Hallo...

Ich habe mir die letzte Nacht um die Ohren geschlagen, da mein Virenscanner NOD32 plötzlich einen massiven Virusbefall anzeigte. Ich ließ die komplette Platte scannen. Hier das Logfile dazu:

Zitat:

Scan performed at: 26.05.2008 00:41:56
Date: 26.5.2008 Time: 00:42:32
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:; D:
C:\pagefile.sys - error opening (File locked) [4]
C:\Dokumente und Einstellungen\LocalService\ftp34.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - error opening (File locked) [4]
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG - error opening (File locked) [4]
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - error opening (File locked) [4]
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - error opening (File locked) [4]
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - error opening (File locked) [4]
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG - error opening (File locked) [4]
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - error opening (File locked) [4]
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - error opening (File locked) [4]
C:\Dokumente und Einstellungen\Sternau\ftp34.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\Dokumente und Einstellungen\Sternau\NTUSER.DAT - error opening (File locked) [4]
C:\Dokumente und Einstellungen\Sternau\ntuser.dat.LOG - error opening (File locked) [4]
C:\Dokumente und Einstellungen\Sternau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - error opening (File locked) [4]
C:\Dokumente und Einstellungen\Sternau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - error opening (File locked) [4]
C:\Dokumente und Einstellungen\Sternau\Lokale Einstellungen\Temp\NERO14766\Toolbar.exe - Win32/Toolbar.AskSBar application - deleted
C:\Dokumente und Einstellungen\Sternau\Lokale Einstellungen\Temp\NERO14766\Data\E4060BF5.cab »CAB »rootFEAA0A71.img »GZ - archive damaged
C:\Dokumente und Einstellungen\Sternau\Lokale Einstellungen\Temp\NeroDemo11596\Cab\E4060BF5.cab »CAB »rootFEAA0A71.img »GZ - archive damaged
C:\Programme\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img »GZ - archive damaged
C:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP589\A0074491.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP589\A0075712.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP589\A0075728.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP590\A0076242.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP591\A0076263.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP591\A0076264.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP591\A0076651.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\System Volume Information\_restore{36F7E07D-83E9-484D-9B88-D71D3452004D}\RP591\A0076652.dll - Win32/TrojanDownloader.Agent.NYW trojan - deleted
C:\WINDOWS\S8A7852B4.tmp - error opening (File locked) [4]
C:\WINDOWS\system32\CatRoot2\edb.log - error opening (File locked) [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - error opening (File locked) [4]
C:\WINDOWS\system32\config\default - error opening (File locked) [4]
C:\WINDOWS\system32\config\default.LOG - error opening (File locked) [4]
C:\WINDOWS\system32\config\SAM - error opening (File locked) [4]
C:\WINDOWS\system32\config\SAM.LOG - error opening (File locked) [4]
C:\WINDOWS\system32\config\SECURITY - error opening (File locked) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - error opening (File locked) [4]
C:\WINDOWS\system32\config\software - error opening (File locked) [4]
C:\WINDOWS\system32\config\software.LOG - error opening (File locked) [4]
C:\WINDOWS\system32\config\system - error opening (File locked) [4]
C:\WINDOWS\system32\config\system.LOG - error opening (File locked) [4]
C:\WINDOWS\Temp\INF149.tmp - Win32/TrojanDownloader.Agent.NYW trojan - deleted (after the next restart) [2]
D:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]
Number of scanned files: 315326
Number of threats found: 12
Number of files cleaned: 12
Time of completion: 02:06:22 Total scanning time: 5030 sec (01:23:50)

Notes:
[2] File is being used (open or running). System restart is required for the cleaning to complete.
[4] File cannot be opened. It may be in use by another application or operating system.

Nachdem ich diie Trojaner gelöscht habe, wurde ich zum Neustart aufgefordert. Nach dem Neustart fand der gute Virenscanner direkt 2 neue Infektionen.

Danach habe ich im Intenet gestöbert und wurde hier auf dem Board auf folgendes Programm aufmerksam gemacht: SDFix. Leider finde ich den Thread dazu nicht mehr, sonst hätte ich diesen weitergeführt, da dort ein ähnliches Problem geschildert wurde. Jedenfalls hab ich SDFix durchgeführt und bekam folgendes Logfile:

Zitat:

SDFix: Version 1.185
Run by Sternau on 26.05.2008 at 03:12

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Sternau\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default Schedule Service Path

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\LocalService\cftmon.exe - Deleted
C:\Dokumente und Einstellungen\Sternau\cftmon.exe - Deleted
C:\WINDOWS\system32\drivers\spools.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 03:27:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000003c

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\DOKUME~1\Sternau\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 31 Mar 2008 24 ..SH. --- "C:\WINDOWS\S8A7852B4.tmp"
Wed 13 Oct 2004 1,694,208 A.SH. --- "C:\Programme\Messenger\msmsgs.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 15 Aug 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 22 Jul 2002 418,816 A..HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 19 Jul 2002 390,144 A..HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 19 Jul 2002 574,464 A..HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Tue 20 Aug 2002 430,592 A..HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Tue 23 Jul 2002 390,656 A..HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 22 Nov 2002 399,872 A..HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 19 Jul 2002 388,096 A..HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 19 Jul 2002 388,608 A..HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Mon 2 Dec 2002 431,616 A..HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 19 Jul 2002 388,096 A..HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Wed 23 May 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Fri 9 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT126.tmp"

Finished!

Ich war recht zufrieden, doch jetzt wurde dieser 8b]Win32/TrojanDownloader.Agent.NYW trojan[/b] in der Datei ftp34.dll gefunden. Nur kehre ich auf das Board hier zurück, weil ich keinen Ausweg mehr finde. Hier gibts noch ein hijackthis-Log und ich hoffe, mir kann irgendjemand helfen:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:35, on 26.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Terminkalender\Kalender.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.screwjob.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Sternau\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Terminkalender.lnk = C:\Programme\Terminkalender\Kalender.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.screwjob.de
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - h**ps://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179944447359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185845592125
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - h**p://www.flatcast.info/objects/NpFp415.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7683C56-2A53-4EF8-971E-F6F5582A357D}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8220 bytes

Jetzt schon mal vielen Dank.

Hi,
lasse bitte Malwarebytes Anti-Malware deinen Rechner scannen und alle gefundenen Dateien entfernen. Poste das Log dann hier.

Erstelle bitte außerdem ein Log mit DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

Hier erstmal das LogFile von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 788

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 146992
Scan Dauer: 42 minute(s), 17 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente (Trojan.Agent) -> Quarantined and deleted successfully.

Check mit DSS folgt gleich...

So.... SDD.exe durchlaufen lassen. Hier die beiden Logfiles:

main.txt

Zitat:

Deckard's System Scanner v20071014.68
Run by Sternau on 2008-05-26 13:56:16
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Total Physical Memory: 479 MiB (512 MiB recommended).


-- HijackThis (run as Sternau.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:56:17, on 26.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Sternau\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Sternau.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.screwjob.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Sternau\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Terminkalender.lnk = C:\Programme\Terminkalender\Kalender.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: screwjob.de ... the new power
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - h**ps://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179944447359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185845592125
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - h**p://www.flatcast.info/objects/NpFp415.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7683C56-2A53-4EF8-971E-F6F5582A357D}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7909 bytes

-- Files created between 2008-04-26 and 2008-05-26 -----------------------------

2008-05-26 13:02:56 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-26 12:27:11 0 d-------- C:\Programme\Trend Micro
2008-05-26 03:06:35 0 d-------- C:\WINDOWS\ERUNT
2008-05-26 00:50:56 0 d-------- C:\Programme\a-squared HiJackFree
2008-05-26 00:33:32 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-23 17:20:57 0 d-------- C:\Programme\NeroInstall.bak
2008-05-23 17:10:22 0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-23 16:16:40 6640 --a------ C:\Dokumente und Einstellungen\Sternau\mpr.dat
2008-05-23 16:16:39 6640 --a------ C:\Dokumente und Einstellungen\Sternau\mpr2.dat
2008-04-30 12:19:04 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared


