Ich hätte gern eine 2te Meinung

Andreas1964 · 18.06.2008, 17:46

Hallo!

Ich hatte mir vor ein paar Wochen einen üblen Virus zugezogen, der lies sich nicht mittels diverser Online-Scanner entfernen, nur mittels Smitfraudfix konnte ich ihm beikommen... denke ich.

Mein Rechner läuft nun wieder einwandfrei, ich habe zur Sicherheit seither mal den Kaspersky drauf, läuft mit höchster Sicherheitsstufe, Heuristik steht auf detalliert.

Nun ja, ab und an nach einen Update findet der Kaspersky hier und da noch eine Datei die er als Virus identifiziert, was mich allerdings stutzig macht ist die Tatsache das er eine vor kurzem eine Datei in "C:\System Volume Information" anmeckert und dieses Verzeichnis hatte ich nach dem Virenbefall von Hand komplett gelöscht. Außerdem meckert der Kaspersky meine rundll32.exe als gefährlich an...hmm..., hier mal der Bericht:

gelöscht: trojanisches Programm Trojan.Win32.Monderb.gen Datei: C:\System Volume Information\_restore{A6A2D39D-3F83-4187-BE50-B38E08502A27}\RP18\A0005283.dll
gelöscht: trojanisches Programm Trojan.Win32.Vapsup.gwu Datei: C:\WINDOWS\efvr.exe
gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\WINDOWS\system32\rundll32.exe

Das HJT-Logfile sieht so aus, kann man nichts schlimmes erkennen, oder doch?

Wär nett wenn Ihr mal Eure Meinung dazu sagt. Andreas.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:29, on 18.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Free Download Manager\fdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Palm\HOTSYNC.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [MacroMaker] C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: TaskManager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196372245967
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F039E0A5-F4CF-4BF4-A24B-CDB078309CFE}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)
O21 - SSODL: gnowmebk - {E9BEDBC6-495E-48C7-8A9D-0F042E01A180} - (no file)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5945 bytes

cosinus · 18.06.2008, 19:10

Zitat:

gelöscht: trojanisches Programm Trojan.Win32.Monderb.gen Datei: C:\System Volume Information\_restore{A6A2D39D-3F83-4187-BE50-B38E08502A27}\RP18\A0005283.dll

Dateien in diesem Ordner gehören zur Systemwiederherstellung. Deaktiver diese, um diese Dateien zu löschen, denn ältere Wiederherstellungspunkte werden wahrscheinlich befallen sein.

Zitat:

gelöscht: trojanisches Programm Trojan.Win32.Vapsup.gwu Datei: C:\WINDOWS\efvr.exe

Ok, Datei ist gelöscht. Läßt sich nicht mehr bei Virustotal auswerten.

Zitat:

gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\WINDOWS\system32\rundll32.exe

Diese Datei ist ok. KAV ist da etwas übermotiviert und springt dann an, wenn es meint, verdächtige Aktionen zu erkennen.

Zitat:

O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp

Was ist das, brauchst Du das??

Code:

ATTFilter

O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)
O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)
O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)
O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)

Diese Einträge mit HijackThis bitte fixen. Folge danach meinem DSS Link in der Signatur und beachte die Anweisungen.

Andreas1964 · 19.06.2008, 16:38

Zitat:

Zitat von root24

Zitat:
O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp
Was ist das, brauchst Du das??

Ja, das ist okay. Ich habe eine RAM-Disk laufen und auf dieser landen:
-alle temp. Files, wegen set TEMP=Z:\TEMP, etc.
-alle IE-relevanten Files: Cookies, Verlauf, Temporary Internet Files

Zitat:

Zitat von root24

Code:

ATTFilter

O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)
O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)
O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)
O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)

Diese Einträge mit HijackThis bitte fixen. Folge danach meinem DSS Link in der Signatur und beachte die Anweisungen.

Okay, hab ich gemacht. Das mit dem DSS mache ich gleich.

Bis dahin schon mal danke, Andreas.

Andreas1964 · 19.06.2008, 16:44

Södele, da bin ich wieder, hier der Inhalt der Logfiles..., zuerst main.txt

Sieht für mich alles okay aus...

