fakeAV.bak/Xp Anti-spyware 2009

Eradication · 31.10.2008, 16:36

Hallo,

Ich habe jetzt seid Donnerstag folgendes Problem: Ein kleines rot-weißes Kreuz weist mich penetrant daraufhin, dass mein Computer mit Spyware infiziert sei (Your computer is infected! Windows has detected spyware infection! It is recomended....). Klickt man dieses Kreuz an, so versucht sich ein Programm namens AntispywareXP 2009 zu installieren (hatte sich wohl auch kurzzeitig auf meinem PC installiert wurde aber wohl zum Teil zumindest von Anti Vir wieder gelöscht). Symptome sind unter anderem, dass Google links mich auf Casino-, Emule- oder Pornoseiten weiterverlinkt. Ruft man die links mit copy and paste auf, so funktionieren sie. Einige Seiten lassen sich auch nicht mehr aufrufen. Habe diesbezüglich (Viren, Würmer, Spyware) wenig Ahnung oder Erfahrung: Bis auf ein rootkit vor ca. 1 Jahr, hatte ich bisher wenig mit solchen Problemen zu tun.
Außerdem habe ich bisher mehrmals Anti-Vir sowie Ad-Aware im Abgesicherten Modus drüberlaufen lassen jeweils von einer Runde CCleaner gefolgt. Dies hat wohl auch einiges gelöscht, jedoch wies scheint, ist das Problem noch nicht behoben.
Ich hoffe mir kann jemand mit dem Problem (welches wie es scheint in letzer Zeit häufiger auftritt) helfen!
Ich würde (sofern dies möglich ist) einen Lösungsansatz bevorzugen, welcher nicht das Neuaufsetzen des Systems beinhaltet... notfalls würd ich auch diesen Weg in Betracht ziehen .. ; (
Sollten noch andere Informationen benötigt werden, werde ich diese nachliefern.
Vielen Dank im Voraus

Hier noch ein aktueller Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:56, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\iTunesHelper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\LevelOne WNC-0301\RtWLan.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Programme\AntiSpywareXP2009\antispywarexp2009.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = D:\Programme\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\LevelOne WNC-0301\RtWLan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - Z:\Player\__CDS2.dll (file missing)
O20 - AppInit_DLLs: karna.dat
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6963 bytes

Silent sharK · 31.10.2008, 16:40

ALoha,

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Wieso noch kein SP3?
Solltest du laden, wenn wir mit der Bereinigung fertig sind.

Arbeite bitte die folgenden Punkte der Reihe nach durch:

1.)
Anleitung SmitfraudFix (by S!Ri)

Klick auf das Symbol und lies die Anleitung ->

und lass das System reinigen. (Option 2)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware :

Lade dir Malwarebytes Anti-Malware
Folge den Anweisungen der Anleitung
Lösche alles in der Quarantäne:

poste das enstandene Logfile

3.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

4.)
Random's System Information Tool

Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
Starte RSIT mit einem Doppelklick.
Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

Eradication · 31.10.2008, 20:27

Vorab,

Jegliche Meldungen sind verschwunden, das Internet ist wieder normal.
Bisher sieht alles so aus, als wäre es wieder normal. Sicher bin ich mir nicht, aber das kann man sicher aus den logs ablesen...

Vielen herzlichen Dank für die fixe Hilfe! ; )

So hier noch die geforderten logs:

SmitfraudFix log:

Code:

ATTFilter

SmitFraudFix v2.371

Scan done at 16:53:12,62, 31.10.2008
Run from C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is 
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\brastk.exe Deleted
C:\WINDOWS\system32\drivers\svchost.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{02FB669C-8EF9-4977-8FA0-1A82ACBCA1D6}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{02FB669C-8EF9-4977-8FA0-1A82ACBCA1D6}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{02FB669C-8EF9-4977-8FA0-1A82ACBCA1D6}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

mbam-log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

31.10.2008 19:27:14
mbam-log-2008-10-31 (19-27-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 133912
Laufzeit: 2 hour(s), 14 minute(s), 39 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.cfg (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Uninstall.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data\daily.cvd (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSixgp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSkrxx.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnpur.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSofxh.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoitu.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSyaqu.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmxfe.sys (Rootkit.Agent) -> Delete on reboot.