-- Find3M Report ---------------------------------------------------------------

2008-05-26 13:03:04 0 d-------- C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Malwarebytes
2008-05-26 02:25:42 0 d-------- C:\Programme\Trillian
2008-05-26 00:33:32 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-23 17:16:14 0 d-------- C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Nero
2008-05-23 17:10:22 0 d-------- C:\Programme\Nero
2008-05-23 16:49:32 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-05-17 06:41:22 0 d-------- C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Azureus
2008-05-06 14:40:36 0 d-------- C:\Programme\Azureus
2008-04-30 12:18:57 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-04-21 22:44:18 0 d-------- C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Skype
2008-04-17 14:10:15 0 d-------- C:\Programme\emule
2008-04-14 10:13:23 421618 --a------ C:\WINDOWS\system32\perfh007.dat
2008-04-14 10:13:23 76906 --a------ C:\WINDOWS\system32\perfc007.dat
2008-04-09 11:14:25 105302 --a------ C:\WINDOWS\hpqins16.dat
2008-03-31 15:55:04 0 d-------- C:\Programme\SlySoft


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [23.05.2007 17:29]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [01.12.2005 06:02]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [08.03.2007 23:02]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [01.12.2005 06:02]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [11.05.2005 23:12]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [18.06.2007 15:10]
"TomTomHOME.exe"="C:\Programme\TomTom HOME\TomTomHOME.exe" [14.03.2007 16:52]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [30.04.2008 12:18]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [28.02.2008 09:59]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [18.02.2008 16:29]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 13:00]
"ntuser"="C:\WINDOWS\system32\drivers\spools.exe" []
"autoload"="C:\Dokumente und Einstellungen\Sternau\cftmon.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\Sternau\Startmen�\Programme\Autostart\
Terminkalender.lnk - C:\Programme\Terminkalender\Kalender.exe [23.05.2007 21:22:52]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [16.03.2005 19:16:50]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [11.05.2005 23:23:26]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [12.05.2005 00:49:24]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 00:01:04]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- End of Deckard's System Scanner: finished at 2008-05-26 13:56:34 ------------

extra.txt Teil 1

Zitat:

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) 64 Processor 3500+
Percentage of Memory in Use: 74%
Physical Memory (total/avail): 478.42 MiB / 120.4 MiB
Pagefile Memory (total/avail): 1120.62 MiB / 792.58 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1896.98 MiB

C: is Fixed (NTFS) - 37.27 GiB total, 22.83 GiB free.
D: is Fixed (NTFS) - 74.53 GiB total, 46.3 GiB free.
I: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST340014A - 37.27 GiB - 1 partition
\PARTITION0 (bootable) - Installierbares Dateisystem - 37.27 GiB - C:

\\.\PHYSICALDRIVE1 - ST3802110A - 74.53 GiB - 1 partition
\PARTITION0 - Installierbares Dateisystem - 74.53 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.

FW: ZoneAlarm Firewall v7.0.337.000 (Check Point, LTD.)
AV: ESET NOD32 antivirus system 2.70 v2.70 (ESET, spol. s r.o.)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=HOME
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Sternau
LOGONSERVER=\\HOME
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Programme\PC Connectivity Solution\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\WBEM;"C:\Programme\Zone Labs\ZoneAlarm\MailFrontier";C:\Programme\Gemeinsame Dateien\Adobe\AGL;C:\Programme\Gemeinsame Dateien\Nero\Lib\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 95 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=5f02
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Sternau\LOKALE~1\Temp
TMP=C:\DOKUME~1\Sternau\LOKALE~1\Temp
tvdumpflags=8
USBTest=Devmgr_show_nonpresent_devices=1
USERDOMAIN=HOME
USERNAME=Sternau
USERPROFILE=C:\Dokumente und Einstellungen\Sternau
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Sternau (admin)
Administrator (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> C:\Programme\MAGIX\Goya_burnR_mxcdr\instslct.exe /p
--> C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> msiexec /I {236BB7C4-4419-42FD-0407-1E257A25E34D}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
a-squared HiJackFree 3.1 --> "C:\Programme\a-squared HiJackFree\unins000.exe"
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000101}
Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5101}
Adobe Creative Suite 2 --> C:\PROGRA~1\INSTAL~1\{0134A~1\setup.exe /relaunched/rootloc=i:\adobe creative suite 2.0/lang=0407
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-119F-4D52-B551-6739B2B22101}
Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-0C40-4930-9AFE-113BCE553101}
AnyDVD --> "C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD"
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
Azureus --> C:\Programme\Azureus\Uninstall.exe
Digital Camera --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C1205500-2179-11D7-B0B9-0000E24D4B29}\setup.exe"
FUSSBALL MANAGER 2005 --> C:\Programme\EA SPORTS\FUSSBALL MANAGER 2005\EAUninstall.exe
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB897338) --> "C:\WINDOWS\$NtUninstallKB897338$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB898900) --> "C:\WINDOWS\$NtUninstallKB898900$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB899271) --> "C:\WINDOWS\$NtUninstallKB899271$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB903234) --> "C:\WINDOWS\$NtUninstallKB903234$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB904412) --> "C:\WINDOWS\$NtUninstallKB904412$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB906569) --> "C:\WINDOWS\$NtUninstallKB906569$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB907865) --> "C:\WINDOWS\$NtUninstallKB907865$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB912817) --> "C:\WINDOWS\$NtUninstallKB912817$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB913538) --> "C:\WINDOWS\$NtUninstallKB913538$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914841) --> "C:\WINDOWS\$NtUninstallKB914841$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB917021) --> "C:\WINDOWS\$NtUninstallKB917021$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB917730) --> "C:\WINDOWS\$NtUninstallKB917730$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB918005) --> "C:\WINDOWS\$NtUninstallKB918005$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB918093) --> "C:\WINDOWS\$NtUninstallKB918093$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB924867) --> "C:\WINDOWS\$NtUninstallKB924867$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB924941) --> "C:\WINDOWS\$NtUninstallKB924941$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB929120) --> "C:\WINDOWS\$NtUninstallKB929120$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448) --> "C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
HP Document Viewer 5.3 --> C:\Programme\HP\Digital Imaging\DocumentViewer\hpzscr01.exe -datfile hpqbud04.dat
HP Extended Capabilities 5.3 --> C:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Image Zone 5.3 --> C:\Programme\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP Imaging Device Functions 5.3 --> C:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP PSC & OfficeJet 5.3.B --> "C:\Programme\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\setup\hpzscr01.exe" -datfile hposcr07.dat
HP Software Update --> MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.3 --> C:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update --> MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
Icatch(IV) Camera Driver --> Rundll32 advpack.dll,LaunchINFSectionEx C:\WINDOWS\CA533A.ini, Ca533AUnInstall
IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe
Jasc Paint Shop Pro 8 --> MsiExec.exe /I{81A34902-9D0B-4920-A25C-4CDC5D14B328}
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Macromedia Dreamweaver MX 2004 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x7 mmUninstall
Macromedia Extension Manager --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x7 mmUninstall
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.5 --> "C:\WINDOWS\$NtUninstallWudf01005$\spuninst\spuninst.exe"
Nero 8 --> MsiExec.exe /X{BE282C23-5484-47FF-B2C1-EBEA5C891031}
neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NOD32 antivirus system --> C:\Programme\Eset\Setup\setup.exe /UNINSTALL
NOD32 FiX --> "C:\Programme\Eset\unins000.exe"
Nokia Connectivity Cable Driver --> MsiExec.exe /X{11964613-805F-432D-A12B-169554B793E7}
Nokia MTP driver --> MsiExec.exe /I{59359B3D-ABE7-46BF-AB55-43B67A64DC68}
Nokia PC Suite --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_ger.exe
Nokia PC Suite --> MsiExec.exe /I{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}
NVIDIA Drivers --> C:\WINDOWS\system32\nvunrm.exe UninstallGUI
PC Connectivity Solution --> MsiExec.exe /I{99A40651-0BC2-4095-8F9A-A40FAB224FEF}

......

extra.txt - Teil 2

Zitat:

....

