Trojaner 'TR/Silentbanker.J' in WINDOWS/system32

JR30 · 01.11.2008, 12:31

hallo,
ich weiss nicht wie ich diesen Trojaner weg bekomme 'TR/Silentbanker.J' (AntiVir hat den so genannt) er befindet sich hier: C:\WINDOWS\system32\c_817202.nls

immer wenn ich ihn mit AntiVir lösche, dann ist er bei dem nächsten Neustart wieder da, ich habe mich schon in verschiedenen Foren umgesehen und mitbekommen, dass ihr immer ein Log braucht um mir zu helfen, also das is mein Log aber der is ziemlich lang, ich hoffe ihr könnt mir weiterhelfen den Trojaner los zu werden, und wenn möglich mir noch sagen was ich noch löschen kann denn mein PC is sehr langsam.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:43, on 01.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\WService.EXE
C:\WINDOWS\system32\rundll32.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219907537609
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2947947-F55C-4A66-BB15-851E96C872B4}: NameServer = 62.109.123.197 213.191.74.19
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE

--
End of file - 11127 bytes

Silent sharK · 01.11.2008, 12:35

Hallo,

ändere bitte erstmal all deine Passwörter und Zugangsdaten von einem sauberen System aus.
Folge dann dieser Anleitung:

1.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

2.)
Random's System Information Tool

Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
Starte RSIT mit einem Doppelklick.
Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

JR30 · 01.11.2008, 21:08

vielen Dank schon mal für deine Antwort, ich kann allerdings noch nicht mit der Durchführung deiner Anweisungen starten, denn ich versteh noch nicht so ganz wie du das hier meinst:
"Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser."
langt es wenn ich die Antiviren-Software deaktiviere, und die Internetbrowser schließe? Und wie beende ich die anderen Hintergrundwächter und welche sind das? ich kenne mich mit meinem eigenen PC leider nicht so gut aus.

mfg JR30

Silent sharK · 01.11.2008, 21:12

Als Antivirenprogramm hast du vermutlich Norton (

).
Ich kenn mit mit diesem Programm nicht sonderlich aus, deinstalliere es am besten mit dem Norton Removal Tool und nach der Bereinigung kannst du es entweder wieder installieren oder wir installieren dir ein vergleichsweise besseres.

mfg

JR30 · 02.11.2008, 15:08

ich kann meinen Beitrag leider nicht mehr bearbeiten, daher hier die neuen Logs:

Code:

ATTFilter

ComboFix 08-11-01.06 - JR30 2008-11-02 14:28:12.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1471 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\JR30\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\~.exe
C:\WINDOWS\system32\wservice.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-02 bis 2008-11-02  ))))))))))))))))))))))))))))))
.