Combofix- Log:

Code:

ATTFilter

ComboFix 08-10-30.13 - User 2008-10-31 20:11:49.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1592 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@E00@A141A8.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@E00@A141D8.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@E00@A14208.###
C:\Dokumente und Einstellungen\User\Cookies\apeha.inf
C:\Dokumente und Einstellungen\User\Cookies\fufetot.pif
C:\Dokumente und Einstellungen\User\Cookies\gimugego.reg
C:\Dokumente und Einstellungen\User\Cookies\nijasi.lib
C:\Dokumente und Einstellungen\User\Cookies\odac.dll
C:\Dokumente und Einstellungen\User\Cookies\odozep.ban
C:\Dokumente und Einstellungen\User\Cookies\rawe.scr
C:\Dokumente und Einstellungen\User\Startmenü\Programme\AntiSpywareXP2009
C:\Dokumente und Einstellungen\User\Startmenü\Programme\AntiSpywareXP2009\AntiSpywareXP2009.lnk
C:\Dokumente und Einstellungen\User\Startmenü\Programme\AntiSpywareXP2009\Uninstall.lnk
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\_000010_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\av.dat
C:\WINDOWS\system32\TDSSmtpe.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-31  ))))))))))))))))))))))))))))))
.

2008-10-31 17:11 . 2008-10-31 17:11	<DIR>	d--------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2008-10-31 17:11 . 2008-10-31 17:11	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-31 17:11 . 2008-10-22 16:10	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-31 17:11 . 2008-10-22 16:10	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-31 16:49 . 2008-10-31 16:54	3,278	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-31 16:47 . 2007-09-05 23:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-10-31 16:47 . 2006-04-27 16:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-10-31 16:47 . 2008-09-08 22:38	88,576	--a------	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-31 16:47 . 2008-10-01 14:51	87,552	--a------	C:\WINDOWS\system32\VACFix.exe
2008-10-31 16:47 . 2008-10-10 07:58	82,944	--a------	C:\WINDOWS\system32\o4Patch.exe
2008-10-31 16:47 . 2008-05-18 20:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-10-31 16:47 . 2008-10-10 07:58	82,944	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-10-31 16:47 . 2008-08-18 11:19	82,432	--a------	C:\WINDOWS\system32\404Fix.exe
2008-10-31 16:47 . 2003-06-05 20:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-10-31 16:47 . 2004-07-31 17:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-10-31 16:47 . 2007-10-03 23:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-10-30 17:39 . 2008-10-30 17:39	396,288	--a------	C:\HijackThis.exe
2008-10-30 15:52 . 2008-03-20 14:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-30 15:52 . 2008-03-20 14:20	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-30 15:52 . 2008-03-20 14:20	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-30 15:52 . 2008-03-20 14:20	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-30 15:52 . 2008-03-20 14:20	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-30 15:52 . 2008-03-20 14:20	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-30 15:52 . 2008-03-20 14:20	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-30 15:52 . 2008-10-30 15:52	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-30 15:48 . 2008-10-30 15:49	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-29 22:20 . 2008-10-29 22:20	18,939	--a------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\yzohumi.scr
2008-10-29 22:20 . 2008-10-29 22:20	17,865	--a------	C:\WINDOWS\system32\efipiha.dll
2008-10-29 22:20 . 2008-10-29 22:20	17,824	--a------	C:\WINDOWS\pyziqeke.dll
2008-10-29 22:20 . 2008-10-29 22:20	17,338	--a------	C:\WINDOWS\system32\oropajo.com