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Run by Besitzer on 2008-06-19 17:17:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
25: 2008-06-19 15:17:58 UTC - RP25 - Deckard's System Scanner Restore Point
24: 2008-06-18 16:54:28 UTC - RP24 - Software Distribution Service 3.0
23: 2008-06-15 07:25:07 UTC - RP23 - Software Distribution Service 3.0
22: 2008-06-13 20:02:37 UTC - RP22 - Norton Security Scan wird entfernt
21: 2008-06-13 17:04:47 UTC - RP21 - Systemprüfpunkt


-- First Restore Point -- 
1: 2008-05-23 07:28:45 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Besitzer.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:03, on 19.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Free Download Manager\fdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Palm\HOTSYNC.EXE
Z:\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Besitzer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [MacroMaker] C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: TaskManager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196372245967
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F039E0A5-F4CF-4BF4-A24B-CDB078309CFE}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5483 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080618-191646-802 O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)
backup-20080618-191810-294 O21 - SSODL: gnowmebk - {E9BEDBC6-495E-48C7-8A9D-0F042E01A180} - (no file)
backup-20080618-191810-430 O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)
backup-20080618-191810-650 O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)
backup-20080618-191849-370 O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ramdisk (AR Soft RAM Disk Service) - c:\windows\system32\drivers\ramdisk.sys <Not Verified; AR Soft; AR Soft RAM Disk>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

S3 Imapi Helper - "c:\programme\alex feinman\iso recorder\imapihelper.exe" <Not Verified; Alex Feinman; ISO Recorder>
S4 nhksrv (Netropa NHK Server) - c:\programme\netropa\multimedia keyboard\nhksrv.exe


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-06-19 17:15:05       322 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job
2007-12-11 22:11:42       232 --a------ C:\WINDOWS\Tasks\Prefetch-Ordner loeschen.job


-- Files created between 2008-05-19 and 2008-06-19 -----------------------------

2008-06-18 18:14:18         0 d-------- C:\Programme\Trend Micro
2008-06-13 15:18:31         0 dr-h----- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Recent
2008-06-12 18:45:16         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-11 17:57:42         0 d-------- C:\Programme\Windows Live Safety Center
2008-06-01 13:45:36     96966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-06-01 13:45:36     88774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-06-01 13:44:35     50976 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-01 13:44:35   2815264 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-01 13:44:35         0 d-------- C:\Programme\Kaspersky Lab
2008-05-25 15:50:54         0 d-------- C:\WINDOWS\Prefetch
2008-05-25 15:45:36         0 d-------- C:\Programme\Messenger
2008-05-25 15:45:24         0 d-------- C:\WINDOWS\system32\de
2008-05-25 15:45:24         0 d-------- C:\WINDOWS\system32\bits
2008-05-25 15:45:24         0 d-------- C:\WINDOWS\l2schemas
2008-05-25 15:43:38         0 d-------- C:\WINDOWS\ServicePackFiles
2008-05-25 15:37:12         0 d-------- C:\WINDOWS\EHome
2008-05-23 10:05:22      3818 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-23 09:54:16         0 d-------- C:\Virus
2008-05-22 20:28:04         0 d--hs---- C:\System Volume Information
2008-05-21 18:35:19         0 d-------- C:\Programme\Panda Security
2008-05-21 18:33:14         0 d-------- C:\WINDOWS\BDOSCAN8
2008-05-21 18:13:18      3457 --ahs---- C:\WINDOWS\system32\ddMTtBeg.ini2
2008-05-21 17:29:05       341 --a------ C:\WINDOWS\PowerReg.dat
2008-05-21 17:28:53     36864 --a------ C:\WINDOWS\system32\PalmDevC.dll <Not Verified; Palm, Inc.; HotSync® Manager>
2008-05-21 17:28:47         0 d-------- C:\Palm


