Funktioniert so gut wie gar nichts mehr!

Ferdib · 10.08.2008, 13:17

Hi,
hatte bzw. habe folgende Probleme: Popups popen auf (Iexplorer) obwohl ich gar nichts mit Iexplorer mache. Viele, seltsame Programme laufen im Hintergrund, darunter auch bis vor kurzem iexplore.exe, der ziemlich viel Speicherplatz beanspruchte. Beim spielen von *** werde ich immer rausgekickt und die Internetverbindung wird von alleine getrennt.

Habe nun Virenscan gemacht: ca. 3000 Trojanische Pferde und Sachen wie z.B. Tea timer wurden gefunden.
Habe desweiteren Spybot (S & D) drüber laufen lassen. Hat auch einiges gefunden.

Jedoch funktioniert jetzt so gut wie überhaupt nichts mehr. Rechner ist total langsam und habe immernoch das Problem beim spielen.

Ich hoffe mir kann einer helfen, habe nämlich nicht wirklich Lust alles neu drauf zu spielen:-)

---------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:53, on 10.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\2V0eLuFg.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-de\msntabres.dll/229?5d5eddf9ff074c718bb939635b22ba35
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0000.1105\de-de\msntabres.dll/230?5d5eddf9ff074c718bb939635b22ba35
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {EB774E22-06A3-46D9-B616-8BBD9FBD467F} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A37B2523-A3F8-49F7-B7F5-122611B412E6}: NameServer = 62.109.123.7 213.191.92.86
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9416 bytes

cosinus · 11.08.2008, 11:45

Hallo und

Acker das hier für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern noch vorhanden) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\2V0eLuFg.dll

2.) DSS
3.) Backlight ausführen, Logfile posten
4.) Malwarebytes Antimalware
5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Bitte nach der Bereinigung auf SP3 und IE7 aktualisieren!

Ferdib · 11.08.2008, 17:53

Vielen Dank für die Antwort!
Dieses Thema hat mein Freund eröffnet, ich wusste das nicht und hab kurz danach (mit seinem Benutzernamen) im Forum "Plagegeister..." das Thema "Unbekanne Programme,Trojaner+Popups:bitte helft mir" erstellt, dort sind auch schon die Ergebnisse von Virustotal zu anderen Dateien und Malwarebytes.

Das doppelte Posting tut mir leid, haben uns verpasst. Falls das hier nicht geschlossen wird, ist hier das Virustotal Ergebnis

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.12.0	2008.08.11	-
AntiVir	7.8.1.19	2008.08.11	TR/Dldr.BHO.PE
Authentium	5.1.0.4	2008.08.11	-
Avast	4.8.1195.0	2008.08.11	Win32:Trojan-gen {Other}
AVG	8.0.0.156	2008.08.11	BHO.FCU
BitDefender	7.2	2008.08.11	-
CAT-QuickHeal	9.50	2008.08.11	TrojanDownloader.BHO.pe
ClamAV	0.93.1	2008.08.11	-
DrWeb	4.44.0.09170	2008.08.11	-
eSafe	7.0.17.0	2008.08.11	Win32.BHO.pe
eTrust-Vet	31.6.6021	2008.08.08	-
Ewido	4.0	2008.08.11	-
F-Prot	4.4.4.56	2008.08.11	-
F-Secure	7.60.13501.0	2008.08.11	Trojan-Downloader.Win32.BHO.pe
Fortinet	3.14.0.0	2008.08.11	PossibleThreat
GData	2.0.7306.1023	2008.08.11	Trojan-Downloader.Win32.BHO.pe
Ikarus	T3.1.1.34.0	2008.08.11	Trojan-Downloader.Win32.BHO.pe
K7AntiVirus	7.10.411	2008.08.11	Trojan-Downloader.Win32.BHO.pe
Kaspersky	7.0.0.125	2008.08.11	Trojan-Downloader.Win32.BHO.pe
McAfee	5357	2008.08.08	-
Microsoft	1.3807	2008.08.11	-
NOD32v2	3346	2008.08.11	probably a variant of Win32/TrojanClicker.Agent.NEB
Norman	5.80.02	2008.08.11	-
Panda	9.0.0.4	2008.08.11	-
PCTools	4.4.2.0	2008.08.11	-
Prevx1	V2	2008.08.11	-
Rising	20.57.02.00	2008.08.11	Trojan.Win32.BHO.fdj
Sophos	4.32.0	2008.08.11	Mal/Generic-A
Sunbelt	3.1.1538.1	2008.08.09	Trojan-Downloader.Win32.BHO.pe
Symantec	10	2008.08.11	Trojan Horse
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.11	-
VBA32	3.12.8.3	2008.08.11	Trojan-Downloader.Win32.BHO.pe
ViRobot	2008.8.11.1331	2008.08.11	Trojan.Win32.Downloader.29184.GD
VirusBuster	4.5.11.0	2008.08.11	-
Webwasher-Gateway	6.6.2	2008.08.11	Trojan.Dldr.BHO.PE
weitere Informationen
File size: 29184 bytes
MD5...: c5cc10c0052b609246f2c9d502f093a4
SHA1..: 7d010fee23fd37f58e606e7694f9428958474a9a
SHA256: a20f1fe7eff1a5df07a776cdf9dfdda5b76b4bee9d069fad4a52a91028118446
SHA512: 003e7451f0eb3839b5c2b87c40df3d2311fc2cdef6f43db7be451b3a1de358e9
b8f0ed67bf6ecf434b28e38dcb55aa7ca4218788466fabe4d660ce631d3dcf92
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10013480
timedatestamp.....: 0x48914529 (Thu Jul 31 04:52:57 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe000 0x6000 0x5800 7.84 188fb863883048f757e4b6aa2282f2f9
.rsrc 0x14000 0x2000 0x1600 4.85 39f3416fc34a25a21210c08c9c85d902

( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ADVAPI32.dll: RegCloseKey
> ATL80.DLL: -
> MSVCP80.dll: __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ
> MSVCR80.dll: free
> ole32.dll: CoCreateInstance
> OLEAUT32.dll: -
> SHLWAPI.dll: StrStrA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
packers (F-Prot): UPX

Backlight hab ich schon drüber laufen lassen, brachte kein Ergebnis.