2008-10-29 22:20 . 2008-10-29 22:20	16,447	--a------	C:\Programme\Gemeinsame Dateien\ulihika.reg
2008-10-29 22:20 . 2008-10-29 22:20	16,389	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gadugonik.reg
2008-10-29 22:20 . 2008-10-29 22:20	16,080	--a------	C:\WINDOWS\acab.vbs
2008-10-29 22:20 . 2008-10-29 22:20	15,447	--a------	C:\WINDOWS\system32\jalon.sys
2008-10-29 22:20 . 2008-10-29 22:20	14,910	--a------	C:\WINDOWS\nileqyh.inf
2008-10-29 22:20 . 2008-10-29 22:20	14,342	--a------	C:\WINDOWS\nowofolela.exe
2008-10-29 22:20 . 2008-10-29 22:20	12,806	--a------	C:\WINDOWS\viboronuxu._dl
2008-10-29 22:20 . 2008-10-29 22:20	11,913	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\exitucibob.com
2008-10-29 22:20 . 2008-10-29 22:20	11,876	--a------	C:\WINDOWS\jyhybywi.db
2008-10-29 22:20 . 2008-10-29 22:20	10,511	--a------	C:\WINDOWS\ajyjiha.dat
2008-10-29 22:18 . 2008-10-29 22:18	19,945	--a------	C:\WINDOWS\awujosoz.com
2008-10-29 22:18 . 2008-10-29 22:18	19,835	--a------	C:\WINDOWS\ypaq.exe
2008-10-29 22:18 . 2008-10-29 22:18	18,753	--a------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\itumizat.reg
2008-10-29 22:18 . 2008-10-29 22:18	17,333	--a------	C:\WINDOWS\hutasojeg.dll
2008-10-29 22:18 . 2008-10-29 22:18	17,013	--a------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\nigowineqi.dat
2008-10-29 22:18 . 2008-10-29 22:18	15,063	--a------	C:\WINDOWS\mykacybaq.dl
2008-10-29 22:18 . 2008-10-29 22:18	14,535	--a------	C:\WINDOWS\nopuw.pif
2008-10-29 22:18 . 2008-10-29 22:18	14,093	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ojetub.bin
2008-10-29 22:18 . 2008-10-29 22:18	13,923	--a------	C:\WINDOWS\wuhy.bin
2008-10-29 22:18 . 2008-10-29 22:18	13,811	--a------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\ejufysojix.pif
2008-10-29 22:18 . 2008-10-29 22:18	13,507	--a------	C:\Programme\Gemeinsame Dateien\odep.bat
2008-10-29 22:18 . 2008-10-29 22:18	13,257	--a------	C:\WINDOWS\system32\ehoxon.reg
2008-10-29 22:18 . 2008-10-29 22:18	11,234	--a------	C:\WINDOWS\jixil.dat
2008-10-29 21:59 . 2008-10-31 19:29	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-10-29 21:59 . 2008-10-31 15:48	1,409	--a------	C:\WINDOWS\QTFont.for
2008-10-29 06:35 . 2008-10-29 06:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-10-22 17:01 . 2008-10-23 14:24	<DIR>	d--------	C:\Programme\NOS
2008-10-22 17:01 . 2008-10-23 19:05	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-18 10:31 . 2008-10-18 10:31	<DIR>	d--------	C:\Programme\Windows Live
2008-10-17 12:44 . 2008-10-17 12:44	<DIR>	d--------	C:\Programme\JGsoft
2008-10-17 12:44 . 2008-10-17 12:44	<DIR>	d--------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\JGsoft
2008-10-17 12:44 . 2008-08-05 02:01	67,208	--a------	C:\WINDOWS\UnDeploy.exe
2008-10-17 12:38 . 2008-08-14 10:11	330,344	--a------	C:\WINDOWS\E4WUn.EXE
2008-10-17 12:38 . 2008-10-17 12:38	1,681	-r-------	C:\WINDOWS\Edit4Win_Uninstall.in
2008-10-16 08:00 . 2008-10-16 08:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard
2008-10-14 10:24 . 2008-10-14 10:24	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-10-13 18:09 . 2008-10-13 18:09	<DIR>	d--------	C:\Dokumente und Einstellungen\User\Anwendungsdaten\Nero
2008-10-13 18:05 . 2008-10-13 18:05	4,757	--a------	C:\WINDOWS\Irremote.ini
2008-10-13 18:03 . 2008-10-13 18:03	<DIR>	d--------	C:\Programme\Windows Sidebar
2008-10-13 17:54 . 2008-10-13 18:10	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Nero
2008-09-25 16:32 . 2008-09-25 16:32	<DIR>	d--------	C:\WINDOWS\Logs
2008-09-25 14:41 . 2008-09-25 14:41	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\SWF Studio
2008-09-20 09:10 . 2008-09-20 09:10	<DIR>	d--------	C:\Programme\Tortun