-- Find3M Report ---------------------------------------------------------------

2008-06-19 17:18:46         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\Free Download Manager
2008-06-19 17:11:42   4037316 --a------ C:\video.dat
2008-06-18 19:27:04         0 d-------- C:\Programme\StarMoney 6.0 S-Edition
2008-06-18 18:22:11         0 d-------- C:\Programme\Mozilla Thunderbird
2008-06-12 18:45:16         0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-12 18:13:43         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\Adobe
2008-06-09 19:56:23         0 d-------- C:\Programme\Cheat Engine
2008-05-25 15:53:07    451846 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-25 15:53:06     81850 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-25 15:45:23         0 d-------- C:\Programme\Movie Maker
2008-05-25 10:53:45      3601 --a------ C:\defrag.bat
2008-05-23 09:55:52         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\TmpRecentIcons
2008-05-21 19:09:32         0 d-------- C:\Programme\Windows Defender
2008-05-21 19:07:33         0 d-------- C:\Programme\ProcessExplorerNt
2008-05-21 19:05:12         0 d-------- C:\Programme\Microsoft IntelliPoint
2008-05-21 19:05:10         0 d-------- C:\Programme\Microsoft ActiveSync
2008-05-21 19:04:24         0 d-------- C:\Programme\HD Tune
2008-05-21 19:03:17         0 d-------- C:\Programme\FreeWheel
2008-05-21 19:03:15         0 d-------- C:\Programme\Free Download Manager
2008-05-21 17:47:42         0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-08 17:31:49         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\Desktopicon
2008-05-04 12:05:31         0 d-------- C:\Programme\CDBurnerXP
2008-05-01 11:51:06         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\CDBurnerXP_Soft


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [12.07.2002 12:15]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [22.10.2006 13:22]
"nwiz"="nwiz.exe" [22.10.2006 13:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [22.10.2006 13:22 C:\WINDOWS\system32\nvmctray.dll]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [03.11.2006 19:20]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [04.12.2005 17:39]
"MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [28.11.2000 11:23]
"CreateTEMP"="c:\WINDOWS\system32\cmd.exe" [14.04.2008 04:22]
"HD Tune"="C:\PROGRA~1\HDTUNE~1\HDTune.exe" [22.01.2006 11:35]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [18.12.2007 00:43]
"MacroMaker"="C:\Programme\ARM Software\MacroMaker\MacroMaker.exe" [11.09.2003 09:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [15.11.2005 20:14]
"Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" [01.12.2007 02:41]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]

C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Startmen\Programme\Autostart\
HotSync Manager.lnk - C:\Palm\HOTSYNC.EXE [13.04.2004 17:03:10]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
TaskManager.lnk - C:\WINDOWS\system32\taskmgr.exe [04.08.2004 14:00:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 
C:\WINDOWS\System32\dimsntfy.dll 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\geBtTMdd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs	eaphost
dot3svc	dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e9a46d3-9f89-11dc-b955-00138f39a61b}]
AutoRun\command- G:\PortableRoboForm.exe
RoboForm2Go\command- G:\PortableRoboForm.exe




-- End of Deckard's System Scanner: finished at 2008-06-19 17:24:25 ------------

Andreas1964 · 19.06.2008, 16:47

Und hier die extra.txt

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Sempron(tm) 2600+
Percentage of Memory in Use: 45%
Physical Memory (total/avail): 1535.48 MiB / 837.8 MiB
Pagefile Memory (total/avail): 3434.53 MiB / 2894.64 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1917.33 MiB

C: is Fixed (NTFS) - 76.32 GiB total, 54.77 GiB free. 
D: is CDROM (No Media)
E: is Fixed (NTFS) - 76.69 GiB total, 36.52 GiB free. 
Z: is Fixed (FAT) - 0.25 GiB total, 0.24 GiB free. 

\\.\PHYSICALDRIVE1 - Hitachi HCS721680PLAT80 - 76.69 GiB - 1 partition
  \PARTITION0 - Installierbares Dateisystem - 76.69 GiB - E:

\\.\PHYSICALDRIVE0 - Maxtor 6Y080L0 - 76.33 GiB - 1 partition
  \PARTITION0 (bootable) - Installierbares Dateisystem - 76.32 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users.WINDOWS
APPDATA=C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=ANDREAS-373CC65
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65
LOGONSERVER=\\ANDREAS-373CC65
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=Z:\TEMP
TMP=Z:\TEMP
USERDOMAIN=ANDREAS-373CC65
USERNAME=Besitzer
USERPROFILE=C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Besitzer.ANDREAS-373CC65 (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> "C:\Programme\InstallShield Installation Information\{F37167DD-4436-4641-90B6-329D60632DDA}\Setup.exe" REMOVEALL --u:{F37167DD-4436-4641-90B6-329D60632DDA}
 --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.56 beta --> "C:\Programme\7-Zip\Uninstall.exe"
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player 11 --> C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
C-Media 3D Audio --> C:\WINDOWS\CMIUnInstall.exe
C-Media WDM Audio Driver --> C:\WINDOWS\system32\cmirmdrv.exe
CamStudio --> C:\Programme\CamStudio\uninstall.exe
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CDBurnerXP --> "C:\Programme\CDBurnerXP\unins000.exe"
Cheat Engine 5.4 --> "C:\Programme\Cheat Engine\unins000.exe"
Cuttermaran 1.69a --> MsiExec.exe /I{01CEF48F-41F2-4A43-82F2-25D23D68C1D4}
DVD Shrink 3.2 deutsch --> "C:\Programme\DVD Shrink DE\unins000.exe"
Free Download Manager 2.5 --> "C:\Programme\Free Download Manager\unins000.exe"
FreeUndelete --> C:\Programme\FreeUndelete\GLF8C.exe /handle:fru
FreeWheel --> C:\Programme\FreeWheel\Remove.exe
GUI for dvdauthor 0.99 --> C:\Programme\GUI for dvdauthor\uninst.exe
HD Tune 2.52 --> "C:\Programme\HD Tune\unins000.exe"
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hurrican 1.0.0.4 --> "C:\Programme\Hurrican\unins000.exe"
ISO Recorder --> MsiExec.exe /I{DFC6573E-124D-4026-BFA4-B433C9D3FF21}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Kaspersky Anti-Virus 7.0 --> MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}
Kaspersky Anti-Virus 7.0 --> MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}
MacroMaker --> MsiExec.exe /I{49E9E81A-9CA8-4A76-8AD6-BE7E3B2E1E2A}
Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E}
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.14) --> C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\SetupX.exe /uninstall ExtraUninstallID=""
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Palm Desktop --> MsiExec.exe /X{E89D78B8-28F7-412F-8B26-C684739CBBDC}
PowerDVD --> "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -l0x000407 /z-uninstall
Powertoys For Windows XP --> MsiExec.exe /I{6C31E111-96BB-4ADC-9C81-E6D3EEDDD8D3}
QuickTime --> MsiExec.exe /I{5B09BD67-4C99-46A1-8161-B7208CE18121}
Real Alternative 1.51 --> "C:\Programme\Real Alternative\unins000.exe"
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
SiS 900 PCI Fast Ethernet Adapter Driver --> C:\Progra~1\SiSLan\Uninst.exe
StarMoney 6.0 S-Edition --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4CA40FFF-D47C-4F21-8847-2D6C49988F45}\setup.exe" -l0x7  -removeonly
SUPER © Version 2007.bld.23 (July 4, 2007) --> C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
Touch Manager --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{06821665-531E-11D4-97B0-00508B9D1BA2}\setup.exe" 
TreeSize Free V1.77 --> "C:\Programme\JAM Software\TreeSize\unins000.exe"
UltraVNC 1.0.4 RC8 --> "C:\Programme\UltraVnc\unins000.exe"
Unlocker 1.8.7 --> C:\Programme\Unlocker\uninst.exe
Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Defender --> MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 --> 


-- Application Event Log -------------------------------------------------------

Event Record #/Type1215 / Warning
Event Submitted/Written: 06/18/2008 07:44:02 PM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.

Event Record #/Type1212 / Warning
Event Submitted/Written: 06/17/2008 09:13:58 PM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.

Event Record #/Type1209 / Warning
Event Submitted/Written: 06/15/2008 01:39:19 PM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.

Event Record #/Type1206 / Warning
Event Submitted/Written: 06/15/2008 00:09:33 PM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.

Event Record #/Type1203 / Warning
Event Submitted/Written: 06/15/2008 09:18:02 AM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type8447 / Warning
Event Submitted/Written: 06/19/2008 05:19:19 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.

For more information please see the following:
%ANDREAS-373CC65275

	Scan ID: {43003B10-4689-4D08-B2F8-0E9D0F9A535A}

	User: ANDREAS-373CC65\Besitzer

	Name: %ANDREAS-373CC65271

	ID: %ANDREAS-373CC65272

	Severity: 1.1.1593.05

	Category: 1.1.1593.06

	Path Found: %ANDREAS-373CC65276

	Alert Type: %ANDREAS-373CC65278

	Detection Type: 1.1.1593.02

Event Record #/Type8446 / Warning
Event Submitted/Written: 06/19/2008 05:19:19 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.