Die DSS Logfiles poste ich dann, ihr werdet wohl einen Beitrag schließen, bitte nochmals um Entschuldigung, das Ergebnis dann in dem, der überlebt.

cosinus · 11.08.2008, 22:21

Zitat:

Zitat von Ferdib

Die DSS Logfiles poste ich dann, ihr werdet wohl einen Beitrag schließen, bitte nochmals um Entschuldigung, das Ergebnis dann in dem, der überlebt.

Versteh ich nicht ganz...

Poste einfach was hier in diesem Fred initiiert wurde auch hierrein...ganz einfach.

Ferdib · 11.08.2008, 23:33

Ok, ich dachte nur zwei Beiträge zu einem Problem seht ihr vielleicht nicht gerne.

DSS:

Code:

ATTFilter

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel(R) Celeron(R) M processor         1.40GHz
Percentage of Memory in Use: 74%
Physical Memory (total/avail): 446.17 MiB / 115.11 MiB
Pagefile Memory (total/avail): 1054.11 MiB / 535.28 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1937.52 MiB

C: is Fixed (NTFS) - 74.53 GiB total, 15.34 GiB free. 
D: is CDROM (UDF)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - TOSHIBA MK8026GAX - 74.53 GiB - 1 partition
  \PARTITION0 (bootable) - Installierbares Dateisystem - 74.53 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.
FirewallDisableNotify is set.
UpdatesDisableNotify is set.

FW: Norton Internet Security v2005 (Symantec Corporation) Disabled
AV: Norton Internet Security v2005 (Symantec Corporation)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\QIP\\qip.exe"="C:\\Programme\\QIP\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Disabled:Internet Explorer"
"C:\\Programme\\Alice\\Signup\\AliceCnn.exe"="C:\\Programme\\Alice\\Signup\\AliceCnn.exe:*:Enabled:Alice Einwahlassistent"
"C:\\Programme\\World of Warcraft\\Launcher.exe"="C:\\Programme\\World of Warcraft\\Launcher.exe:*:Enabled:World of Warcraft"
"C:\\Programme\\Adobe\\Photoshop 7.0\\ImageReady.exe"="C:\\Programme\\Adobe\\Photoshop 7.0\\ImageReady.exe:*:Enabled:Adobe ImageReady 7.0"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Lena\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_02\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=CASIMIR
ComSpec=C:\WINDOWS\system32\cmd.exe
DBCONFIG=C:\Adabas\sql
DBROOT=C:\Adabas
DBWORK=C:\Adabas\sql
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Lena
LOGONSERVER=\\CASIMIR
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem\;C:\Adabas\bin;C:\Adabas\pgm
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0d08
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_02\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Lena\LOKALE~1\Temp
TMP=C:\DOKUME~1\Lena\LOKALE~1\Temp
USERDOMAIN=CASIMIR
USERNAME=Lena
USERPROFILE=C:\Dokumente und Einstellungen\Lena
windir=C:\WINDOWS
__COMPAT_LAYER=EnableNXShowUI 