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 18:29	---------	d-----w	C:\Dokumente und Einstellungen\User\Anwendungsdaten\OpenOffice.org2
2008-10-30 14:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-29 21:20	13,870	----a-w	C:\Programme\Gemeinsame Dateien\alusyrohuf._sy
2008-10-29 21:18	10,388	----a-w	C:\Programme\Gemeinsame Dateien\ozofedasuz.lib
2008-10-22 16:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-18 10:08	---------	dcsh--w	C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-18 10:07	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-16 07:11	---------	d-----w	C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-10-13 17:00	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-25 13:40	---------	d-----w	C:\Dokumente und Einstellungen\User\Anwendungsdaten\Hamachi
2008-09-23 18:32	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-15 15:37	1,846,144	----a-w	C:\WINDOWS\system32\win32k.sys
2008-08-28 10:04	333,056	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 07:57	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-14 13:42	2,138,624	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42	2,018,304	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-04 08:23	802,816	----a-w	C:\WINDOWS\system32\imagXRA7.dll
2008-07-04 08:23	497,296	----a-w	C:\WINDOWS\system32\imagXpr7.dll
2008-07-04 08:23	258,048	----a-w	C:\WINDOWS\system32\imagXR7.dll
2008-07-04 08:23	1,757,184	----a-w	C:\WINDOWS\system32\imagX7.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2008-01-09 2189864]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-02-19 13500416]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-02-19 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-06 185896]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"iTunesHelper"="D:\iTunesHelper.exe" [2008-03-30 267048]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-08-03 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2008-02-19 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Wireless LAN Utility.lnk - C:\Programme\LevelOne WNC-0301\RtWLan.exe [2008-03-20 770048]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\Programme\\Warcraft III\\Warcraft III.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Call of Duty\\CoDUOMP.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Joost\\xulrunner\\tvprunner.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 EAPPkt;LevelOne EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 38144]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 4eaa7b0d-849e-4a9f-ae95-a8256164338f;4eaa7b0d-849e-4a9f-ae95-a8256164338f;Z:\Player\cds300.dll [ ]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-19 306432]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e199feb-f686-11dc-8bdc-9ff8ee2a01e4}]
\Shell\AutoRun\command - J:\TrueCrypt\TrueCrypt.exe /q background /e /m rm /v "crypt"
\Shell\dismount\command - J:\TrueCrypt\TrueCrypt.exe /q /d
\Shell\start\command - J:\TrueCrypt\TrueCrypt.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-31 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]

2008-10-25 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\xnz1ksuh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.hardrockradiolive.com/station/stationPages.cfm?pageName=listen
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 20:14:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-31 20:16:36 - PC wurde neu gestartet [User]
ComboFix-quarantined-files.txt  2008-10-31 19:16:33

Vor Suchlauf: 501,583,872 Bytes frei
Nach Suchlauf: 3,599,958,016 Bytes frei

253	--- E O F ---	2008-10-24 16:38:50

Eradication · 31.10.2008, 20:29

RSIT log.txt

Code:

ATTFilter

Logfile of random's system information tool 1.04 (written by random/random)
Run by User at 2008-10-31 20:17:54
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 3 GB (13%) free of 26 GB
Total RAM: 2046 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:59, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\iTunesHelper.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\LevelOne WNC-0301\RtWLan.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Desktop\RSIT.exe
C:\User.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = D:\Programme\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\LevelOne WNC-0301\RtWLan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - Z:\Player\__CDS2.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6703 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-09-19 16844800]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2007-08-03 1826816]
"Gainward"=C:\WINDOWS\TBPanel.exe [2008-01-09 2189864]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-02-19 13500416]
"nwiz"=nwiz.exe /install []
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-02-19 86016]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-03-28 413696]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-04-06 185896]
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe [2007-03-09 63712]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"iTunesHelper"=D:\iTunesHelper.exe [2008-03-30 267048]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2006-12-23 143360]
"msnmsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Wireless LAN Utility.lnk - C:\Programme\LevelOne WNC-0301\RtWLan.exe