ProtectDisc Helper Driver 10 --> C:\Programme\ProtectDisc Driver Installer\uninstall_v10.exe
QuickTime --> C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Shop for HP Supplies --> C:\Programme\HP\Digital Imaging\HPSSupply\hpzscr01.exe -datfile hpqbud16.dat
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901190) --> "C:\WINDOWS\$NtUninstallKB901190$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917537) --> "C:\WINDOWS\$NtUninstallKB917537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Skat --> C:\Programme\Franzis\Skat\unins000.exe
Skype™ 3.2 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SmartFTP --> MsiExec.exe /I{11C762F9-95EA-486A-A8E7-683A50C231C1}
SmartFTP Client 2.0 --> MsiExec.exe /I{C169D3BB-9A27-43F5-9979-09A0D65FE95C}
SmartFTP Client 2.0 Setup Files (remove only) --> "C:\Programme\SmartFTP Client 2.0 Setup Files\uninst-sftp.exe"
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Suite Specific --> MsiExec.exe /I{C49DAA9C-5BA8-459A-8244-E57B69DF0F04}
Terminkalender --> C:\WINDOWS\snui.exe /uninstall:"Terminkalender"
TomTom HOME --> C:\Programme\InstallShield Installation Information\{CE325D55-FCAF-4273-BB79-069BB8747270}\setup.exe -runfromtemp -l0x0007 -removeonly -removeonly
Trillian --> C:\Programme\Trillian\trillian.exe /uninstall
Update für Windows XP (KB896256) --> "C:\WINDOWS\$NtUninstallKB896256$\spuninst\spuninst.exe"
Update für Windows XP (KB897663) --> "C:\WINDOWS\$NtUninstallKB897663$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB907265) --> "C:\WINDOWS\$NtUninstallKB907265$\spuninst\spuninst.exe"
Update für Windows XP (KB908521) --> "C:\WINDOWS\$NtUninstallKB908521$\spuninst\spuninst.exe"
Update für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB916846) --> "C:\WINDOWS\$NtUninstallKB916846$\spuninst\spuninst.exe"
Update für Windows XP (KB920342) --> "C:\WINDOWS\$NtUninstallKB920342$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922120) --> "C:\WINDOWS\$NtUninstallKB922120$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB925720) --> "C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6 --> C:\Programme\VideoLAN\VLC\uninstall.exe
WinAce Archiver --> C:\Programme\WinAce\SXUNINST.EXE C:\Programme\WinAce\SXUNINST.INI
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccswpddri_044C8712DB44F83D9DE6C376991EE9254E0A69E4\pccswpddriver.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_F12A08B6F776984A95553486F64C541356F86E38\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_5E1541AFF1E1EA3554CE566743CCAD323ED1C108\nokbtmdm.inf
Windows-Treiberpaket - Nokia Modem (08/03/2007 6.84.0.2) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_1EB5F2E6F54A6BEDE9F436D1BA5D830FC71739BE\nokbtmdm.inf
Windows-Treiberpaket - Nokia Modem (08/08/2007 3.3) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_32E2E448B53EE5B28E074D88802D0BAF984038DA\pccs_bluetooth.inf
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB319740 --> "C:\WINDOWS\$NtUninstallKB319740$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873339 --> "C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB884020 --> C:\WINDOWS\$NtUninstallKB884020$\spuninst\spuninst.exe
Windows XP-Hotfix - KB884883 --> "C:\WINDOWS\$NtUninstallKB884883$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885222 --> "C:\WINDOWS\$NtUninstallKB885222$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885626 --> "C:\WINDOWS\$NtUninstallKB885626$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885836 --> "C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885894 --> "C:\WINDOWS\$NtUninstallKB885894$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB886677 --> "C:\WINDOWS\$NtUninstallKB886677$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB886716 --> "C:\WINDOWS\$NtUninstallKB886716$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB887472 --> "C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB888302 --> "C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB889016 --> "C:\WINDOWS\$NtUninstallKB889016$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB889673 --> "C:\WINDOWS\$NtUninstallKB889673$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890831 --> "C:\WINDOWS\$NtUninstallKB890831$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> "C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB896626 --> "C:\WINDOWS\$NtUninstallKB896626$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Pack 1.0 -->
ZoneAlarm --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type1304 / Error
Event Submitted/Written: 05/07/2008 11:28:19 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16640, fehlgeschlagenes Modul mshtml.dll, Version 7.0.6000.16640, Fehleradresse 0x0009853a.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.

Event Record #/Type1303 / Error
Event Submitted/Written: 05/07/2008 05:24:10 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16640, fehlgeschlagenes Modul mshtml.dll, Version 7.0.6000.16640, Fehleradresse 0x0025edac.
Das medienspezifische Ereignis für [iexplore.exe!ws!] wird verarbeitet.

Event Record #/Type1301 / Warning
Event Submitted/Written: 05/01/2008 01:17:05 PM
Event ID/Source: 1001 / MsiInstaller
Event Description:
Erkennung von Produkt "{90280407-6000-11D3-8CFE-0050048383C9}" und Funktion "SpellingAndGrammarFiles_1033" fehlgeschlagen beim Anfordern von Komponente "{D64CB221-8D1F-11D1-A806-00AA00479089}".



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type175667 / Error
Event Submitted/Written: 05/26/2008 00:22:58 PM
Event ID/Source: 7031 / Service Control Manager
Event Description:
Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Event Record #/Type175665 / Error
Event Submitted/Written: 05/26/2008 03:36:08 AM
Event ID/Source: 7031 / Service Control Manager
Event Description:
Der Dienst "Druckwarteschlange" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Event Record #/Type175647 / Error
Event Submitted/Written: 05/26/2008 03:22:39 AM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "Icatch(IV) Video Camera Device" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1058

Event Record #/Type175642 / Error
Event Submitted/Written: 05/26/2008 03:07:07 AM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
ElbyCDIO
Fips
IPSec
MRxSmb
NetBIOS
NetBT
nod32drv
Processor
RasAcd
Rdbss
Tcpip
vsdatant
WS2IFSL

Event Record #/Type175641 / Error
Event Submitted/Written: 05/26/2008 03:07:07 AM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31



-- End of Deckard's System Scanner: finished at 2008-05-26 13:54:36 ------------

Ich hoffe mal, daß ich alles richtig gemacht habe.

Wo genau wurde der Fund denn gemeldet? Also in welchem Ordner?
Die Logs zeigen noch 2-3 Reste der Infektion, allerdings nichts von der ftp34.dll...

Führe bitte noch folgendes durch:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

So...

habe alles so durchgeführt, wie angegeben. Hier das Log-File:

Zitat:

ComboFix 08-05-25.5 - Sternau 2008-05-26 21:20:20.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Sternau\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\ODCTOOLS

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-26 bis 2008-05-26 ))))))))))))))))))))))))))))))
.

2008-05-26 21:09 . 2008-05-26 21:09 <DIR> d-------- C:\Programme\CCleaner
2008-05-26 13:51 . 2008-05-26 13:51 <DIR> d-------- C:\Deckard
2008-05-26 13:03 . 2008-05-26 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Malwarebytes
2008-05-26 13:02 . 2008-05-26 13:03 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-26 13:02 . 2008-05-26 13:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-26 13:02 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-26 13:02 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-26 12:27 . 2008-05-26 12:27 <DIR> d-------- C:\Programme\Trend Micro
2008-05-26 03:06 . 2008-05-26 03:06 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-26 01:04 . 2008-05-26 01:05 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-26 01:04 . 2008-05-26 02:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-26 00:50 . 2008-05-26 00:59 <DIR> d-------- C:\Programme\a-squared HiJackFree
2008-05-26 00:33 . 2008-05-26 00:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-23 17:20 . 2008-05-23 17:20 <DIR> d-------- C:\Programme\NeroInstall.bak
2008-05-23 17:16 . 2008-05-23 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Nero
2008-05-23 17:10 . 2008-05-23 17:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-23 17:10 . 2008-05-23 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-05-23 16:16 . 2008-05-23 16:16 6,640 --a------ C:\Dokumente und Einstellungen\Sternau\mpr2.dat
2008-05-23 16:16 . 2008-05-23 16:16 6,640 --a------ C:\Dokumente und Einstellungen\Sternau\mpr.dat
2008-04-30 12:19 . 2008-04-30 12:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 20:07 --------- d-----w C:\Programme\Trillian
2008-05-23 16:10 --------- d-----w C:\Programme\Nero
2008-05-23 15:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-05-23 15:09 4,486,144 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-05-19 00:16 2,267,136 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-05-17 05:41 --------- d-----w C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Azureus
2008-05-15 14:35 7,194,681 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-06 13:40 --------- d-----w C:\Programme\Azureus
2008-04-30 11:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-21 21:44 --------- d-----w C:\Dokumente und Einstellungen\Sternau\Anwendungsdaten\Skype
2008-04-17 13:10 --------- d-----w C:\Programme\emule
2008-03-31 14:55 --------- d-----w C:\Programme\SlySoft
2008-03-31 14:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-03-27 22:02 97,600 ----a-w C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-14 22:24 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-28 16:38 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2008-02-26 15:14 972,072 ----a-w C:\WINDOWS\UNRecode.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2007-05-23 17:29 949376]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-01 06:02 7311360]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-01 06:02 86016]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"TomTomHOME.exe"="C:\Programme\TomTom HOME\TomTomHOME.exe" [2007-03-14 16:52 3770024]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-30 12:18 185896]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 16:29 2221352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

C:\Dokumente und Einstellungen\Sternau\Startmen�\Programme\Autostart\
Terminkalender.lnk - C:\Programme\Terminkalender\Kalender.exe [2007-05-23 21:22:52 655360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24 73728]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 09:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 11:46]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 12:37]
S3 ptiusbf;PTI USB Filter;C:\WINDOWS\system32\DRIVERS\PTIUSBF.SYS [2001-04-14 00:22]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 12:19]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 21:23:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\explorer.exe [7204] 0x84BBCB20

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-26 21:27:12
ComboFix-quarantined-files.txt 2008-05-26 20:27:08

11 Verzeichnis(se), 25,266,458,624 Bytes frei
14 Verzeichnis(se), 25,254,240,256 Bytes frei

135 --- E O F --- 2008-05-17 02:03:34

So...

habe NOD32 nochmal durchlaufen lassen und der hat erstmal nichts gefunden. Es scheint wieder alles im Guten zu sein. Ich werde das aber weiterhin beobachten. Mals sehen, was die nächsten Tage bringen.