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
 --> C:\WINDOWS\system32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
 --> C:\WINDOWS\system32\\MSIEXEC.EXE /x {9541FED0-327F-4df0-8B96-EF57EF622F19}
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
AC97 Data Fax SoftModem with SmartCP --> C:\Programme\CONEXANT\CNXT_MODEM_PCI_VEN_1002&DEV_4378&SUBSYS_FF311179\HXFSETUP.EXE -U -ItosEW6mk.INF
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 7.0 --> C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 7.1.0 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A71000000002}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Alice-Installationsdateien entfernen --> C:\Programme\Gemeinsame Dateien\Alice\uninst.exe
Atheros Client Utility --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{71D658CF-4E0D-4DA8-AA67-8C0B6F1C01FE}\setup.exe" -l0x7 
Atheros Wireless LAN MiniPCI card Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{05832D65-6EDB-4D32-BA78-BCD0E2B91C02}\Setup.exe" -l0x7 
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Systemsteuerung --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
Canon MP160 --> "C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP160\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP160 /L0x0007
Canon MP160 Benutzerregistrierung --> C:\Programme\Canon\IJEREG\MP160\UNINST.EXE
CC_ccProxyExt --> MsiExec.exe /I{DA42FDCA-7C5A-43EF-9A05-CCE148ADF919}
ccCommon --> MsiExec.exe /I{D8F6834B-D5E7-4451-8681-B051ABD8561D}
ccPxyCore --> MsiExec.exe /I{FC08587A-4F01-4188-819F-F55880022917}
CD/DVD Drive Acoustic Silencer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\Setup.exe" -l0x7 
Conexant AC-Link Audio --> C:\Programme\CONEXANT\CNXT_AUDIO\HXFSETUP.EXE -U -ItosEW6a.INF
DAEMON Tools --> MsiExec.exe /I{5E479D3B-4A87-42B9-A91E-2EB2284A54D4}
DivX --> C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader --> C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD-RAM-Treiber --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}\setup.exe" -l0x7 DVD-RAM Driver
DVD Shrink 3.1.6 --> "C:\Programme\DVD Shrink\unins000.exe"
Gothic --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BBF10B37-4ED3-11D5-A818-00500435FC18}\setup.exe" 
Guitar Pro 4.0 --> C:\PROGRA~1\GUITAR~2\UNWISE.EXE C:\PROGRA~1\GUITAR~2\INSTALL.LOG
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
InterVideo WinDVD Creator 2 --> "C:\Programme\InstallShield Installation Information\{2FCE4FC5-6930-40E7-A4F1-F862207424EF}\setup.exe" REMOVEALL
InterVideo WinDVD for TOSHIBA --> "C:\Programme\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL
J2SE Runtime Environment 5.0 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150020}
Lara Croft Tomb Raider: The Angel Of Darkness --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{93656878-FF8B-4935-99BB-F3F260037C57} 
LiveReg (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VCSetup.exe /REMOVE
LiveUpdate 3.0 (Symantec Corporation) --> "C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U
Macromedia Flash Player --> MsiExec.exe /X{0456ebd7-5f67-4ab6-852e-63781e3f389c}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office OneNote 2003 --> MsiExec.exe /I{91A10407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Word 2000 --> MsiExec.exe /I{00170407-78E1-11D2-B60F-006097C998E7}
MobMap 2.00 --> "C:\Programme\MobMapUpdater\unins000.exe"
Mozilla Firefox (2.0.0.16) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN --> C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSN Suche Toolbar --> MsiExec.exe /X{D72D2611-E066-4AA6-8E91-31AFF283A8A6}
MSRedist --> MsiExec.exe /I{B7C61755-DB48-4003-948F-3D34DB8EAF69}
Nero 6 Ultra Edition --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nero 6.x Audio + Video Plugins --> C:\WINDOWS\iun6002.exe "C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\irunin.ini"
Norton AntiSpam --> MsiExec.exe /I{3B29A786-5803-4e9e-9B58-3014A5B4E519}
Norton AntiSpam --> MsiExec.exe /I{5677563D-0CB1-485f-9E18-C5025306BB3F}
Norton AntiVirus 2005 --> MsiExec.exe /X{C6F5B6CF-609C-428E-876F-CA83176C021B}
Norton Internet Security --> MsiExec.exe /I{12E2B9E9-05B1-407d-B0FD-B5F350535125}
Norton Internet Security --> MsiExec.exe /I{449F3A9E-9903-4a0d-A209-08030D45A935}
Norton Internet Security --> MsiExec.exe /I{48185814-A224-447a-81DA-71BD20580E1B}
Norton Internet Security --> MsiExec.exe /I{526AD5DC-CFC4-4f2a-8442-C84CC91D6C7F}
Norton Internet Security --> MsiExec.exe /I{A93C9E60-29B6-49da-BA21-F70AC6AADE20}
Norton Internet Security --> MsiExec.exe /I{C9D599E1-6B68-4a1f-8A4F-A1DB433DB1BF}
Norton Internet Security --> MsiExec.exe /I{E3EFA461-EB83-4C3B-9C47-2C1D58A01555}
Norton Internet Security --> MsiExec.exe /I{E5EE9939-259F-4DE2-8023-5C49E16A4F43}
Norton Internet Security --> MsiExec.exe /I{FC2C0536-583C-46c0-844A-62CECAE01F22}
Norton Internet Security 2005 (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{A93C9E60-29B6-49da-BA21-F70AC6AADE20}.exe /X
Norton Security Center --> MsiExec.exe /X{503AA035-41E2-4858-B31F-1E49AC66C309}
Norton WMI Update --> MsiExec.exe /X{E85FA9A1-C241-4698-893B-DD99509B8DB0}
Norton WMI Update --> MsiExec.exe /X{F64306A5-4C32-41bb-B153-53986527FAB4}
PartyPokerNet --> "C:\Programme\PartyGaming.Net\PartyPokerNet\Uninstall.exe" "C:\Programme\PartyGaming.Net\PartyPokerNet\install.log"
Pharao --> C:\WINDOWS\IsUn0407.exe -fC:\SIERRA\Pharao\Uninst.isu
Postal 2 --> C:\WINDOWS\unvise32.exe C:\Programme\Postal2\uninstal.log
Probeversion von World of Warcraft --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\World of Warcraft Trial\Uninstall.exe
QIP 8050 Jeak Edition --> C:\Programme\QIP\uninstall.exe
QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK Gigabit and Fast Ethernet NIC Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\Setup.exe" -l0x7 REMOVE
Sicherheitsupdate für Step by Step Interactive Training (KB923723) --> "C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066) --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929969) --> "C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933566) --> "C:\WINDOWS\$NtUninstallKB933566$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937143) --> "C:\WINDOWS\$NtUninstallKB937143$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127) --> "C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB939653) --> "C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB942615) --> "C:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338) --> "C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944533) --> "C:\WINDOWS\$NtUninstallKB944533$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB947864) --> "C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759) --> "C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sonic DLA --> MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
Sonic RecordNow! --> MsiExec.exe /I{9541FED0-327F-4DF0-8B96-EF57EF622F19}
SPBBC --> MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
StarOffice 7 --> C:\Programme\StarOffice7\program\setup.exe -deinstall
Symantec Script Blocking Installer --> MsiExec.exe /I{D327AFC9-7BAA-473A-8319-6EB7A0D40138}
SymNet --> MsiExec.exe /I{2DA85B02-13C0-4E6D-9A76-22E6B3DD0CB2}
Synaptics Pointing Device Driver --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TOSHIBA Assist --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\Setup.exe" -l0x7 
TOSHIBA Benutzerhandbücher --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EB6332B-AF02-457C-A31C-835458C5B48B}\setup.exe" -l0x7  -removeonly
TOSHIBA ConfigFree --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\setup.exe" -l0x7 UNINSTALL

Ferdib · 11.08.2008, 23:39

Teil 2

Code:

ATTFilter

TOSHIBA PC-Diagnose-Tool --> C:\WINDOWS\IsUn0407.exe -fC:\Programme\TOSHIBA\PCDiag\Uninst.isu
Toshiba Touchpad Utility --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{F77890F3-774A-4CBE-A2E3-7BB0DC71D1FA} /l1031 
Toshiba Utility --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{099D12EC-0321-4CAC-A0CC-33D020156FCD} /l1031 
TOSHIBA Zoom-Dienstprogramm --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{64212898-097F-4F3F-AECA-6D34A7EF82DF}\setup.exe" 
Touch and Launch --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5D96E2B1-D9AC-46E0-9073-425C5F63E338}\Setup.exe" -l0x7 
TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB936357) --> "C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB942840) --> "C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe"
Update für Windows XP (KB946627) --> "C:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe"
VeohTV BETA --> C:\Programme\InstallShield Installation Information\{D1B11537-EA51-4DD8-BF1E-098BEE48868D}\setup.exe -runfromtemp -l0x0409
VideoLAN VLC media player 0.8.6d --> C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888239 --> C:\WINDOWS\$NtUninstallKB888239$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB889673 --> C:\WINDOWS\$NtUninstallKB889673$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890923 --> "C:\WINDOWS\$NtUninstallKB890923$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893056 --> C:\WINDOWS\$NtUninstallKB893056$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB895200 --> "C:\WINDOWS\$NtUninstallKB895200$\spuninst\spuninst.exe"
WinRAR --> C:\Programme\WinRAR\uninstall.exe
World of Warcraft --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type8599 / Error
Event Submitted/Written: 08/05/2008 05:33:25 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung spybotsd.exe, Version 1.6.0.30, fehlgeschlagenes Modul kernel32.dll, Version 5.1.2600.3119, Fehleradresse 0x00012a5b.
Das medienspezifische Ereignis für [spybotsd.exe!ws!] wird verarbeitet.

Event Record #/Type8569 / Warning
Event Submitted/Written: 08/04/2008 06:41:52 PM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.

Event Record #/Type8567 / Error
Event Submitted/Written: 08/04/2008 05:50:33 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.3156, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x000024a7.
Das medienspezifische Ereignis für [explorer.exe!ws!] wird verarbeitet.