C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart
hamachi.lnk - D:\Programme\Hamachi\hamachi.exe
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"E:\Programme\Warcraft III\Warcraft III.exe"="E:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"E:\Programme\iTunes\iTunes.exe"="E:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\Call of Duty\CoDUOMP.exe"="D:\Call of Duty\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\Programme\EA GAMES\Battlefield 2\BF2.exe"="C:\Programme\EA GAMES\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2"
"C:\Programme\Joost\xulrunner\tvprunner.exe"="C:\Programme\Joost\xulrunner\tvprunner.exe:*:Enabled:tvprunner"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\iTunes.exe"="D:\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e199feb-f686-11dc-8bdc-9ff8ee2a01e4}]
shell\AutoRun\command - J:\TrueCrypt\TrueCrypt.exe /q background /e /m rm /v "crypt"
shell\dismount\command - J:\TrueCrypt\TrueCrypt.exe /q /d
shell\start\command - J:\TrueCrypt\TrueCrypt.exe


======List of files/folders created in the last 1 months======

2008-10-31 20:17:54 ----D---- C:\rsit
2008-10-31 20:17:54 ----A---- C:\User.exe
2008-10-31 20:16:51 ----D---- C:\WINDOWS\temp
2008-10-31 20:16:37 ----A---- C:\ComboFix.txt
2008-10-31 20:09:59 ----A---- C:\Boot.bak
2008-10-31 20:09:56 ----D---- C:\cmdcons
2008-10-31 20:07:30 ----A---- C:\WINDOWS\zip.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\VFIND.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\SWXCACLS.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\SWSC.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\SWREG.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\sed.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\NIRCMD.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\grep.exe
2008-10-31 20:07:30 ----A---- C:\WINDOWS\fdsv.exe
2008-10-31 20:07:27 ----D---- C:\WINDOWS\ERDNT
2008-10-31 20:07:27 ----D---- C:\Qoobox
2008-10-31 17:11:11 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2008-10-31 17:11:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-31 16:49:12 ----A---- C:\WINDOWS\system32\tmp.txt
2008-10-31 16:49:02 ----A---- C:\rapport.txt
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\WS2Fix.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\VCCLSID.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\VACFix.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\SrchSTS.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\Process.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\o4Patch.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\IEDFix.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\IEDFix.C.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\dumphive.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-31 16:47:28 ----A---- C:\WINDOWS\system32\404Fix.exe
2008-10-30 17:39:48 ----A---- C:\HijackThis.exe
2008-10-30 15:48:32 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-29 22:20:31 ----A---- C:\WINDOWS\system32\oropajo.com
2008-10-29 22:20:31 ----A---- C:\WINDOWS\system32\efipiha.dll
2008-10-29 22:20:31 ----A---- C:\WINDOWS\pyziqeke.dll
2008-10-29 22:20:31 ----A---- C:\WINDOWS\nowofolela.exe
2008-10-29 22:20:31 ----A---- C:\WINDOWS\acab.vbs
2008-10-29 22:20:31 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\exitucibob.com
2008-10-29 22:18:28 ----A---- C:\WINDOWS\ypaq.exe
2008-10-29 22:18:28 ----A---- C:\WINDOWS\hutasojeg.dll
2008-10-29 22:18:28 ----A---- C:\WINDOWS\awujosoz.com
2008-10-29 22:18:28 ----A---- C:\Programme\Gemeinsame Dateien\odep.bat
2008-10-29 06:35:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-10-24 17:38:45 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2008-10-22 17:01:37 ----D---- C:\Programme\NOS
2008-10-22 17:01:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-18 10:31:16 ----D---- C:\Programme\Windows Live
2008-10-17 12:44:32 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\JGsoft
2008-10-17 12:44:16 ----D---- C:\Programme\JGsoft
2008-10-17 12:44:16 ----A---- C:\WINDOWS\UnDeploy.exe
2008-10-17 12:38:03 ----A---- C:\WINDOWS\E4WUn.EXE
2008-10-16 08:00:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard
2008-10-16 02:05:39 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2008-10-16 02:05:20 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
2008-10-16 02:05:07 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2008-10-16 02:03:00 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2008-10-16 02:02:03 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2008-10-14 10:24:08 ----D---- C:\Programme\MSXML 4.0
2008-10-13 18:09:31 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Nero
2008-10-13 18:05:14 ----A---- C:\WINDOWS\Irremote.ini
2008-10-13 18:03:56 ----D---- C:\Programme\Windows Sidebar
2008-10-13 17:54:38 ----D---- C:\Programme\Gemeinsame Dateien\Nero