2008-11-02 14:16 . 2008-11-02 14:16	<DIR>	d--------	C:\Programme\CCleaner
2008-10-31 22:40 . 2008-10-31 22:40	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-25 16:31 . 2008-10-25 16:31	268	--ah-----	C:\sqmdata02.sqm
2008-10-25 16:31 . 2008-10-25 16:31	244	--ah-----	C:\sqmnoopt02.sqm
2008-10-23 09:43 . 2008-10-23 09:43	<DIR>	d--------	C:\Programme\ClearProg
2008-10-17 21:34 . 2008-10-31 21:58	<DIR>	d--------	C:\Programme\Kisuro
2008-10-10 22:19 . 2008-10-10 22:19	244	--ah-----	C:\sqmnoopt01.sqm
2008-10-10 22:19 . 2008-10-10 22:19	232	--ah-----	C:\sqmdata01.sqm
2008-10-08 15:31 . 2008-10-08 15:31	<DIR>	d--------	C:\WINDOWS\system32\Adobe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-02 12:38	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\OpenOffice.org2
2008-10-29 06:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-15 16:57	332,800	------w	C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-13 18:36	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\gtk-2.0
2008-10-05 21:00	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\HP
2008-09-23 17:59	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\Ulead Systems
2008-09-23 13:32	---------	d-----w	C:\Programme\Google
2008-09-19 12:20	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-09-19 12:19	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\CyberLink
2008-09-15 15:37	1,846,144	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-15 15:37	1,846,144	------w	C:\WINDOWS\system32\dllcache\win32k.sys
2008-09-11 18:51	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-09-11 17:07	---------	d-----w	C:\Programme\Electronic Arts
2008-09-05 16:19	---------	d-----w	C:\Programme\OpenOffice.org 2.4
2008-09-04 05:21	---------	d-----w	C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\AdobeUM
2008-09-03 19:18	---------	d-----w	C:\Programme\GENIUS TABLET
2008-08-28 10:04	333,056	------w	C:\WINDOWS\system32\dllcache\srv.sys
2008-08-14 13:42	2,182,656	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42	2,182,656	------w	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-14 13:42	2,138,624	------w	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-14 13:42	2,060,032	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 13:42	2,060,032	------w	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-08-14 13:42	2,018,304	------w	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-08-14 09:51	138,368	------w	C:\WINDOWS\system32\dllcache\afd.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 36975]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2004-09-03 58488]
"IS CfgWiz"="C:\Programme\Norton Internet Security\cfgwiz.exe" [2004-09-17 132248]
"SSC_UserPrompt"="C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-10-06 218240]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 127118]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 C:\WINDOWS\soundman.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\JR30\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-11 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_817202.nls
"mixer1"= c_817202.nls
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"msacm.mpegacm "= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm
"aux2"= c_817202.nls
"wave2"= c_817202.nls
"midi1"= c_817202.nls
"aux1"= c_817202.nls
"midi2"= c_817202.nls
"mixer2"= c_817202.nls

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-07-22 19:42 116040 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 22:12 49152 C:\Programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 09:47 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 09:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\AOL 9.0\\aol.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=

R0 SI3112r;ATI-437A Serial ATA Controller;C:\WINDOWS\system32\DRIVERS\SI3112r.sys [2004-08-27 97920]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-27 799744]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8baffa42-6a40-11dd-a83e-806d6172696f}]
\Shell\AutoRun\command - E:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8baffa4f-6a40-11dd-a83e-0013d3df18e5}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-02 C:\WINDOWS\Tasks\HDReg.job
- c:\Apps\HDReg\HDRegRem.exe [2003-07-15 09:14]

2008-08-14 C:\WINDOWS\Tasks\Registrierungserinnerung 2.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2004-08-04 13:00]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WService - WService.EXE


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\Mozilla\Firefox\Profiles\py4v6l05.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPJPI150_02.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_02\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-02 14:30:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-02 14:30:58
ComboFix-quarantined-files.txt  2008-11-02 13:30:56

Vor Suchlauf: 16 Verzeichnis(se), 29.705.547.776 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 29,703,561,216 Bytes frei

177	--- E O F ---	2008-10-25 22:09:12

JR30 · 02.11.2008, 15:11

mehr hat nich gepasst, desshalb noch ne antwort:

Code:

ATTFilter

info.txt logfile of random's system information tool 1.04 2008-11-02 14:41:41

======Uninstall list======

-->"c:\apps\skype\phone\unins000.exe"
-->"C:\Programme\Gemeinsame Dateien\AOL\ACS\AcsUninstall.exe" /c
-->"C:\Programme\Gemeinsame Dateien\aolshare\Coach\AolCInUn.exe" -lang="de-de"
-->C:\PROGRA~1\Norman\NORMAN~1\UNWISE.EXE C:\PROGRA~1\Norman\NORMAN~1\INSTALL.LOG
-->C:\Programme\Gemeinsame Dateien\AOL\Screensaver\uninst_ygpss.exe
-->C:\Programme\Gemeinsame Dateien\aolshare\Aolunins_de.exe
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Programme\Gemeinsame Dateien\Symantec Shared\SymSetup\{A93C9E60-29B6-49da-BA21-F70AC6AADE20}.exe /X
-->C:\Programme\Learn2.com\StRunner\stuninst.exe
-->C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\system32\\MSIEXEC.EXE /x {9541FED0-327F-4df0-8B96-EF57EF622F19}
-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
-->MsiExec.exe /I{8B543A39-9401-44F4-B572-069E64C15189}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\Setup.EXE"  -uninstall
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3F9CFBD8-8F77-4DCD-8CB5-CDD5F653C872}\setup.exe" -l0x7 
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4F1DA6BF-3614-48A1-9970-9E90F646789E}\setup.exe" -l0x7 
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5A065EA0-0EEC-4E94-A2A0-40812576C122}\setup.exe" -l0x7 
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7 
-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{49C88E44-1B38-4FC6-824E-2BDA3063B0E3}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ATI Systemsteuerung-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Black & White® 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D9E52CD1-9DF1-4A8A-9BDC-1E5E53982F2B}\setup.exe" -l0x7  -removeonly
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
CC_ccProxyExt-->MsiExec.exe /I{DA42FDCA-7C5A-43EF-9A05-CCE148ADF919}
ccCommon-->MsiExec.exe /I{DC367608-64A7-4BF7-92F4-8BAA25BA02DB}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
ccPxyCore-->MsiExec.exe /I{FC08587A-4F01-4188-819F-F55880022917}
ClearProg 1.5.0 Final-->C:\Programme\ClearProg\Uninstall.exe
Die Schlacht um Mittelerde™ II-->C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\EAUninstall.exe
Firebird SQL Server - MAGIX Edition-->C:\Programme\MAGIX\Common\Database\instslct.exe /p
GIMP 2.4.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Earth-->MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
Heroes of Might & Magic V: Hammers of Fate-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{66FF4C48-0083-4E60-8556-B883AB200091}\setup.exe" -l0x7 
Heroes of Might and Magic V - Tribes of the East-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{66FF4C48-0083-4E60-8556-B883AB200092}\setup.exe" -l0x7 
Heroes of Might and Magic V-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20071984-5EB1-4881-8EDB-082532ACEC6D}\setup.exe" -l0x7 
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Document Viewer 5.3-->C:\Programme\HP\Digital Imaging\DocumentViewer\hpzscr01.exe -datfile hpqbud04.dat
HP Extended Capabilities 5.3-->C:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Image Zone 5.3-->C:\Programme\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP Imaging Device Functions 5.3-->C:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP PSC & OfficeJet 5.3.B-->"C:\Programme\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\setup\hpzscr01.exe" -datfile hposcr07.dat
HP Software Update-->MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.3-->C:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
iTunes-->MsiExec.exe /I{3DE0053C-FD9A-483E-B7C9-B06E4392206E}
J2SE Runtime Environment 5.0 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150020}
Kisuro Full Client-->"C:\Programme\Kisuro\Uninstall.exe"
LiveReg (Symantec Corporation)-->C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VCSetup.exe /REMOVE
Macromedia Shockwave Player-->MsiExec.exe /X{7D1D6A24-65D4-454C-8815-4F08A5FFF12C}
MAGIX Foto Manager 2007 4.2.0.176 (D)-->C:\Programme\MAGIX\Foto_Manager_2007\instslct.exe
MAGIX Music Maker 2008 13.0.0.16 (D)-->C:\Programme\MAGIX\MusicMaker2008\instslct.exe
MAGIX Online Druck Service 2.3.2.0 (D)-->C:\Programme\MAGIX\Online_Druck_Service\instslct.exe
MAGIX PC Visit-->C:\Programme\MAGIX\PCVisit\instslct.exe
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Standard Edition 2003-->MsiExec.exe /I{91120407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Works-->MsiExec.exe /I{B26E3B0D-C2FA-4370-B068-7C476766F029}
Mozilla Firefox (3.0.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN-->C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSRedist-->MsiExec.exe /I{B7C61755-DB48-4003-948F-3D34DB8EAF69}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Norton AntiSpam-->MsiExec.exe /I{3B29A786-5803-4e9e-9B58-3014A5B4E519}
Norton AntiSpam-->MsiExec.exe /I{5677563D-0CB1-485f-9E18-C5025306BB3F}
Norton AntiVirus 2005-->MsiExec.exe /X{C6F5B6CF-609C-428E-876F-CA83176C021B}
Norton Internet Security-->MsiExec.exe /I{12E2B9E9-05B1-407d-B0FD-B5F350535125}
Norton Internet Security-->MsiExec.exe /I{449F3A9E-9903-4a0d-A209-08030D45A935}
Norton Internet Security-->MsiExec.exe /I{48185814-A224-447a-81DA-71BD20580E1B}
Norton Internet Security-->MsiExec.exe /I{526AD5DC-CFC4-4f2a-8442-C84CC91D6C7F}
Norton Internet Security-->MsiExec.exe /I{A93C9E60-29B6-49da-BA21-F70AC6AADE20}
Norton Internet Security-->MsiExec.exe /I{C9D599E1-6B68-4a1f-8A4F-A1DB433DB1BF}
Norton Internet Security-->MsiExec.exe /I{E3EFA461-EB83-4C3B-9C47-2C1D58A01555}
Norton Internet Security-->MsiExec.exe /I{E5EE9939-259F-4DE2-8023-5C49E16A4F43}
Norton Internet Security-->MsiExec.exe /I{FC2C0536-583C-46c0-844A-62CECAE01F22}
Norton WMI Update-->MsiExec.exe /X{E85FA9A1-C241-4698-893B-DD99509B8DB0}
Norton WMI Update-->MsiExec.exe /X{F64306A5-4C32-41bb-B153-53986527FAB4}
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
ProtectDisc Helper Driver 10-->C:\Programme\ProtectDisc Driver Installer\uninstall_v10.exe
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x7  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB953838)-->"C:\WINDOWS\ie8updates\KB953838-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Encoder (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588)-->"C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901190)-->"C:\WINDOWS\$NtUninstallKB901190$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sonic MyDVD-->MsiExec.exe /I{21657574-BD54-48A2-9450-EB03B2C7FC29}
Sonic RecordNow!-->MsiExec.exe /I{9541FED0-327F-4DF0-8B96-EF57EF622F19}
SPBBC-->MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}
SymNet-->MsiExec.exe /I{2DA85B02-13C0-4E6D-9A76-22E6B3DD0CB2}
Text-To-Speech-Runtime-->MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB896727)-->"C:\WINDOWS\$NtUninstallKB896727$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 8 Beta 1-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Encoder 9-Reihe-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873333-->C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"