Event Record #/Type8495 / Error
Event Submitted/Written: 08/03/2008 03:20:17 AM
Event ID/Source: 0 / Spybot - Search & Destroy
Event Description:
Version: 1.6.0 
Build: 20080707
Exception: Access violation at address 0051FB47 in module 'SpybotSD.exe'. Read of address 00000039

Event Record #/Type8482 / Warning
Event Submitted/Written: 08/03/2008 02:54:39 AM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type22284 / Warning
Event Submitted/Written: 08/11/2008 05:42:48 PM
Event ID/Source: 1007 / Dhcp
Event Description:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 00C09FBF30B7
wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.107.91.

Event Record #/Type22275 / Error
Event Submitted/Written: 08/10/2008 11:14:26 PM
Event ID/Source: 7 / Disk
Event Description:
Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Event Record #/Type22274 / Error
Event Submitted/Written: 08/10/2008 11:14:07 PM
Event ID/Source: 7 / Disk
Event Description:
Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Event Record #/Type22273 / Error
Event Submitted/Written: 08/10/2008 11:14:00 PM
Event ID/Source: 7 / Disk
Event Description:
Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Event Record #/Type22272 / Error
Event Submitted/Written: 08/10/2008 11:13:53 PM
Event ID/Source: 9 / atapi
Event Description:
Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht geantwortet.



-- End of Deckard's System Scanner: finished at 2008-08-11 19:00:45 ------------

Ferdib · 11.08.2008, 23:45

Backlight:

Code:

ATTFilter

08/11/08 18:34:25 [Info]: BlackLight Engine 1.0.70 initialized
08/11/08 18:34:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/11/08 18:34:25 [Note]: 7019 4
08/11/08 18:34:25 [Note]: 7005 0
08/11/08 18:34:34 [Note]: 7006 0
08/11/08 18:34:34 [Note]: 7011 1724
08/11/08 18:34:34 [Note]: 7035 0
08/11/08 18:34:34 [Note]: 7026 0
08/11/08 18:34:34 [Note]: 7026 0
08/11/08 18:34:43 [Note]: FSRAW library version 1.7.1024
08/11/08 18:37:33 [Note]: 7006 0
08/11/08 18:37:33 [Note]: 7011 1724
08/11/08 18:37:33 [Note]: 7035 0
08/11/08 18:37:33 [Note]: 7026 0
08/11/08 18:37:33 [Note]: 7026 0
08/11/08 18:37:36 [Note]: FSRAW library version 1.7.1024
08/11/08 18:44:05 [Note]: 7007 0

Malwarebytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1038
Windows 5.1.2600 Service Pack 2

23:40:54 10.08.2008
mbam-log-8-10-2008 (23-40-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 108287
Laufzeit: 37 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\2V0eLuFg.dll (Trojan.BHO) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{ee1efd57-edcf-455c-a203-3e8ee78c91c9} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{290b44a3-18b7-45fb-b986-d33290b3bed3} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c46cbf42-7152-472a-bbf8-e94ff7d933e2} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{650ca63d-4a01-4bf8-a608-9b1ebb36292e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{650ca63d-4a01-4bf8-a608-9b1ebb36292e} (Trojan.BHO) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\2V0eLuFg.dll (Trojan.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\skgGlE22.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\Lij7D30B.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\TtshR000.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\YKyP5MaE.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\6vQw3wSj.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\am4uVoM3.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\cNh81332.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\5cvnfooJ.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\e322uJw5.exe (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\GpF2867g.exe (Spyware.OnlineGames) -> No action taken.
C:\System Volume Information\_restore{91A7D9DB-D44B-4206-9F00-69E2CFBF4ACF}\RP146\A0033836.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{91A7D9DB-D44B-4206-9F00-69E2CFBF4ACF}\RP147\A0041545.exe (Trojan.Clicker) -> No action taken.
C:\System Volume Information\_restore{91A7D9DB-D44B-4206-9F00-69E2CFBF4ACF}\RP147\A0041575.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\system32\6jk0l0MP.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\BvP2l7f4.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\t1rdd05c.exe.a_a (Trojan.Agent) -> No action taken.

Combofix mache ich morgen, ist schon recht spät. Ich schau aber vorher nochmal hier rein, falls du mir aus irgendwelchen Gründen davon abrätst. (Habe gehört manchmal wirds danach nur schlimmer? Naja obwohl, viel schlimmer wirds wohl kaum...

)

Vielen, vielen dank für deine Geduld mit mir!

cosinus · 12.08.2008, 20:14

Führ Combofix unbedingt aus, so wie ich gepostet habe.

Ferdib · 13.08.2008, 12:12

Habe Combofix durchgeführt, danach war der Bildschirm schwarz. Habe etwa eine Stunde gewartet, dann neugestartet. Über Tastaturkürzel ging gar nichts, hoffe es gab keinen Fehler/ hoffe ich habe keinen gemacht. Hier das Logfile:

Code:

ATTFilter

 ComboFix 08-08-12.01 - 2008-08-13 12:38:19.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.101 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Lena\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Gahja\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\2V0eLuFg.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-13 bis 2008-08-13  ))))))))))))))))))))))))))))))
.