======List of files/folders modified in the last 1 months======

2008-10-31 20:17:21 ----D---- C:\Programme\Mozilla Firefox
2008-10-31 20:16:52 ----D---- C:\WINDOWS\system32\drivers
2008-10-31 20:16:52 ----D---- C:\WINDOWS\system32
2008-10-31 20:16:51 ----D---- C:\WINDOWS
2008-10-31 20:16:15 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-31 20:16:02 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\OpenOffice.org2
2008-10-31 20:15:56 ----A---- C:\WINDOWS\RTacDbg.txt
2008-10-31 20:15:28 ----A---- C:\WINDOWS\DFC.INI
2008-10-31 20:14:23 ----A---- C:\WINDOWS\system.ini
2008-10-31 20:12:44 ----D---- C:\WINDOWS\system32\config
2008-10-31 20:12:16 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-31 20:12:15 ----D---- C:\WINDOWS\AppPatch
2008-10-31 20:09:59 ----RASH---- C:\boot.ini
2008-10-31 20:08:14 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-31 20:07:22 ----D---- C:\WINDOWS\Prefetch
2008-10-31 19:28:41 ----RD---- C:\Programme
2008-10-31 15:48:22 ----SHD---- C:\WINDOWS\Installer
2008-10-31 15:46:41 ----D---- C:\WINDOWS\Minidump
2008-10-31 15:46:41 ----D---- C:\WINDOWS\Debug
2008-10-30 15:52:03 ----D---- C:\Dokumente und Einstellungen
2008-10-30 15:47:38 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-29 21:00:10 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-26 08:18:23 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-24 17:38:49 ----HD---- C:\WINDOWS\inf
2008-10-24 17:38:32 ----HD---- C:\WINDOWS\$hf_mig$
2008-10-22 17:08:02 ----D---- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Adobe
2008-10-22 17:07:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2008-10-22 17:06:55 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2008-10-22 17:06:44 ----D---- C:\Programme\Adobe
2008-10-18 20:15:11 ----A---- C:\WINDOWS\NeroDigital.ini
2008-10-18 11:08:28 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2008-10-18 11:08:16 ----SHDC---- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-18 11:07:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-18 11:00:54 ----D---- C:\WINDOWS\WinSxS
2008-10-18 10:13:15 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-10-16 08:11:10 ----D---- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-10-16 02:04:33 ----D---- C:\Programme\Internet Explorer
2008-10-15 17:57:39 ----A---- C:\WINDOWS\system32\netapi32.dll
2008-10-13 18:00:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-10-08 20:20:44 ----D---- C:\WINDOWS\system32\Restore
2008-10-03 17:58:14 ----A---- C:\WINDOWS\system32\ieframe.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-07-18 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 sdcplh;sdcplh; C:\WINDOWS\System32\drivers\sdcplh.sys [2005-11-09 55168]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.5.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2008-03-20 21035]
R2 EAPPkt;LevelOne EAPPkt Protocol; C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 38144]
R2 TBPanel;TBPanel; C:\WINDOWS\system32\drivers\TBPanel.sys [2007-03-16 12256]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-09-19 4617728]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-02-19 6788448]
R3 rtl8185;LevelOne WNC-0301; C:\WINDOWS\system32\DRIVERS\rtl8185.sys [2008-03-31 306560]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 4eaa7b0d-849e-4a9f-ae95-a8256164338f;4eaa7b0d-849e-4a9f-ae95-a8256164338f; \??\Z:\Player\cds300.dll []
S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS []
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-05-15 25280]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-09-19 101504]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2008-02-18 30464]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; D:\aawservice.exe [2008-05-12 611664]
R2 AntiVirScheduler;Avira AntiVir Personal – Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-07-18 68865]
R2 AntiVirService;Avira AntiVir Personal – Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-08-15 149761]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-02-18 110592]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-12-14 61440]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-02-19 155716]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-03-30 504104]
R3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2006-12-23 262144]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-19 306432]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]
S4 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