Hi,

da ist mE noch etwas im Busch! Mache bitte mal folgendes:

Gmer

• Downloade Gmer und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollten geschlossen sein.
• Starte den Scan mit Scan. Bitte während des Scans nichts anderes am Rechner tun.
• Wenn der Scan fertig ist klicke auf Copy um das Log in die Zwischenablage zu kopieren
• Mit Ok wird GMER beendet.
• Poste das Log bitte hier

Lade dir Sysinternals Autoruns von dieser Seite und entpacke das Zip. Starte Autoruns.exe. Brich den ersten Scan mit ESC ab, gehe ins Menü Options und setze folgendes:

• "Include Empty Locations" -> ein (Haken)
• "Verify Code Signatures" -> ein (Haken)
• "Hide Signed Microsoft Entries" -> aus (kein Haken)

Drücke F5 für einen neuen Scan. Wenn er fertig ist, wähle im Menü File "Save As" und speichere die Liste ab, um sie später posten zu können.
(Anleitung von KarlKarl )

lg myrtille

Log-Text von Gmer:

Zitat:

GMER 1.0.14.14205 - h**p://www.gmer.net
Rootkit scan 2008-05-26 22:48:59
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xF3BF4E60]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xF3BF1820]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xF3BFC690]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xF3BF51F0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xF3BFB480]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xF3BFB6B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xF3BFECE0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xF3BF52D0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xF3BF1EA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xF3BFD6A0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xF3BFD2E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xF3BFB1F0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xF3BFD9E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xF3BF1CF0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xF3BFAF40]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xF3BFAD60]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xF3BFDCD0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xF3BF4B00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xF3BFDF80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xF3BF5010]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xF3BF2010]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xF3BFCE67]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xF3BFB8E0]

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 23EC 8050140C 12 Bytes [ F0, 51, BF, F3, 80, B4, BF, ... ]
? srescan.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
.text ntkrnlpa.exe!ZwYieldExecution + 28C4 8050140C 12 Bytes [ F0, 51, BF, F3, 80, B4, BF, ... ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F3BF9AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F3BF9AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F3BF9AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F3BF9AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F3BF9AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisRegisterProtocol] [F3BF9950] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisOpenAdapter] [F3BF9E70] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisDeregisterProtocol] [F3BF9AC0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisCloseAdapter] [F3BF9FD0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- EOF - GMER 1.0.14 ----

Log von Autoruns:

Teil 1

Zitat:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
+ rdpclip RDP Clip Monitor (Verified) Microsoft Windows Publisher c:\windows\system32\rdpclip.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
+ C:\WINDOWS\system32\userinit.exe Userinit-Anmeldeanwendung (Verified) Microsoft Windows Publisher c:\windows\system32\userinit.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
+ Explorer.exe Windows Explorer (Verified) Microsoft Windows Component Publisher c:\windows\explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ HP Software Update Hewlett-Packard Product Assistant (Not verified) Hewlett-Packard Co. c:\programme\hp\hp software update\hpwuschd2.exe
+ NBKeyScan Nero BackItUp (Verified) Nero AG c:\programme\nero\nero8\nero backitup\nbkeyscan.exe
+ NeroFilterCheck NeroCheck (Verified) Nero AG c:\programme\gemeinsame dateien\nero\lib\nerocheck.exe
+ nod32kui NOD32 Control Center GUI (Not verified) Eset c:\programme\eset\nod32kui.exe
+ NvCplDaemon NVIDIA Display Properties Extension (Verified) Microsoft Windows Hardware Compatibility Publisher c:\windows\system32\nvcpl.dll
+ NvMediaCenter NVIDIA Media Center Library (Verified) Microsoft Windows Hardware Compatibility Publisher c:\windows\system32\nvmctray.dll
+ PCSuiteTrayApplication PC Suite (Not verified) Nokia c:\programme\nokia\nokia pc suite 6\launchapplication.exe
+ TkBellExe RealNetworks Scheduler (Verified) RealNetworks, Inc. c:\programme\gemeinsame dateien\real\update_ob\realsched.exe
+ TomTomHOME.exe TomTom HOME (Verified) TomTom International BV c:\programme\tomtom home\tomtomhome.exe
+ ZoneAlarm Client ZoneAlarm Client (Verified) Check Point Software Technologies Ltd. c:\programme\zone labs\zonealarm\zlclient.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
+ Adobe Gamma.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe
+ HP Digital Imaging Monitor.lnk HP Digital Imaging Monitor (Not verified) Hewlett-Packard Co. c:\programme\hp\digital imaging\bin\hpqtra08.exe
+ HP Image Zone Schnellstart.lnk HP Image Zone (Not verified) Hewlett-Packard Co. c:\programme\hp\digital imaging\bin\hpqthb08.exe
+ Microsoft Office.lnk Microsoft Office XP component (Verified) Microsoft Corporation c:\programme\microsoft office\office10\osa.exe
C:\Dokumente und Einstellungen\Sternau\Startmenü\Programme\Autostart
+ Terminkalender.lnk Terminkalender (Not verified) softwarenetz.de c:\programme\terminkalender\kalender.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ autoload File not found: C:\Dokumente und Einstellungen\Sternau\cftmon.exe
+ BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} File not found: C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
+ ctfmon.exe CTF Loader (Verified) Microsoft Windows Publisher c:\windows\system32\ctfmon.exe
+ ntuser File not found: C:\WINDOWS\system32\drivers\spools.exe
+ SpybotSD TeaTimer System settings protector (Verified) Safer Networking Ltd. c:\programme\spybot - search & destroy\teatimer.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ Class Install Handler OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ deflate OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ gzip OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ lzdhtml OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ text/webviewhtml Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ about Microsoft (R) HTML Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\mshtml.dll
+ cdl OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ cdo Microsoft SharePoint Portal Server Object Model (Not verified) Microsoft Corporation c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll
+ dvd ActiveX-Steuerung für Streamingvideo (Verified) Microsoft Windows Publisher c:\windows\system32\msvidctl.dll
+ file OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ ftp OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ gopher OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ http OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ https OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ its Microsoft® InfoTech Storage System Library (Verified) Microsoft Windows XP Publisher c:\windows\system32\itss.dll
+ javascript Microsoft (R) HTML Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\mshtml.dll
+ local OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ mailto Microsoft (R) HTML Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\mshtml.dll
+ mhtml Microsoft Internet Messaging API (Verified) Microsoft Windows Component Publisher c:\windows\system32\inetcomm.dll
+ mk OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ ms-its Microsoft® InfoTech Storage System Library (Verified) Microsoft Windows XP Publisher c:\windows\system32\itss.dll
+ mso-offdap Microsoft Office XP Web Components (Verified) Microsoft Corporation c:\programme\gemeinsame dateien\microsoft shared\web components\10\owc10.dll
+ res Microsoft (R) HTML Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\mshtml.dll
+ skype4com Skype for COM API (Verified) Skype Technologies SA c:\programme\gemeinsame dateien\skype\skype4com.dll
+ sysimage Microsoft (R) HTML Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\mshtml.dll
+ tv ActiveX-Steuerung für Streamingvideo (Verified) Microsoft Windows Publisher c:\windows\system32\msvidctl.dll
+ vbscript Microsoft (R) HTML Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\mshtml.dll
+ wia WIA Scripting Layer (Verified) Microsoft Windows Publisher c:\windows\system32\wiascr.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ Adressbuch 6 Bibliothek für Outlook Setup (Verified) Microsoft Windows Publisher c:\programme\outlook express\setup50.exe
+ Browser Customizations IEAK branding (Verified) Microsoft Windows Component Publisher c:\windows\system32\iedkcs32.dll
+ Browseranpassungen IEAK branding (Verified) Microsoft Windows Component Publisher c:\windows\system32\iedkcs32.dll
+ IE7 Uninstall Stub IE Per User Active Setup Uninstall Utility (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieudinit.exe
+ Internet Explorer IE Per-User Initialization Utility (Verified) Microsoft Windows Component Publisher c:\windows\system32\ie4uinit.exe
+ Internet Explorer IE Per-User Initialization Utility (Verified) Microsoft Windows Component Publisher c:\windows\system32\ie4uinit.exe
+ Microsoft Outlook Express 6 Bibliothek für Outlook Setup (Verified) Microsoft Windows Publisher c:\programme\outlook express\setup50.exe
+ Microsoft Windows Media Player Microsoft Windows Media Player-Installationsdienstprogramm (Verified) Microsoft Windows Component Publisher c:\windows\inf\unregmp2.exe
+ Microsoft Windows Media Player ADVPACK (Verified) Microsoft Windows Component Publisher c:\windows\system32\advpack.dll
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Verified) Microsoft Corporation c:\windows\system32\mscories.dll
+ NetMeeting 3.01 ADVPACK (Verified) Microsoft Windows Component Publisher c:\windows\system32\advpack.dll
+ Outlook Express Windows NT User Data Migration Tool (Verified) Microsoft Windows Publisher c:\windows\system32\shmgrate.exe
+ Themes Setup Microsoft(C) Registerserver (Verified) Microsoft Windows Publisher c:\windows\system32\regsvr32.exe
+ Windows Desktop-Update Microsoft(C) Registerserver (Verified) Microsoft Windows Publisher c:\windows\system32\regsvr32.exe
+ Windows Messenger 4.7 ADVPACK (Verified) Microsoft Windows Component Publisher c:\windows\system32\advpack.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
+ Browseui preloader Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Component Categories cache daemon Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
+ CDBurn Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ PostBootReminder Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ SysTray Systray-Shell-Serviceobjekt (Verified) Microsoft Windows Publisher c:\windows\system32\stobject.dll
+ WebCheck Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ WPDShServiceObj Windows Portable Device Shell Service Object (Verified) Microsoft Windows Component Publisher c:\windows\system32\wpdshserviceobj.dll
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ URL Exec Hook Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
+ Cover Designer Cover Designer (Verified) Nero AG c:\programme\nero\nero8\nero coverdesigner\coveredextension.dll
+ NBShellHook Class Nero BackItUp (Verified) Nero AG c:\programme\nero\nero8\nero backitup\nbshell.dll
+ NOD32 Context Menu Shell Extension c:\programme\eset\nodshex.dll
+ Offline Files Clientseitige Cachebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\cscui.dll
+ Open With Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ Open With EncryptionMenu Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ Start Menu Pin Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ WinRAR c:\programme\winrar\rarext.dll
+ ZFAdd WinAce-Archiver Shell Extension (Not verified) e-merge GmbH c:\programme\winace\arcext.dll
+ ZLAVShExt zlavscan shell extension (Verified) Check Point Software Technologies Ltd. c:\programme\zone labs\zonealarm\zlavscan.dll
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
+ MBAMShlExt Malwarebytes' Anti-Malware shell extension (Verified) Malwarebytes c:\programme\malwarebytes' anti-malware\mbamext.dll
+ Send To Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
+ MBAMShlExt Malwarebytes' Anti-Malware shell extension (Verified) Malwarebytes c:\programme\malwarebytes' anti-malware\mbamext.dll
+ NBShellHook Class Nero BackItUp (Verified) Nero AG c:\programme\nero\nero8\nero backitup\nbshell.dll
+ NOD32 Context Menu Shell Extension c:\programme\eset\nodshex.dll
+ WinRAR c:\programme\winrar\rarext.dll
+ ZLAVShExt zlavscan shell extension (Verified) Check Point Software Technologies Ltd. c:\programme\zone labs\zonealarm\zlavscan.dll
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
+ EncryptionMenu Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ Offline Files Clientseitige Cachebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\cscui.dll
+ Sharing Shellerweiterungen für Freigaben (Verified) Microsoft Windows Publisher c:\windows\system32\ntshrui.dll
+ WinRAR c:\programme\winrar\rarext.dll
+ ZFAdd WinAce-Archiver Shell Extension (Not verified) e-merge GmbH c:\programme\winace\arcext.dll
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers

...

Log von Autoruns:

Teil 2

Zitat:

HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
+ 00nView NVIDIA Desktop Explorer, Version 110.13 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ New Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ NvCplDesktopContext NVIDIA Display Properties Extension (Verified) Microsoft Windows Hardware Compatibility Publisher c:\windows\system32\nvcpl.dll
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ {0D2E74C4-3C34-11d2-A27E-00C04FC30871} Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ {24F14F01-7B1C-11d1-838f-0000F80461CF} Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ {24F14F02-7B1C-11d1-838f-0000F80461CF} Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ {66742402-F9B9-11D1-A202-0000F81FEDEE} Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
+ Offline Files Clientseitige Cachebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\cscui.dll
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ %DESC_PublishDropTarget% Fotodruck-Assistent (Verified) Microsoft Windows Publisher c:\windows\system32\photowiz.dll
+ &Adresse Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ &Links Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ &Nach Personen... Personen suchen (Verified) Microsoft Windows Publisher c:\programme\outlook express\wabfind.dll
+ .CAB file viewer Shellerweiterung von Kabinettdatei-Viewer (Verified) Microsoft Windows Publisher c:\windows\system32\cabview.dll
+ Accessible Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ ActiveX Cache Folder Object Control Viewer (Verified) Microsoft Windows Component Publisher c:\windows\system32\occache.dll
+ Address EditBox Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Aktenkoffer Windows Aktenkoffer (Verified) Microsoft Windows Publisher c:\windows\system32\syncui.dll
+ Audio Media Properties Handler Extrahierungsshellerweiterung der Mediendateieigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\shmedia.dll
+ Augmented Shell Folder Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Augmented Shell Folder 2 Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Ausführen... Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Auto Update Property Sheet Extension Automatic Updates Control Panel (Verified) Microsoft Windows Component Publisher c:\windows\system32\wuaucpl.cpl
+ Avi Properties Handler Extrahierungsshellerweiterung der Mediendateieigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\shmedia.dll
+ BandProxy Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Benutzerkonten Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen (Verified) Microsoft Windows Publisher c:\windows\system32\netplwiz.dll
+ Bestellung von Abzügen über das Internet Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen (Verified) Microsoft Windows Publisher c:\windows\system32\netplwiz.dll
+ CDF Extension Copy Hook Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Code Download Agent Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ Compressed (zipped) Folder Right Drag Handler ZIP-komprimierte Ordner (Verified) Microsoft Windows Publisher c:\windows\system32\zipfldr.dll
+ Compressed (zipped) Folder SendTo Target ZIP-komprimierte Ordner (Verified) Microsoft Windows Publisher c:\windows\system32\zipfldr.dll
+ ConnectionAgent Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ CPL-Erweiterung für Anzeigeverschiebung File not found: deskpan.dll
+ CPL-Erweiterung für Bildschirme Erweiterte Eigenschaften des Bildschirms (Verified) Microsoft Windows Publisher c:\windows\system32\deskmon.dll
+ CPL-Erweiterung für Grafikkarten Erweiterte Eigenschaften der Grafikkarte (Verified) Microsoft Windows Publisher c:\windows\system32\deskadp.dll
+ Custom MRU AutoCompleted List Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Darwin App Publisher Shellanwendungs-Manager (Verified) Microsoft Windows Publisher c:\windows\system32\appwiz.cpl
+ Desktop Explorer NVIDIA Desktop Explorer, Version 110.13 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 110.13 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ DfsShell DFS-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\dfsshlex.dll
+ Directory Context Menu Verbs Gemeinsame Benutzeroberfläche des Verzeichnisdienstes (Verified) Microsoft Windows Publisher c:\windows\system32\dsuiext.dll
+ Directory Object Find Verzeichnisdienstsuche (Verified) Microsoft Windows Publisher c:\windows\system32\dsquery.dll
+ Directory Property UI Gemeinsame Benutzeroberfläche des Verzeichnisdienstes (Verified) Microsoft Windows Publisher c:\windows\system32\dsuiext.dll
+ Directory Query UI Verzeichnisdienstsuche (Verified) Microsoft Windows Publisher c:\windows\system32\dsquery.dll
+ Directory Start/Search Find Verzeichnisdienstsuche (Verified) Microsoft Windows Publisher c:\windows\system32\dsquery.dll
+ Disk Quota UI Windows Shell-Datenträgerkontingent-UI-DLL (Verified) Microsoft Windows Publisher c:\windows\system32\dskquoui.dll
+ Display TroubleShoot CPL Extension Erweiterte Anzeigeeigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\deskperf.dll
+ Download Status Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Druckersicherheit Sicherheitserweiterung der Shell (Verified) Microsoft Windows Publisher c:\windows\system32\rshx32.dll
+ DS-Sicherheit Sicherheitsbenutzeroberfläche des Verzeichnisdienstes (Verified) Microsoft Windows Publisher c:\windows\system32\dssec.dll
+ E-Mail Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Eigenschaften für Multimediadatei Treiber-Systemsteuerungsoption (Verified) Microsoft Windows Publisher c:\windows\system32\mmsys.cpl
+ Eigenschaftenseite für vorherige Versionen Eigenschaftenseite für vorherige Versionen (Verified) Microsoft Windows XP Publisher c:\windows\system32\twext.dll
+ Erweiterung für Datenträgerkopien Windows DiskCopy (Verified) Microsoft Windows Publisher c:\windows\system32\diskcopy.dll
+ Erweiterung für HyperTerminal-Icons HyperTerminal Applet Library (Verified) Microsoft Windows Publisher c:\windows\system32\hticons.dll
+ Explorer-Band Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Extensions Manager Folder Extensions Manager (Verified) Microsoft Windows Component Publisher c:\windows\system32\extmgr.dll
+ Favorites Band Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ FTP Folders Webview Microsoft Internet Explorer FTP-Ordnershellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\msieftp.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ GDI+ Dateiminiaturansicht-Extrahierungsprogramm Windows Bild- und Faxanzeige (Verified) Microsoft Windows Publisher c:\windows\system32\shimgvw.dll
+ Geplante Tasks Schnittstellen-DLL für Taskplaner (Verified) Microsoft Windows Publisher c:\windows\system32\mstask.dll
+ Global Folder Settings Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Hilfe und Support Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Hilfe und Support Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ History Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ HTML-Extrahierungsprogramm Windows Bild- und Faxanzeige (Verified) Microsoft Windows Publisher c:\windows\system32\shimgvw.dll
+ ICC-Profil DLL der Benutzeroberfläche für Microsoft Color Matching (Verified) Microsoft Windows Publisher c:\windows\system32\icmui.dll
+ ICM-Druckerverwaltung DLL der Benutzeroberfläche für Microsoft Color Matching (Verified) Microsoft Windows Publisher c:\windows\system32\icmui.dll
+ ICM-Monitorverwaltung DLL der Benutzeroberfläche für Microsoft Color Matching (Verified) Microsoft Windows Publisher c:\windows\system32\icmui.dll
+ ICM-Scannerverwaltung DLL der Benutzeroberfläche für Microsoft Color Matching (Verified) Microsoft Windows Publisher c:\windows\system32\icmui.dll