2008-08-13 12:18 . 2008-08-13 12:18	<DIR>	d--------	C:\Programme\CCleaner
2008-08-11 18:57 . 2008-08-11 18:57	<DIR>	d--------	C:\Deckard
2008-08-10 22:57 . 2008-08-10 22:57	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-10 22:57 . 2008-08-10 22:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Lena\Anwendungsdaten\Malwarebytes
2008-08-10 22:57 . 2008-08-10 22:57	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-10 22:57 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-10 22:57 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-08 21:14 . 2008-08-08 21:14	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja\Anwendungsdaten\TuneUp Software
2008-08-08 20:50 . 2005-08-04 15:30	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gahja\Vorlagen
2008-08-08 20:50 . 2005-08-04 16:25	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gahja\Startmenü
2008-08-08 20:50 . 2005-10-13 19:06	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja\Netzwerkumgebung
2008-08-08 20:50 . 2008-08-13 12:40	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gahja\Lokale Einstellungen
2008-08-08 20:50 . 2008-08-08 20:51	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gahja\Favoriten
2008-08-08 20:50 . 2008-08-08 21:17	<DIR>	dr-------	C:\Dokumente und Einstellungen\Gahja\Eigene Dateien
2008-08-08 20:50 . 2005-08-04 16:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Gahja\Druckumgebung
2008-08-08 20:50 . 2005-08-05 07:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja\Anwendungsdaten\toshiba
2008-08-08 20:50 . 2005-08-05 07:45	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja\Anwendungsdaten\Symantec
2008-08-08 20:50 . 2005-08-05 07:36	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja\Anwendungsdaten\Sonic
2008-08-08 20:50 . 2005-08-05 07:53	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja\Anwendungsdaten\MSN Search Toolbar
2008-08-08 20:50 . 2008-08-08 21:19	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Gahja\Anwendungsdaten
2008-08-08 20:50 . 2008-08-08 20:50	<DIR>	d--------	C:\Dokumente und Einstellungen\Gahja
2008-08-05 23:41 . 2008-07-15 12:17	0	--a------	C:\WINDOWS\system32\t1rdd05c.exe.a_a
2008-08-05 23:41 . 2008-07-18 19:10	0	--a------	C:\WINDOWS\system32\BvP2l7f4.exe.a_a
2008-08-05 23:41 . 2008-07-20 16:34	0	--a------	C:\WINDOWS\system32\6jk0l0MP.exe.a_a
2008-08-03 03:04 . 2008-08-03 03:04	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-02 23:59 . 2008-08-02 23:59	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-02 23:59 . 2008-08-13 12:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-01 21:45 . 2008-08-01 21:45	<DIR>	d--------	C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\AdobeUM
2008-07-30 17:03 . 2008-07-30 17:03	<DIR>	d--------	C:\Programme\SymNetDrv
2008-07-20 16:34 . 2008-07-20 16:33	29,760	--a------	C:\WINDOWS\system32\6jk0l0MP.exe
2008-07-16 17:00 . 2008-07-16 17:00	<DIR>	dr-------	C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-15 12:16 . 2008-07-15 12:16	29,760	--a------	C:\WINDOWS\system32\t1rdd05c.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-13 10:35	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-03 13:50	---------	d-----w	C:\Programme\Norton Internet Security
2008-08-01 22:06	---------	d-----w	C:\Dokumente und Einstellungen\Lena\Anwendungsdaten\dvdcss
2008-07-31 15:20	---------	d-----w	C:\Dokumente und Einstellungen\Lena\Anwendungsdaten\Symantec
2008-07-30 15:03	---------	d-----w	C:\Programme\Symantec
2008-07-16 17:33	---------	d-----w	C:\Programme\World of Warcraft
2008-07-10 15:06	---------	d-----w	C:\Dokumente und Einstellungen\Lena\Anwendungsdaten\AdobeUM
2008-07-06 09:58	---------	d-----w	C:\Programme\PartyGaming.Net
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-05-20 10:24	306,432	----a-w	C:\WINDOWS\system32\TuneUpDefragService.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05 65536]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 23:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 23:43 688218]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 10:56 1077327]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-12 18:46 49488]
"URLLSTCK.exe"="C:\Programme\Norton Internet Security\UrlLstCk.exe" [2005-05-06 04:27 22656]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2008-07-30 17:03 100056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2005-10-13 19:30:02 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe"  -lang 1033
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"Toshiba Hotkey Utility"="C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe
"NDSTray.exe"=NDSTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Alice\\Signup\\AliceCnn.exe"=
"C:\\Programme\\World of Warcraft\\Launcher.exe"=
"C:\\Programme\\Adobe\\Photoshop 7.0\\ImageReady.exe"=

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-08-03 17:34]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-08-07 12:49]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 BoiHwsetup;Access 32bits INT15 routine;C:\WINDOWS\system32\drivers\BoiHwSetup.sys [2005-06-11 06:42]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2005-04-01 02:08]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2005-05-09 15:17]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 14:27]
R3 st3bus28;st3bus28;C:\WINDOWS\system32\DRIVERS\st3bus28.sys [2002-12-28 12:16]
R3 st3mp28;st3mp28;C:\WINDOWS\system32\DRIVERS\st3mp28.sys [2002-12-28 12:16]
S3 jatmlano;jatmlano;C:\DOKUME~1\Lena\LOKALE~1\Temp\jatmlano.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 23:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 23:46]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-20 12:24]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 12:19]

2008-08-08 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - Lena.job
- C:\PROGRA~1\NORTON~1\NORTON~1\NAVW32.EXE [2005-11-08 17:36]

2005-10-13 C:\WINDOWS\Tasks\Registrierungserinnerung 1.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2004-08-04 14:00]

2005-10-13 C:\WINDOWS\Tasks\Registrierungserinnerung 3.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2004-08-04 14:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{650CA63D-4A01-4BF8-A608-9B1EBB36292E} - C:\WINDOWS\system32\2V0eLuFg.dll


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Lena\Anwendungsdaten\Mozilla\Firefox\Profiles\z0loaj9d.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 12:41:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-13 12:42:47
ComboFix-quarantined-files.txt  2008-08-13 10:42:45

Pre-Run: 16 Verzeichnis(se), 16,386,412,544 Bytes frei
Post-Run: 19 Verzeichnis(se), 16,557,252,608 Bytes frei

172	--- E O F ---	2008-08-03 13:24:26

cosinus · 13.08.2008, 12:27

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\2V0eLuFg.dll
C:\WINDOWS\system32\t1rdd05c.exe.a_a
C:\WINDOWS\system32\BvP2l7f4.exe.a_a
C:\WINDOWS\system32\6jk0l0MP.exe.a_a
C:\WINDOWS\system32\6jk0l0MP.exe
C:\WINDOWS\system32\t1rdd05c.exe

Wieso hat Malwarebytes die Funde nicht gleich beseitigt? Du solltest alles Gefundene löschen lassen, steht auch so in der Anleitung!