-----------------EOF-----------------

Eradication · 31.10.2008, 20:30

RSIT info.txt

Code:

ATTFilter

info.txt logfile of random's system information tool 1.04 2008-10-31 20:17:59

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Adobe® Photoshop® Album Starter Edition 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-4AF04F044D61}
Apple Mobile Device Support-->MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Battlefield 2(TM)-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}\setup.exe" -l0x7  -removeonly
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
Call of Duty - United Offensive-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{A662E280-64A8-4CF5-8407-13D0808602B3} 
CCleaner (remove only)-->"D:\CCleaner\uninst.exe"
Edit4Win 2.31-->C:\WINDOWS\E4WUn.EXE /UnInst:"C:\WINDOWS\Edit4Win_Uninstall.in"
EXPERTool-->RunDll32 Setupapi.dll,InstallHinfSection TB.Remove 4 TBNT4.inf
GIMP 2.4.5-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840}
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows Media Format SDK (KB902344)-->"C:\WINDOWS\$NtUninstallKB902344$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
iTunes-->MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Joost (tm) Beta 1.1.8-->C:\Programme\Joost\uninst.exe
Just Great Software EditPad Lite 6.4.3-->C:\WINDOWS\UnDeploy.exe "C:\Programme\JGsoft\EditPadLite\Deploy.log"
LevelOne WNC-0301-->C:\Programme\InstallShield Installation Information\{EF72E0A5-57E8-471F-837E-82BB19771363}\SETUP.EXE -v"ISSCRIPTCMDLINE=\"-d -zREMOVE\"" -l0x0007 -removeonly
Malwarebytes' Anti-Malware-->"D:\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"D:\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 German Language Pack-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.17)-->C:\PROGRA~1\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
muveeNow 2.1-->C:\Programme\InstallShield Installation Information\{B4A3B14A-1C4B-47B9-A5B5-BF429237D568}\setup.exe -runfromtemp -l0x0007 -removeonly
Nero 7 Essentials-->MsiExec.exe /X{B28B351F-1232-46EA-85EF-B8EA91641031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
OpenOffice.org 2.4-->MsiExec.exe /I{1B14B0C3-2D60-477C-A1FE-B88E60948854}
Player-->C:\Programme\Player\Player.exe /uninstall
QuickTime-->MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x7  -removeonly
Serif PhotoPlus 6.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0609D0AF-1382-42BE-81DB-CF30F8B0F6E2}\Setup.exe" -l0x9 
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944533)-->"C:\WINDOWS\$NtUninstallKB944533$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881)-->"C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
SpeechRedist-->MsiExec.exe /X{8795CBED-55E2-4693-9F14-84EC446935BE}
Tortun 0.8-->"C:\Programme\Tortun\unins000.exe"
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Unreal Tournament 2004-->D:\UT2004\System\Setup.exe uninstall "UT2004"
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB925720)-->"C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe"
Update für Windows XP (KB925876)-->"C:\WINDOWS\$NtUninstallKB925876$\spuninst\spuninst.exe"
Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3)-->"C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB942840)-->"C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6i-->C:\Programme\VideoLAN\VLC\uninstall.exe
Virtual DJ - Atomix Productions-->C:\PROGRA~1\VIRTUA~1\UNWISE.EXE C:\PROGRA~1\VIRTUA~1\INSTALL.LOG
Warhammer Online: Age of Reckoning-->"D:\Warhammer\unins000.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR-->C:\Programme\WinRAR\uninstall.exe
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\Wrath of the Lich King\Uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=4
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip

-----------------EOF-----------------

Silent sharK · 31.10.2008, 20:35

Sieht gut aus

Jetzt kannst du Combofix deinstallieren:

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Wichtig ist noch, das du dein System updatest:

=> Besuche die Windows-Update Seite und lasse über den Button benutzerdefinierte Suche nach fehlenden Updates suchen und installiere die wichtigen Updates.