For more information please see the following:
%ANDREAS-373CC65275

	Scan ID: {392159AA-A5E5-4928-B3AD-B341ABED3DBA}

	User: ANDREAS-373CC65\Besitzer

	Name: %ANDREAS-373CC65271

	ID: %ANDREAS-373CC65272

	Severity: 1.1.1593.05

	Category: 1.1.1593.06

	Path Found: %ANDREAS-373CC65276

	Alert Type: %ANDREAS-373CC65278

	Detection Type: 1.1.1593.02

Event Record #/Type8445 / Warning
Event Submitted/Written: 06/19/2008 05:19:19 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.

For more information please see the following:
%ANDREAS-373CC65275

	Scan ID: {BB35F85E-450F-4DC9-AAD1-1076312DB96F}

	User: ANDREAS-373CC65\Besitzer

	Name: %ANDREAS-373CC65271

	ID: %ANDREAS-373CC65272

	Severity: 1.1.1593.05

	Category: 1.1.1593.06

	Path Found: %ANDREAS-373CC65276

	Alert Type: %ANDREAS-373CC65278

	Detection Type: 1.1.1593.02

Event Record #/Type8444 / Warning
Event Submitted/Written: 06/19/2008 05:19:16 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.

For more information please see the following:
%ANDREAS-373CC65275

	Scan ID: {01352861-AAB0-4C93-AC57-38C6AF2A9278}

	User: ANDREAS-373CC65\Besitzer

	Name: %ANDREAS-373CC65271

	ID: %ANDREAS-373CC65272

	Severity: 1.1.1593.05

	Category: 1.1.1593.06

	Path Found: %ANDREAS-373CC65276

	Alert Type: %ANDREAS-373CC65278

	Detection Type: 1.1.1593.02

Event Record #/Type8443 / Warning
Event Submitted/Written: 06/19/2008 05:19:16 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.

For more information please see the following:
%ANDREAS-373CC65275

	Scan ID: {4C4AABF9-B841-4539-A1E2-3FB59637FDEE}

	User: ANDREAS-373CC65\Besitzer

	Name: %ANDREAS-373CC65271

	ID: %ANDREAS-373CC65272

	Severity: 1.1.1593.05

	Category: 1.1.1593.06

	Path Found: %ANDREAS-373CC65276

	Alert Type: %ANDREAS-373CC65278

	Detection Type: 1.1.1593.02



-- End of Deckard's System Scanner: finished at 2008-06-19 17:24:25 ------------

cosinus · 20.06.2008, 15:23

Kleinere Sachen, ob die überhaupt noch problematisch sind ist ne andere Frage:

Code:

ATTFilter

[HKLM\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\geBtTMdd

Starte mal regedit.exe und navigiere zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - öffne dort rechts die Zeichenfolge Authentication Packages, in der sollte eigentlich nur msv1_0 stehen.

Code:

ATTFilter

C:\WINDOWS\system32\ddMTtBeg.ini2

Sieht nach einem Überrest von Vundo oder so aus. Falls diese Datei noch da ist, bei virustotal.com auswerten lassen bitte.

Andreas1964 · 21.06.2008, 09:21

Zitat:

Zitat von root24

Starte mal regedit.exe und navigiere zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - öffne dort rechts die Zeichenfolge Authentication Packages, in der sollte eigentlich nur msv1_0 stehen.

Nein, da steht auch C:\WINDOWS\system32\geBtTMdd drin, es gibt aber kein entsprechendes File auf meinem Rechner, ich entferne den Eintrag.

Zitat:

Zitat von root24

Code:

ATTFilter

C:\WINDOWS\system32\ddMTtBeg.ini2

Sieht nach einem Überrest von Vundo oder so aus. Falls diese Datei noch da ist, bei virustotal.com auswerten lassen bitte.

[/quote]
Hab ich gemacht, keiner der Scanner konnte etwas finden. Ich stelle das File mal unter Quarantäne. Möchtest Du das File zur Analyse haben?

cosinus · 22.06.2008, 13:38

Zitat:

Zitat von Andreas1964

Hab ich gemacht, keiner der Scanner konnte etwas finden. Ich stelle das File mal unter Quarantäne. Möchtest Du das File zur Analyse haben?

Das wär vllt mal nicht schlecht. Zippe das File (am besten mit nem Passwort) und lad es hoch bei file-upload.net oder schicks mir an root240(at)arcor.de

Ich hätte gern eine 2te Meinung

Log-Analyse und Auswertung: Ich hätte gern eine 2te Meinung