Ferdib · 13.08.2008, 19:18

Ich dachte ich hätte sie gelöscht, bin auf entfernen und damit hat sich Malwarebytes geschlossen. Dachte das passt so, habs jetzt (nach Combofix) nochmal laufen lassen und sie "nochmal"- diesmal wirklich- gelöscht.
Von den Dateien sind nur noch folgende da:

t1rdd05c.exe

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.13.0	2008.08.13	-
AntiVir	7.8.1.19	2008.08.13	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.08.13	W32/Heuristic-USU!Eldorado
Avast	4.8.1195.0	2008.08.13	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.08.13	Downloader.Tiny.H
BitDefender	7.2	2008.08.13	Trojan.Downloader.Firu.H
CAT-QuickHeal	9.50	2008.08.13	Win32.Packed.NSAnti.r
ClamAV	0.93.1	2008.08.13	Trojan.Downloader-47735
DrWeb	4.44.0.09170	2008.08.13	-
eSafe	7.0.17.0	2008.08.13	Suspicious File
eTrust-Vet	31.6.6030	2008.08.13	Win32/Cheqtal!generic
Ewido	4.0	2008.08.13	-
F-Prot	4.4.4.56	2008.08.13	W32/Agent.BP.gen!Eldorado
Fortinet	3.14.0.0	2008.08.13	PossibleThreat
GData	2.0.7306.1023	2008.08.13	Trojan-Downloader.Win32.Firu.kq
Ikarus	T3.1.1.34.0	2008.08.13	Generic.Trojan-Downloader.JKGD
K7AntiVirus	7.10.413	2008.08.13	-
Kaspersky	7.0.0.125	2008.08.13	Trojan-Downloader.Win32.Firu.kq
McAfee	5359	2008.08.12	Generic.dx
Microsoft	1.3807	2008.08.13	Trojan:Win32/Bohmini.A
NOD32v2	3352	2008.08.13	a variant of Win32/TrojanDownloader.Firu
Norman	5.80.02	2008.08.13	W32/DLoader.IKAA
Panda	9.0.0.4	2008.08.13	Suspicious file
PCTools	4.4.2.0	2008.08.13	-
Prevx1	V2	2008.08.13	Malicious Software
Rising	20.57.22.00	2008.08.13	Trojan.PSW.Win32.GameOL.otd
Sophos	4.32.0	2008.08.13	Mal/HckPk-A
Sunbelt	3.1.1542.1	2008.08.13	Trojan-Downloader.JKGD
Symantec	10	2008.08.13	-
TheHacker	6.3.0.3.046	2008.08.13	Trojan/Downloader.Firu.kq
TrendMicro	8.700.0.1004	2008.08.13	PAK_Generic.001
VBA32	3.12.8.3	2008.08.13	Trojan-Downloader.Win32.Firu.ju
ViRobot	2008.8.13.1335	2008.08.13	-
VirusBuster	4.5.11.0	2008.08.13	-
Webwasher-Gateway	6.6.2	2008.08.13	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 29760 bytes
MD5...: 31ead2b98a2547df99c8c9505e1c5510
SHA1..: 19d9aae9fea6859ebfda7a1675496518f21cbb78
SHA256: 649c85b6da7f2e4115389097940ef67f058b7da295c4e12df6ad4f7a30adcdab
SHA512: 584a9ff2621ae423375244ac0d353f97261ba1146f712889f4577df40f451fd8
2580fd6302f641f5328d1f8360628d10e1171c663a05a78d7c5d4ba80aa04f23
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40cc60
timedatestamp.....: 0x487b0a86 (Mon Jul 14 08:12:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x7000 0x6e00 7.99 8795dbfd130b0d539b4a005f18e1665e
.rsrc 0xd000 0x1000 0x200 2.64 d0ef1015fcb506884f2f66ae8d1954a3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetSecurityDescriptorDacl

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=31ead2b98a2547df99c8c9505e1c5510
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FAE861C840E5CC5674F50070F0D46D006681CF5B

6jk0l0MP.exe

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.13.0	2008.08.13	-
AntiVir	7.8.1.19	2008.08.13	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.08.13	W32/Heuristic-USU!Eldorado
Avast	4.8.1195.0	2008.08.13	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.08.13	Downloader.Tiny.H
BitDefender	7.2	2008.08.13	Trojan.Downloader.JKLU
CAT-QuickHeal	9.50	2008.08.13	Win32.Packed.NSAnti.r
ClamAV	0.93.1	2008.08.13	Trojan.Downloader-47709
DrWeb	4.44.0.09170	2008.08.13	Trojan.Inject.3608
eSafe	7.0.17.0	2008.08.13	Suspicious File
eTrust-Vet	31.6.6030	2008.08.13	Win32/Cheqtal!generic
Ewido	4.0	2008.08.13	-
F-Prot	4.4.4.56	2008.08.13	W32/Agent.BP.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.13	Trojan-Downloader.Win32.Firu.jr
Fortinet	3.14.0.0	2008.08.13	W32/Firu.JR!tr.dldr
GData	2.0.7306.1023	2008.08.13	Trojan-Downloader.Win32.Firu.jr
Ikarus	T3.1.1.34.0	2008.08.13	Trojan-Downloader.Win32.Firu.jr
K7AntiVirus	7.10.413	2008.08.13	Trojan-Downloader.Win32.Firu.jr
Kaspersky	7.0.0.125	2008.08.13	Trojan-Downloader.Win32.Firu.jr
McAfee	5359	2008.08.12	Downloader.gen.a
Microsoft	1.3807	2008.08.13	Trojan:Win32/Bohmini.A
NOD32v2	3352	2008.08.13	a variant of Win32/TrojanDownloader.Firu
Norman	5.80.02	2008.08.13	W32/Smalltroj.FLDD
Panda	9.0.0.4	2008.08.13	Trj/Downloader.UKI
PCTools	4.4.2.0	2008.08.13	-
Prevx1	V2	2008.08.13	Cloaked Malware
Rising	20.57.22.00	2008.08.13	Trojan.PSW.Win32.GameOL.otd
Sophos	4.32.0	2008.08.13	Mal/HckPk-A
Sunbelt	3.1.1542.1	2008.08.13	Trojan.Crypt.ULPM.Gen
Symantec	10	2008.08.13	-
TheHacker	6.3.0.3.046	2008.08.13	Trojan/Downloader.Firu.jr
TrendMicro	8.700.0.1004	2008.08.13	TROJ_FIRU.AG
VBA32	3.12.8.3	2008.08.13	Trojan-Downloader.Win32.Firu.ju
ViRobot	2008.8.13.1335	2008.08.13	-
VirusBuster	4.5.11.0	2008.08.13	-
Webwasher-Gateway	6.6.2	2008.08.13	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 29760 bytes
MD5...: 7334e0356ad780c5a40301349ad0e19b
SHA1..: 9e11ee8d46f8238cfd97511c754ea4e652a89bdd
SHA256: c95bf340a3648b79d736787ca8932af3ddbb5dedc0bb6f747d120837d8e01d89
SHA512: 8a218b8bbafa6d0a0583e76bb7f5a3492933e9ced67cb4f844c597abe215a028
279503cf9d270b68605afeeb8164e736af2d22a4da56d5ab9b3442b178e27ed7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40cc60
timedatestamp.....: 0x487b0a86 (Mon Jul 14 08:12:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x7000 0x6e00 7.99 108bb92d086d04ddd5dd5658b08016e0
.rsrc 0xd000 0x1000 0x200 2.64 d0ef1015fcb506884f2f66ae8d1954a3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetSecurityDescriptorDacl

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=7334e0356ad780c5a40301349ad0e19b
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=163F671740F3974E7444009E94D8E4002D9FCFD8

cosinus · 14.08.2008, 13:46

(1)Deaktiviere die SWH, durch Schädlingsbefall landen auch Malwaredateien in Wiederherstellungspunkten. Diese sind dann unbrauchbar und sollten gelöscht werden indem man eben die SWH deaktiviert.