+ IE AutoComplete Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE BandProxy Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Custom MRU AutoCompleted List Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Fade Task Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE IShellFolderBand Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Menu Band Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Menu Desk Bar Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Menu Site Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Microsoft BrowserBand Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Microsoft History AutoComplete List Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Microsoft Multiple AutoComplete List Container Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Microsoft Shell Folder AutoComplete List Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE MRU AutoComplete List Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Navigation Bar Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Registry Tree Options Utility Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE RSS Feeder Folder Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Search Band Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Shell Band Site Menu Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Shell Rebar BandSite Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE Tracking Shell Menu Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE User Assist Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ IE4 Suite-Begrüßungsbildschirm Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ In-pane search Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Installed Apps Enumerator Shellanwendungs-Manager (Verified) Microsoft Windows Publisher c:\windows\system32\appwiz.cpl
+ Internet Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Internet Name Space Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ InternetShortcut Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ ISFBand OC Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Kompatibilitätsseite Shellerweiterungs-DLL für Registerkarte "Kompatibilität" (Verified) Microsoft Windows Publisher c:\windows\system32\slayerxp.dll
+ Krypto-PKO-Erweiterung Krypto-Shellerweiterungen (Verified) Microsoft Windows Publisher c:\windows\system32\cryptext.dll
+ Krypto-Sign-Erweiterung Krypto-Shellerweiterungen (Verified) Microsoft Windows Publisher c:\windows\system32\cryptext.dll
+ Microsoft Agent Character Property Sheet Handler Microsoft Agent Property Sheet Handler (Verified) Microsoft Windows Publisher c:\windows\msagent\agentpsh.dll
+ Microsoft AutoComplete Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Microsoft Browser Architecture Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Microsoft Browser Architecture Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ Microsoft BrowserBand Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Microsoft Datenverknüpfung Microsoft Data Access - OLE DB Core Services (Verified) Microsoft Windows Publisher c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
+ Microsoft DocProp Inplace Calendar Control Microsoft DocProp-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace Droplist Combo Control Microsoft DocProp-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace Edit Box Control Microsoft DocProp-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace ML Edit Box Control Microsoft DocProp-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\docprop2.dll
+ Microsoft DocProp Inplace Time Control Microsoft DocProp-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\docprop2.dll
+ Microsoft DocProp Shell Ext Microsoft DocProp-Shellerweiterung (Verified) Microsoft Windows Publisher c:\windows\system32\docprop2.dll
+ Microsoft History AutoComplete List Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Microsoft Internet Toolbar Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Microsoft Multiple AutoComplete List Container Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Microsoft Office HTML Icon Handler Microsoft Office XP component (Verified) Microsoft Corporation c:\programme\microsoft office\office10\msohev.dll
+ Microsoft Shell Folder AutoComplete List Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Microsoft Url History Service Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ Microsoft Url Search Hook Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ Microsoft.XPS.Shell.Metadata.1 Package Document Shell Extension Handler (Verified) Microsoft Corporation c:\windows\system32\xpsshhdr.dll
+ Microsoft.XPS.Shell.Thumbnail.1 Package Document Shell Extension Handler (Verified) Microsoft Corporation c:\windows\system32\xpsshhdr.dll
+ Midi Properties Handler Extrahierungsshellerweiterung der Mediendateieigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\shmedia.dll
+ MMC Icon Handler MMC Shell Extension DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\mmcshext.dll
+ MRU AutoComplete List Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Multiscan zlavscan shell extension (Verified) Check Point Software Technologies Ltd. c:\programme\zone labs\zonealarm\zlavscan.dll
+ MyDocs Copy Hook Benutzeroberfläche des Verzeichnisses "Eigene Dateien" (Verified) Microsoft Windows Publisher c:\windows\system32\mydocs.dll
+ MyDocs Drop Target Benutzeroberfläche des Verzeichnisses "Eigene Dateien" (Verified) Microsoft Windows Publisher c:\windows\system32\mydocs.dll
+ MyDocs Properties Benutzeroberfläche des Verzeichnisses "Eigene Dateien" (Verified) Microsoft Windows Publisher c:\windows\system32\mydocs.dll
+ NeroCoverEd Live Icons Cover Designer (Verified) Nero AG c:\programme\nero\nero8\nero coverdesigner\coveredextension.dll
+ Netzwerkverbindungen Shell für Netzwerkverbindungen (Verified) Microsoft Windows Component Publisher c:\windows\system32\netshell.dll
+ Netzwerkverbindungen Shell für Netzwerkverbindungen (Verified) Microsoft Windows Component Publisher c:\windows\system32\netshell.dll
+ NOD32 Context Menu Shell Extension c:\programme\eset\nodshex.dll
+ Nokia Phone Browser Phone Browser (Not verified) Nokia c:\programme\nokia\nokia pc suite 6\phonebrowser.dll
+ NTFS-Sicherheit Sicherheitserweiterung der Shell (Verified) Microsoft Windows Publisher c:\windows\system32\rshx32.dll
+ NvCpl DesktopContext Class NVIDIA Display Properties Extension (Verified) Microsoft Windows Hardware Compatibility Publisher c:\windows\system32\nvcpl.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 110.13 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Offline Files Folder Options Clientseitige Cachebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\cscui.dll
+ Offline Files Menu Clientseitige Cachebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\cscui.dll
+ OLE-Eigenschaftenseite für Dokumente OLE-Eigenschaftenseite für Dokumente (Verified) Microsoft Windows Publisher c:\windows\system32\docprop.dll
+ Ordner 'Offlinedateien' Clientseitige Cachebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\cscui.dll
+ Passport-Assistent Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen (Verified) Microsoft Windows Publisher c:\windows\system32\netplwiz.dll
+ Play on my TV helper NVIDIA Display Properties Extension (Verified) Microsoft Windows Hardware Compatibility Publisher c:\windows\system32\nvcpl.dll
+ PlusPack CPL Extension Windows-Design-API (Verified) Microsoft Windows Publisher c:\windows\system32\themeui.dll
+ Portable Devices Portable Devices Shell Extension (Verified) Microsoft Windows Component Publisher c:\windows\system32\wpdshext.dll
+ Portable Devices Menu Portable Devices Shell Extension (Verified) Microsoft Windows Component Publisher c:\windows\system32\wpdshext.dll

...