=====HijackThis Backups=====

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

======Security center information======

AV: Norton Internet Security (outdated)
AV: Avira AntiVir PersonalEdition
FW: Norton Internet Security

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\ATI Technologies\ATI Control Panel;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\PROGRA~1\GEMEIN~1\SONICS~1;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 47 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=2f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.5.0_02\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.5.0_02\lib\ext\QTJava.zip

-----------------EOF-----------------

JR30 · 02.11.2008, 15:13

und das letzte passt nicht in einen eintrag ich teil das desshalb noch einmal:

Code:

ATTFilter

Logfile of random's system information tool 1.04 (written by random/random)
Run by JR30 at 2008-11-02 14:41:36
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 28 GB (28%) free of 100 GB
Total RAM: 2047 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:41:40, on 02.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\JR30\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\JR30.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219907537609
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2947947-F55C-4A66-BB15-851E96C872B4}: NameServer = 62.109.123.197 213.191.74.19
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE

--
End of file - 10783 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\HDReg.job
C:\WINDOWS\tasks\Registrierungserinnerung 2.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9ECB9560-04F9-4bbc-943D-298DDF1699E1}]
CNisExtBho Class - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll [2004-11-18 103552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
CNavExtBho Class - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll [2004-11-15 218240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - Norton Internet Security - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll [2004-11-18 103552]
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - Norton AntiVirus - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll [2004-11-15 218240]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-04 208952]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-10-24 90112]
"ATIPTA"=C:\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-08-05 344064]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe [2005-03-04 36975]
"ccApp"=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe [2004-09-03 58488]
"IS CfgWiz"=C:\Programme\Norton Internet Security\cfgwiz.exe [2004-09-17 132248]
"SSC_UserPrompt"=C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe [2004-10-06 218240]
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe [2004-11-26 90112]
"PCMService"=c:\Apps\Powercinema\PCMService.exe [2005-05-11 127118]
"ACTIVBOARD"=c:\apps\ABoard\ABoard.exe [2003-05-02 24576]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"BluetoothAuthenticationAgent"=C:\WINDOWS\system32\bthprops.cpl [2004-08-04 110592]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MsnMsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2008-07-22 116040]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2005-05-11 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2008-07-30 289064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2008-05-27 413696]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