(2) Gehen wir sicher, daß die gefundenen Dateien gelöscht werden mit dem Avenger:

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\2V0eLuFg.dlC:\WINDOWS\system32\2V0eLuFg.dll
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\skgGlE22.exe
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\Lij7D30B.exe
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\TtshR000.exe
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\YKyP5MaE.exe
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\6vQw3wSj.exe
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\am4uVoM3.exe
C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\cNh81332.exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\5cvnfooJ.exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\e322uJw5.exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\GpF2867g.exe
C:\WINDOWS\system32\6jk0l0MP.exe.a_a
C:\WINDOWS\system32\BvP2l7f4.exe.a_a
C:\WINDOWS\system32\t1rdd05c.exe.a_a

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

(3) Malwareeinträge in der Registry entfernen

Kopiere diesen Text

Code:

ATTFilter

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\TypeLib\{00476c87-a276-49bf-86bc-ff005732430b}]
[-HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979}]
[-HKEY_CLASSES_ROOT\TypeLib\{ee1efd57-edcf-455c-a203-3e8ee78c91c9}]
[-HKEY_CLASSES_ROOT\Interface\{290b44a3-18b7-45fb-b986-d33290b3bed3}]
[-HKEY_CLASSES_ROOT\Interface\{c46cbf42-7152-472a-bbf8-e94ff7d933e2}]
[-HKEY_CLASSES_ROOT\CLSID\{650ca63d-4a01-4bf8-a608-9b1ebb36292e} (Trojan.BHO)]
[-HKEY_CLASSES_ROOT\CLSID\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO)]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75}]
[-HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO)]
[-HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO)]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{650ca63d-4a01-4bf8-a608-9b1ebb36292e}"=-

vollständig in eine Textdatei per Editor (notepad.exe) und speicher sie als REG-Datei ab (Dateiendung *.reg) (Wichtig!!)
Klick sie danach doppelt an, damit sie ausgeführt wird und bestätige die Abfrage mit Ja.

(4) Mach Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Ferdib · 15.08.2008, 13:37

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "C:\WINDOWS\system32\2V0eLuFg.dlC:\WINDOWS\system32\2V0eLuFg.dll"
Deletion of file "C:\WINDOWS\system32\2V0eLuFg.dlC:\WINDOWS\system32\2V0eLuFg.dll" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
  --> an object cannot have this name


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\skgGlE22.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\skgGlE22.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\Lij7D30B.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\Lij7D30B.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\TtshR000.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\TtshR000.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\YKyP5MaE.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\YKyP5MaE.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\6vQw3wSj.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\6vQw3wSj.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\am4uVoM3.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\am4uVoM3.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\cNh81332.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Lena\Lokale Einstellungen\Temp\cNh81332.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\5cvnfooJ.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\5cvnfooJ.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\e322uJw5.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\e322uJw5.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\GpF2867g.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\GpF2867g.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\6jk0l0MP.exe.a_a" not found!
Deletion of file "C:\WINDOWS\system32\6jk0l0MP.exe.a_a" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\BvP2l7f4.exe.a_a" not found!
Deletion of file "C:\WINDOWS\system32\BvP2l7f4.exe.a_a" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\t1rdd05c.exe.a_a" not found!
Deletion of file "C:\WINDOWS\system32\t1rdd05c.exe.a_a" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

File-Upload.net - listing.txt

Wenn irgendetwas nicht passt, sagst du mir sicher Bescheid...?

cosinus · 15.08.2008, 19:50

Code:

ATTFilter

C:\WINDOWS\system32\6jk0l0MP.exe
C:\WINDOWS\system32\t1rdd05c.exe

Bitte wie gewohnt bei Virustotal auswerten lassen!

Ferdib · 15.08.2008, 23:34

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.15	-
AntiVir	7.8.1.19	2008.08.15	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.08.15	W32/Heuristic-USU!Eldorado
Avast	4.8.1195.0	2008.08.15	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.08.15	Downloader.Tiny.H
BitDefender	7.2	2008.08.15	Trojan.Downloader.JKLU
CAT-QuickHeal	9.50	2008.08.14	Win32.Packed.NSAnti.r
ClamAV	0.93.1	2008.08.15	Trojan.Downloader-47709
DrWeb	4.44.0.09170	2008.08.15	Trojan.Inject.3608
eSafe	7.0.17.0	2008.08.14	Suspicious File
eTrust-Vet	31.6.6035	2008.08.15	Win32/Cheqtal!generic
Ewido	4.0	2008.08.15	-
F-Prot	4.4.4.56	2008.08.15	W32/Agent.BP.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.15	Trojan-Downloader.Win32.Firu.jr
Fortinet	3.14.0.0	2008.08.15	W32/Firu.JR!tr.dldr
GData	2.0.7306.1023	2008.08.15	Trojan-Downloader.Win32.Firu.jr
Ikarus	T3.1.1.34.0	2008.08.15	Trojan-Downloader.Win32.Firu.jr
K7AntiVirus	7.10.417	2008.08.15	Trojan-Downloader.Win32.Firu.jr
Kaspersky	7.0.0.125	2008.08.15	Trojan-Downloader.Win32.Firu.jr
McAfee	5362	2008.08.15	Downloader.gen.a
Microsoft	1.3807	2008.08.16	Trojan:Win32/Bohmini.A
NOD32v2	3360	2008.08.15	a variant of Win32/TrojanDownloader.Firu
Norman	5.80.02	2008.08.15	W32/Smalltroj.FLDD
Panda	9.0.0.4	2008.08.15	Trj/Downloader.UKI
PCTools	4.4.2.0	2008.08.15	-
Prevx1	V2	2008.08.16	Cloaked Malware
Rising	20.57.42.00	2008.08.15	Trojan.PSW.Win32.GameOL.otd
Sophos	4.32.0	2008.08.15	Mal/HckPk-A
Sunbelt	3.1.1546.1	2008.08.15	Trojan.Crypt.ULPM.Gen
Symantec	10	2008.08.15	-
TheHacker	6.3.0.3.046	2008.08.13	Trojan/Downloader.Firu.jr
TrendMicro	8.700.0.1004	2008.08.15	TROJ_FIRU.AG
VBA32	3.12.8.3	2008.08.15	Trojan-Downloader.Win32.Firu.ju
ViRobot	2008.8.14.1337	2008.08.14	-
VirusBuster	4.5.11.0	2008.08.15	-
Webwasher-Gateway	6.6.2	2008.08.15	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 29760 bytes
MD5...: 7334e0356ad780c5a40301349ad0e19b
SHA1..: 9e11ee8d46f8238cfd97511c754ea4e652a89bdd
SHA256: c95bf340a3648b79d736787ca8932af3ddbb5dedc0bb6f747d120837d8e01d89
SHA512: 8a218b8bbafa6d0a0583e76bb7f5a3492933e9ced67cb4f844c597abe215a028
279503cf9d270b68605afeeb8164e736af2d22a4da56d5ab9b3442b178e27ed7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40cc60
timedatestamp.....: 0x487b0a86 (Mon Jul 14 08:12:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x7000 0x6e00 7.99 108bb92d086d04ddd5dd5658b08016e0
.rsrc 0xd000 0x1000 0x200 2.64 d0ef1015fcb506884f2f66ae8d1954a3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetSecurityDescriptorDacl

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=163F671740F3974E7444009E94D8E4002D9FCFD8
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=7334e0356ad780c5a40301349ad0e19b

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.15.0	2008.08.15	-
AntiVir	7.8.1.19	2008.08.15	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.08.15	W32/Heuristic-USU!Eldorado
Avast	4.8.1195.0	2008.08.15	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.08.15	Downloader.Tiny.H
BitDefender	7.2	2008.08.15	Trojan.Downloader.Firu.H
CAT-QuickHeal	9.50	2008.08.14	Win32.Packed.NSAnti.r
ClamAV	0.93.1	2008.08.15	Trojan.Downloader-47735
DrWeb	4.44.0.09170	2008.08.15	-
eSafe	7.0.17.0	2008.08.14	Suspicious File
eTrust-Vet	31.6.6035	2008.08.15	Win32/Cheqtal!generic
Ewido	4.0	2008.08.15	-
F-Prot	4.4.4.56	2008.08.15	W32/Agent.BP.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.15	Trojan-Downloader.Win32.Firu.kq
Fortinet	3.14.0.0	2008.08.15	PossibleThreat
GData	2.0.7306.1023	2008.08.15	Trojan-Downloader.Win32.Firu.kq
Ikarus	T3.1.1.34.0	2008.08.15	Generic.Trojan-Downloader.JKGD
K7AntiVirus	7.10.417	2008.08.15	-
Kaspersky	7.0.0.125	2008.08.15	Trojan-Downloader.Win32.Firu.kq
McAfee	5362	2008.08.15	Generic.dx
Microsoft	1.3807	2008.08.16	Trojan:Win32/Bohmini.A
NOD32v2	3360	2008.08.15	a variant of Win32/TrojanDownloader.Firu
Norman	5.80.02	2008.08.15	W32/DLoader.IKAA
Panda	9.0.0.4	2008.08.15	Suspicious file
PCTools	4.4.2.0	2008.08.15	-
Prevx1	V2	2008.08.16	Malicious Software
Rising	20.57.42.00	2008.08.15	Trojan.PSW.Win32.GameOL.otd
Sophos	4.32.0	2008.08.15	Mal/HckPk-A
Sunbelt	3.1.1546.1	2008.08.15	Trojan-Downloader.JKGD
Symantec	10	2008.08.15	-
TheHacker	6.3.0.3.046	2008.08.13	Trojan/Downloader.Firu.kq
TrendMicro	8.700.0.1004	2008.08.15	PAK_Generic.001
VBA32	3.12.8.3	2008.08.15	Trojan-Downloader.Win32.Firu.ju
ViRobot	2008.8.14.1337	2008.08.14	-
VirusBuster	4.5.11.0	2008.08.15	-
Webwasher-Gateway	6.6.2	2008.08.15	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 29760 bytes
MD5...: 31ead2b98a2547df99c8c9505e1c5510
SHA1..: 19d9aae9fea6859ebfda7a1675496518f21cbb78
SHA256: 649c85b6da7f2e4115389097940ef67f058b7da295c4e12df6ad4f7a30adcdab
SHA512: 584a9ff2621ae423375244ac0d353f97261ba1146f712889f4577df40f451fd8
2580fd6302f641f5328d1f8360628d10e1171c663a05a78d7c5d4ba80aa04f23
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40cc60
timedatestamp.....: 0x487b0a86 (Mon Jul 14 08:12:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x7000 0x6e00 7.99 8795dbfd130b0d539b4a005f18e1665e
.rsrc 0xd000 0x1000 0x200 2.64 d0ef1015fcb506884f2f66ae8d1954a3

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetSecurityDescriptorDacl

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=31ead2b98a2547df99c8c9505e1c5510
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FAE861C840E5CC5674F50070F0D46D006681CF5B

Kriegen wir die noch weg oder sind die zu hartnäckig? Habe notfalls schonmal meine Windows-Cd rausgesucht

Sag mir einfach, was du für das Beste hälst, Hauptsache der Laptop läuft danach wieder.
Danke und für heute Gute Nacht!

12.08.2008, 20:14	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Funktioniert so gut wie gar nichts mehr! Führ Combofix unbedingt aus, so wie ich gepostet habe. __________________ Logfiles bitte immer in CODE-Tags posten

15.08.2008, 19:50	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Funktioniert so gut wie gar nichts mehr! Code: ATTFilter C:\WINDOWS\system32\6jk0l0MP.exe C:\WINDOWS\system32\t1rdd05c.exe Bitte wie gewohnt bei Virustotal auswerten lassen! __________________ Logfiles bitte immer in CODE-Tags posten

Funktioniert so gut wie gar nichts mehr!

Log-Analyse und Auswertung: Funktioniert so gut wie gar nichts mehr!