es kommt ein blauer Bildschirm
    Log-Analyse und Auswertung - 28.09.2015 (5)
  2. windows vista blauer bildschirm
    Log-Analyse und Auswertung - 17.02.2015 (5)
  3. Blauer Bildschirm, Bluescreen !
    Log-Analyse und Auswertung - 29.12.2014 (7)
  4. Blauer Bildschirm mit Fehlermeldung
    Log-Analyse und Auswertung - 31.10.2014 (9)
  5. notebook blauer bildschirm
    Plagegeister aller Art und deren Bekämpfung - 11.05.2014 (24)
  6. Blauer Bildschirm
    Alles rund um Windows - 21.12.2013 (2)
  7. Spy Eyes und blauer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (28)
  8. Blauer Bildschirm nach Anmeldung
    Alles rund um Windows - 03.10.2013 (3)
  9. Komischer Blauer Bildschirm ?Virus
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (2)
  10. Blauer Bildschirm beim booten von USB (Bekämpfung d."Weißer Bildschirm-please wait")
    Log-Analyse und Auswertung - 08.07.2012 (6)
  11. Blauer Bildschirm von Windows
    Alles rund um Windows - 14.02.2012 (17)
  12. Blauer Bildschirm beim booten von cd
    Plagegeister aller Art und deren Bekämpfung - 21.06.2011 (4)
  13. PC stürzt ab - Blauer Bildschirm
    Netzwerk und Hardware - 11.10.2010 (4)
  14. Nach absturz blauer bildschirm.
    Log-Analyse und Auswertung - 05.03.2010 (0)
  15. Blauer Bildschirm, dann stürzt PC ab!
    Plagegeister aller Art und deren Bekämpfung - 19.11.2009 (0)
  16. PC stürzt ab. Blauer Bildschirm.
    Netzwerk und Hardware - 11.07.2009 (5)
  17. Blauer Bildschirm(Hardwarefehler)
    Netzwerk und Hardware - 17.12.2007 (4)

Zum Thema antiviruspro infektion und blauer bildschirm - Zitat: Zitat von shira viiielen dank es sieht gut aus ! der hintergrund ist endlich wieder meiner!! Poste bitte noch den Verlauf von Combofix, auch wenn alles wieder funktioniert muss - antiviruspro infektion und blauer bildschirm...
Archiv
Du betrachtest: antiviruspro infektion und blauer bildschirm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.