Brauchst du den Bonjour von Apple?
Wenn nicht, dann deinstallieren wir den korrekt.

Eradication · 31.10.2008, 20:39

ComboFix ist deinstalliert. Update wird folgen.
Zu Bonjour.. ich hab keine Ahnung für was genau ich dieses Programm brauche. Wenn es von Apple ist, nehm ich mal an es hat mit meinem Ipod zu tun. Hab leider keine Ahnung ob Bonjour hierfür essentiell ist.

mfg

Silent sharK · 31.10.2008, 20:40

Essentiell ist es nicht unbedingt, nur eine weitere Sicherheitslücke.

Es wird halt mitinstalliert, ohne das man gefragt wird, ob man es will.
Da man es auf "normalem" Wege nicht deinstallieren kann, sind halt immer mehr und mehr User darüber verärgert.

Eradication · 31.10.2008, 20:45

Okay, dann kanns wohl getrost gekickt werden.

Btw:
Mir fällt irgendwie gerade auf, dass sich der Papierkorb in Rentnergeschwindigkeit öffnet und arbeitet. Hat das was mit dem gerade vollzogenen Prozess zu tun? Normalisiert sich das mit dem Windows Update? (Systemsteuerung ==> Software versucht jetzt auch schon seit meheren Minuten mir ne Liste aufzustellen.. ; ) )

Silent sharK · 31.10.2008, 20:46

Zu Bonjour:

Bonjour richtig deinstallieren

Um den Dienst von Bonjour zu deaktivieren machst Du folgendes:
Start => Ausführen => services.msc
eintippen => OK klicken
Es öffnet sich jetzt das "Dienste"-Fenster.

Du suchst den Bonjourdienst in der Liste und gehst auf "Beenden".
Kommandozeile öffnen: start => ausführen => cmd reinschreiben und ins Verzeichnis "<Systemvolume>\Programme\Bonjour" wechseln, z. B. mit dem Kommando: cd "C:\Programme\Bonjour"
Folgendes Kommando eingeben: mDNSResponder -remove

Nun gehst du auf diese Seite, lade Dir lspfix.zip runter und entpacke das Archiv auf Deinen Desktop. Wenn Du kein Zip-Programm hast, kannst Du auch LSPFix.exe und spfix.txt runterladen. Starte LSPFix.exe, schiebe mit dem >>-Button die mdnsnsp.dll nach rechts, da sie raus muss, hake "I know what i'm doing" an und klicke auf "Finish". Rechner neu starten. Der Ordner C:\Programme\Bonjour\ sollte sich nun löschen lassen.

Zum Problem:
Führst du das Update gerade durch?
Bzw. hast du eine wuauclt.exe im Taskmanager?

Eradication · 31.10.2008, 20:49

Danke, werde Bonjour dann gleich runterwerfen.
Zum Update: Nein, läuft noch nicht.
Zur exe: Im Taskmanager lässt sich kein solcher Prozess finden.

Silent sharK · 31.10.2008, 20:51

OK.
Dann gehen wir später zu dem Problem über.

Eradication · 31.10.2008, 21:56

Soooo....
Bonjour ist gekickt.
SP3 ist runtergeladen.
wuauclt.exe wird im taskmanager angezeigt.
Der Papierkorb jedoch öffnet sich immernoch schleichend. Hab ich irgendwas übersehen?

Silent sharK · 31.10.2008, 21:58

Eigentlich dürfte malwaretechnisch nichts mehr da sein.
Reboote mal, räume davor deinen Autostart auf und beobachte, ob das Problem immernoch vorliegt.

mfg

Eradication · 31.10.2008, 22:01

Mmmh joa ... dieses Aufräumen von Autostart... wie macht man das nochmal? ; )

fakeAV.bak/Xp Anti-spyware 2009

Plagegeister aller Art und deren Bekämpfung: fakeAV.bak/Xp Anti-spyware 2009