C:\Dokumente und Einstellungen\JR30\Startmenü\Programme\Autostart
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-08-03 46080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\Ahead\SIPPS\SIPPS.exe"="%ProgramFiles%\Ahead\SIPPS\SIPPS.exe:*:Enabled:SIPPS"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\AOL 9.0\aol.exe"="C:\Programme\AOL 9.0\aol.exe:*:Disabled:AOL"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat"="C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat:*:Enabled:Die Schlacht um Mittelerde™ II"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8baffa42-6a40-11dd-a83e-806d6172696f}]
shell\AutoRun\command - E:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8baffa4f-6a40-11dd-a83e-0013d3df18e5}]
shell\AutoRun\command - wd_windows_tools\setup.exe

JR30 · 02.11.2008, 15:15

Code:

ATTFilter

======List of files/folders created in the last 1 months======

2008-11-02 14:41:36 ----D---- C:\rsit
2008-11-02 14:31:02 ----D---- C:\WINDOWS\temp
2008-11-02 14:30:59 ----A---- C:\ComboFix.txt
2008-11-02 14:24:47 ----A---- C:\WINDOWS\zip.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\VFIND.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\SWXCACLS.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\SWSC.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\SWREG.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\sed.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\NIRCMD.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\grep.exe
2008-11-02 14:24:47 ----A---- C:\WINDOWS\fdsv.exe
2008-11-02 14:24:43 ----D---- C:\WINDOWS\ERDNT
2008-11-02 14:24:43 ----D---- C:\Qoobox
2008-11-02 14:24:41 ----D---- C:\ComboFix
2008-11-02 14:16:27 ----D---- C:\Programme\CCleaner
2008-10-31 22:40:36 ----D---- C:\Programme\Trend Micro
2008-10-25 23:09:06 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2008-10-23 09:43:10 ----D---- C:\Programme\ClearProg
2008-10-17 21:34:31 ----D---- C:\Programme\Kisuro
2008-10-17 20:54:30 ----D---- C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\Mozilla
2008-10-17 20:54:22 ----D---- C:\Programme\Mozilla Firefox
2008-10-16 00:34:07 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2008-10-16 00:34:03 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
2008-10-16 00:33:59 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2008-10-16 00:33:09 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2008-10-16 00:32:57 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2008-10-08 15:31:33 ----D---- C:\WINDOWS\system32\Adobe