Log von Autoruns:

Teil 3

Zitat:

+ Portable Media Devices Portable Media Devices Shell Extension (Verified) Microsoft Windows Component Publisher c:\windows\system32\audiodev.dll
+ PostAgent Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ Registry Tree Options Utility Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Remote Sessions CPL Extension CPL-Erweiterung für Remotesitzungen (Verified) Microsoft Windows Publisher c:\windows\system32\remotepg.dll
+ Scanner und Kameras Shellordner-Benutzeroberfläche für Imaging-Geräte (Verified) Microsoft Windows Publisher c:\windows\system32\wiashext.dll
+ Scanner und Kameras Shellordner-Benutzeroberfläche für Imaging-Geräte (Verified) Microsoft Windows Publisher c:\windows\system32\wiashext.dll
+ Scanner und Kameras Shellordner-Benutzeroberfläche für Imaging-Geräte (Verified) Microsoft Windows Publisher c:\windows\system32\wiashext.dll
+ Scanner und Kameras Shellordner-Benutzeroberfläche für Imaging-Geräte (Verified) Microsoft Windows Publisher c:\windows\system32\wiashext.dll
+ Scanner und Kameras Shellordner-Benutzeroberfläche für Imaging-Geräte (Verified) Microsoft Windows Publisher c:\windows\system32\wiashext.dll
+ Schriftarten Windows Schriftarten-Ordner (Verified) Microsoft Windows Publisher c:\windows\system32\fontext.dll
+ Schriftarten Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Search Assistant OC Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Sendmail service E-Mail senden (Verified) Microsoft Windows Publisher c:\windows\system32\sendmail.dll
+ Sendmail service E-Mail senden (Verified) Microsoft Windows Publisher c:\windows\system32\sendmail.dll
+ Set Program Access and Defaults Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Shell Application Manager Shellanwendungs-Manager (Verified) Microsoft Windows Publisher c:\windows\system32\appwiz.cpl
+ Shell Automation Inproc Service Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Shell Band Site Menu Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Shell DeskBar Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Shell DeskBarApp Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Shell DocObject Viewer Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ Shell Extensions for RealOne Player RealPlayer Shell Extensions (Verified) RealNetworks, Inc. c:\program files\real\realplayer\rpshell.dll
+ Shell Icon Handler for Application References Application Deployment Support Library (Verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ Shell Image Data Factory Windows Bild- und Faxanzeige (Verified) Microsoft Windows Publisher c:\windows\system32\shimgvw.dll
+ Shell Image Property Handler Windows Bild- und Faxanzeige (Verified) Microsoft Windows Publisher c:\windows\system32\shimgvw.dll
+ Shell Image Verbs Windows Bild- und Faxanzeige (Verified) Microsoft Windows Publisher c:\windows\system32\shimgvw.dll
+ Shell properties for a DS object Verzeichnisdienstsuche (Verified) Microsoft Windows Publisher c:\windows\system32\dsquery.dll
+ Shell Rebar BandSite Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Shell-Datenauszughandler Shell-Datenauszughandler (Verified) Microsoft Windows Publisher c:\windows\system32\shscrap.dll
+ Shellerweiterung für Webdrucker DLL für die Druckerbenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\printui.dll
+ Shellerweiterungen für Freigaben Shellerweiterungen für Freigaben (Verified) Microsoft Windows Publisher c:\windows\system32\ntshrui.dll
+ Shellerweiterungen für Freigaben Shellerweiterungen für Freigaben (Verified) Microsoft Windows Publisher c:\windows\system32\ntshrui.dll
+ Shellerweiterungen für Microsoft Windows-Netzwerkobjekte Shellbenutzeroberfläche für das Netzwerkobjekt (Verified) Microsoft Windows Publisher c:\windows\system32\ntlanui2.dll
+ Shellerweiterungen für Windows Script Host Microsoft (r) Shell Extension for Windows Script Host (Verified) Microsoft Windows Publisher c:\windows\system32\wshext.dll
+ ShellLink for Application References Application Deployment Support Library (Verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ Shellobjekt des Webpublishing-Assistenten Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen (Verified) Microsoft Windows Publisher c:\windows\system32\netplwiz.dll
+ SmartFTP Shell Extension DLL SmartFTP Client CopyHook (Verified) SmartSoft Ltd c:\programme\smartftp client 2.0\smarthook.dll
+ Subscription Folder Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ Subscription Mgr Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ Suchen Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Taskleiste und Startmenü Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ Tasks Folder Icon Handler Schnittstellen-DLL für Taskplaner (Verified) Microsoft Windows Publisher c:\windows\system32\mstask.dll
+ Tasks Folder Shell Extension Schnittstellen-DLL für Taskplaner (Verified) Microsoft Windows Publisher c:\windows\system32\mstask.dll
+ Temporary Internet Files Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ Temporary Internet Files Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ The Internet Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
+ Track Popup Bar Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ TrayAgent Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ TridentImageExtractor Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ User Assist Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ Verwaltung Bibliothek für Shell-Dokumente und -Steuerelemente (Verified) Microsoft Windows Component Publisher c:\windows\system32\shdocvw.dll
+ Video Media Properties Handler Extrahierungsshellerweiterung der Mediendateieigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\shmedia.dll
+ Video Thumbnail Extractor Extrahierungsshellerweiterung der Mediendateieigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\shmedia.dll
+ Vorherige Versionen Eigenschaftenseite für vorherige Versionen (Verified) Microsoft Windows XP Publisher c:\windows\system32\twext.dll
+ Wav Properties Handler Extrahierungsshellerweiterung der Mediendateieigenschaften (Verified) Microsoft Windows Publisher c:\windows\system32\shmedia.dll
+ Web Search Shell Browser UI-Bibliothek (Verified) Microsoft Windows c:\windows\system32\browseui.dll
+ WebCheck Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ WebCheck SyncMgr Handler Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ WebCheckChannelAgent Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ WebCheckWebCrawler Web Site Monitor (Verified) Microsoft Windows Component Publisher c:\windows\system32\webcheck.dll
+ Webordner Microsoft Web Folders (Not verified) Microsoft Corporation c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
+ Webpublishing-Assistent Netzlaufwerke zuordnen/Assistent für Netzwerkressourcen (Verified) Microsoft Windows Publisher c:\windows\system32\netplwiz.dll
+ WinAce Archiver 2.6 Context Menu Shell Extension WinAce-Archiver Shell Extension (Not verified) e-merge GmbH c:\programme\winace\arcext.dll
+ WinAce Archiver 2.6 Context Menu Shell Extension WinAce-Archiver Shell Extension (Not verified) e-merge GmbH c:\programme\winace\arcext.dll
+ WinAce Archiver 2.6 DragDrop Shell Extension WinAce-Archiver Shell Extension (Not verified) e-merge GmbH c:\programme\winace\arcext.dll
+ WinAce Archiver 2.6 Property Sheet Shell Extension WinAce-Archiver Shell Extension (Not verified) e-merge GmbH c:\programme\winace\arcext.dll
+ Windows Media Player Add to Playlist Context Menu Handler Windows Media Player-Launcher (Verified) Microsoft Windows Component Publisher c:\windows\system32\wmpshell.dll
+ Windows Media Player Burn Audio CD Context Menu Handler Windows Media Player-Launcher (Verified) Microsoft Windows Component Publisher c:\windows\system32\wmpshell.dll
+ Windows Media Player Play as Playlist Context Menu Handler Windows Media Player-Launcher (Verified) Microsoft Windows Component Publisher c:\windows\system32\wmpshell.dll
+ WinRAR shell extension c:\programme\winrar\rarext.dll
+ ZIP-komprimierter Ordner ZIP-komprimierte Ordner (Verified) Microsoft Windows Publisher c:\windows\system32\zipfldr.dll
+ Zusammenfassungs-Miniaturansichthandler (DOCFILES) Windows Bild- und Faxanzeige (Verified) Microsoft Windows Publisher c:\windows\system32\shimgvw.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ AcroIEHlprObj Class AcroIEHelper Module (Verified) Adobe Systems, Incorporated c:\programme\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx
+ Spybot-S&D IE Protection SBSD IE Protection (Verified) Safer Networking Ltd. c:\programme\spybot - search & destroy\sdhelper.dll
+ SSVHelper Class Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\programme\java\jre1.6.0_05\bin\ssv.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
+ Microsoft Url Search Hook Internet Explorer (Verified) Microsoft Windows Component Publisher c:\windows\system32\ieframe.dll
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
+ @xpsp3res.dll,-20001 Network Diagnostic for Windows XP (Not verified) Microsoft Corporation c:\windows\network diagnostic\xpnetdiag.exe
+ Windows Messenger Windows Messenger (Verified) Microsoft Windows XP Publisher c:\programme\messenger\msmsgs.exe
Task Scheduler
HKLM\System\CurrentControlSet\Services
HKLM\System\CurrentControlSet\Services
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ autocheck autochk * Automatisches Prüfprogramm (Verified) Microsoft Windows Publisher c:\windows\system32\autochk.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 (Verified) Microsoft Windows Publisher c:\windows\system32\ntsd.exe
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
+ advapi32 Erweitertes Windows 32 Base-API (Verified) Microsoft Windows Publisher c:\windows\system32\advapi32.dll
+ comdlg32 DLL für gemeinsame Dialoge (Verified) Microsoft Windows Publisher c:\windows\system32\comdlg32.dll
+ gdi32 GDI Client DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\gdi32.dll
+ imagehlp Windows NT Image Helper (Verified) Microsoft Windows Publisher c:\windows\system32\imagehlp.dll
+ kernel32 Client-DLL für Windows NT-Basis-API (Verified) Microsoft Windows Component Publisher c:\windows\system32\kernel32.dll
+ lz32 LZ Expand/Compress API DLL (Verified) Microsoft Windows Publisher c:\windows\system32\lz32.dll
+ ole32 Microsoft OLE für Windows (Verified) Microsoft Windows Component Publisher c:\windows\system32\ole32.dll
+ oleaut32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\oleaut32.dll
+ olecli32 OLE-Clientbibliothek (Verified) Microsoft Windows Component Publisher c:\windows\system32\olecli32.dll
+ olecnv32 Microsoft OLE for Windows (Verified) Microsoft Windows Component Publisher c:\windows\system32\olecnv32.dll
+ olesvr32 Object Linking and Embedding Server Library (Verified) Microsoft Windows Publisher c:\windows\system32\olesvr32.dll
+ olethk32 Microsoft OLE for Windows (Verified) Microsoft Windows Publisher c:\windows\system32\olethk32.dll
+ rpcrt4 Remote Procedure Call Runtime (Verified) Microsoft Windows Component Publisher c:\windows\system32\rpcrt4.dll
+ shell32 Allgemeine Windows-Shell-DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\shell32.dll
+ url Internet Shortcut Shell Extension DLL (Verified) Microsoft Windows Component Publisher c:\windows\system32\url.dll
+ urlmon OLE32 Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\urlmon.dll
+ user32 Client-DLL für Windows XP USER-API (Verified) Microsoft Windows Component Publisher c:\windows\system32\user32.dll
+ version Version Checking and File Installation Libraries (Verified) Microsoft Windows Publisher c:\windows\system32\version.dll
+ wininet Internet Extensions for Win32 (Verified) Microsoft Windows Component Publisher c:\windows\system32\wininet.dll
+ wldap32 Win32 LDAP-API-DLL (Verified) Microsoft Windows Publisher c:\windows\system32\wldap32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
+ logonui.exe Windows-Anmeldebenutzeroberfläche (Verified) Microsoft Windows Publisher c:\windows\system32\logonui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ crypt32chain Krypto-API32 (Verified) Microsoft Windows Publisher c:\windows\system32\crypt32.dll
+ cryptnet Crypto Network Related API (Verified) Microsoft Windows Publisher c:\windows\system32\cryptnet.dll
+ cscdll Offlinenetzwerk-Agent (Verified) Microsoft Windows Publisher c:\windows\system32\cscdll.dll
+ ScCertProp Common DLL to receive Winlogon notifications (Verified) Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ Schedule Common DLL to receive Winlogon notifications (Verified) Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ sclgntfy Benachrichtigungs-DLL für sekundären Anmeldedienst (Verified) Microsoft Windows Publisher c:\windows\system32\sclgntfy.dll
+ SensLogn Common DLL to receive Winlogon notifications (Verified) Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ termsrv Common DLL to receive Winlogon notifications (Verified) Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
+ WgaLogon Windows Genuine Advantage-Benachrichtigung (Verified) Microsoft Corporation c:\windows\system32\wgalogon.dll
+ wlballoon Common DLL to receive Winlogon notifications (Verified) Microsoft Windows Publisher c:\windows\system32\wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
+ 000000000001 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ 000000000002 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ 000000000003 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ 000000000004 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ 000000000005 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ 000000000006 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000007 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000008 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000009 Microsoft Windows Rsvp 1.0 Service Provider (Verified) Microsoft Windows Publisher c:\windows\system32\rsvpsp.dll
+ 000000000010 Microsoft Windows Rsvp 1.0 Service Provider (Verified) Microsoft Windows Publisher c:\windows\system32\rsvpsp.dll
+ 000000000011 NOD32 IMON - Internet scanning support (Not verified) Eset c:\windows\system32\imon.dll
+ 000000000012 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000013 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000014 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000015 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000016 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000017 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000018 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ 000000000019 Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
+ NLA-Namespace Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
+ NTDS LDAP RnR Provider DLL (Verified) Microsoft Windows Publisher c:\windows\system32\winrnr.dll
+ TCP/IP Microsoft Windows Sockets 2.0-Dienstanbieter (Verified) Microsoft Windows Publisher c:\windows\system32\mswsock.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ BJ Language Monitor Sprachüberwachung für Canon Bubble-Jet-Drucker (Verified) Microsoft Windows Publisher c:\windows\system32\cnbjmon.dll
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
+ digest.dll Digest SSPI Authentication Package (Verified) Microsoft Windows Publisher c:\windows\system32\digest.dll
+ msapsspc.dll DPA-Client für 32-Bit Plattformen (Verified) Microsoft Windows Publisher c:\windows\system32\msapsspc.dll
+ msnsspc.dll MSN Internet Access (Verified) Microsoft Windows Publisher c:\windows\system32\msnsspc.dll
+ schannel.dll TLS / SSL Security Provider (Verified) Microsoft Windows Component Publisher c:\windows\system32\schannel.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
+ msv1_0 Microsoft Authentication Package v1.0 (Verified) Microsoft Windows Publisher c:\windows\system32\msv1_0.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
+ scecli Clientmodul für Windows-Sicherheitskonfigurations-Editor (Verified) Microsoft Windows Publisher c:\windows\system32\scecli.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
+ kerberos Kerberos Security Package (Verified) Microsoft Windows XP Publisher c:\windows\system32\kerberos.dll
+ msv1_0 Microsoft Authentication Package v1.0 (Verified) Microsoft Windows Publisher c:\windows\system32\msv1_0.dll
+ schannel TLS / SSL Security Provider (Verified) Microsoft Windows Component Publisher c:\windows\system32\schannel.dll
+ wdigest Microsoft Digest Access (Verified) Microsoft Windows Component Publisher c:\windows\system32\wdigest.dll
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
+ LanmanWorkstation Microsoft Windows-Netzwerk (Verified) Microsoft Windows Publisher c:\windows\system32\ntlanman.dll
+ RDPNP Microsoft-Terminaldienste (Verified) Microsoft Windows Publisher c:\windows\system32\drprov.dll
+ WebClient Web Client Network (Verified) Microsoft Windows Publisher c:\windows\system32\davclnt.dll

Das GMER Log ist ok, der Explorer Hook kann noch von dem gelöschten Rootkit sein.

Flister

• Lade Dir Flister von hier auf den Desktop.
• Entpacke das Archiv auf den Dektop in das Verzeichnis Flister.
• Lade die angehängte flister.bat.txt Datei ins selbe Verzeichnis.
• Benenne die Datei flister.bat.txt in flister.bat um.
• Klicke die flister.bat Datei an. Kurz darauf erscheint eine ergebnis.txt Datei im selben Ordner.
• Diese Datei an Deinen nächsten Post anhängen.

ModGreper

* Lade Modgreper von hier.
* Entpacke es nach c:\
* Lade die mg.bat von hier .
* Speicher diese auf dem Desktop
* Klicke die mg.bat an, ein schwarzes Fenster erscheint
* nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz
* dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen
* poste den Inhalt der modgreper.txt im Forum

----
modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden.

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)