======List of files/folders modified in the last 1 months======

2008-11-02 14:31:02 ----D---- C:\WINDOWS\PREFETCH
2008-11-02 14:31:02 ----D---- C:\WINDOWS
2008-11-02 14:31:02 ----AD---- C:\WINDOWS\system32
2008-11-02 14:30:08 ----A---- C:\WINDOWS\system.ini
2008-11-02 14:29:44 ----D---- C:\WINDOWS\system32\drivers
2008-11-02 14:29:44 ----D---- C:\WINDOWS\AppPatch
2008-11-02 14:29:44 ----D---- C:\Programme\Gemeinsame Dateien
2008-11-02 14:27:53 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-11-02 14:18:47 ----D---- C:\WINDOWS\Debug
2008-11-02 14:16:27 ----RD---- C:\Programme
2008-11-02 13:42:47 ----SD---- C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\Microsoft
2008-11-02 13:38:51 ----D---- C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\OpenOffice.org2
2008-11-02 13:37:55 ----D---- C:\WINDOWS\system32\CatRoot2
2008-11-02 13:31:51 ----HD---- C:\WINDOWS\inf
2008-10-29 07:50:41 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-28 13:05:58 ----A---- C:\WINDOWS\Robota.INI
2008-10-28 13:05:58 ----A---- C:\WINDOWS\BeatBox.INI
2008-10-26 10:01:36 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-25 23:09:08 ----RSHD---- C:\WINDOWS\system32\dllcache
2008-10-25 23:09:00 ----HD---- C:\WINDOWS\$hf_mig$
2008-10-22 14:55:38 ----RASH---- C:\BOOT.INI
2008-10-22 14:55:38 ----A---- C:\WINDOWS\win.ini
2008-10-16 00:33:57 ----SHD---- C:\WINDOWS\Installer
2008-10-16 00:33:57 ----SHD---- C:\Config.Msi
2008-10-15 17:57:39 ----A---- C:\WINDOWS\system32\netapi32.dll
2008-10-13 19:36:45 ----D---- C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\gtk-2.0
2008-10-08 15:31:37 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-05 22:00:01 ----D---- C:\Dokumente und Einstellungen\JR30\Anwendungsdaten\HP

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 43008]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-06-27 75072]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-03 14848]
R1 SAVRT;SAVRT; \??\C:\Programme\Norton Internet Security\Norton AntiVirus\SAVRT.SYS []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 SYMTDI;SYMTDI; C:\WINDOWS\System32\Drivers\SYMTDI.SYS [2004-08-27 266464]
R2 acedrv10;acedrv10; \??\C:\WINDOWS\system32\drivers\acedrv10.sys []
R2 acehlp10;acehlp10; \??\C:\WINDOWS\system32\drivers\acehlp10.sys []
R2 SAVRTPEL;SAVRTPEL; \??\C:\Programme\Norton Internet Security\Norton AntiVirus\SAVRTPEL.SYS []
R3 3xHybrid;3xHybrid service; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-27 799744]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-10-26 3786944]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-08-03 1273344]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NAVENG;NAVENG; \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20080820.016\NAVENG.Sys []
R3 NAVEX15;NAVEX15; \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20080820.016\NavEx15.Sys []
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 RTL8023xp;Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2004-12-02 70912]
R3 SYMDNS;SYMDNS; C:\WINDOWS\System32\Drivers\SYMDNS.SYS [2004-08-27 11040]
R3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []
R3 SYMFW;SYMFW; C:\WINDOWS\System32\Drivers\SYMFW.SYS [2004-08-27 171424]
R3 SYMIDS;SYMIDS; C:\WINDOWS\System32\Drivers\SYMIDS.SYS [2004-08-27 34496]
R3 SYMNDIS;SYMNDIS; C:\WINDOWS\System32\Drivers\SYMNDIS.SYS [2004-08-27 46208]
R3 SYMREDRV;SYMREDRV; C:\WINDOWS\System32\Drivers\SYMREDRV.SYS [2004-08-27 25824]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-04 17024]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [2003-01-10 33588]
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2004-08-03 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2004-08-03 100992]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-03 18944]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-08 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-08 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-08 21744]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2004-08-03 59648]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 SPBBCDrv;SPBBCDrv; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys []
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 Tablet2k;Serial Tablet Port Driver; C:\WINDOWS\System32\Drivers\Tablet2k.sys [2000-06-13 15370]
S3 TClass2k;Tablet Class Driver; C:\WINDOWS\system32\DRIVERS\TClass2k.sys [2003-03-05 23202]
S3 UCTblHid;HID Tablet Port Driver; C:\WINDOWS\system32\DRIVERS\UCTblHid.sys [2003-03-05 11090]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R2 AOL ACS;AOL Connectivity Service; C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2004-11-09 1140312]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-07-22 116040]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-08-03 380928]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 ccEvtMgr;Symantec Event Manager; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe [2004-09-03 197752]
R2 ccProxy;Symantec Network Proxy; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe [2004-09-03 234616]
R2 ccSetMgr;Symantec Settings Manager; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe [2004-09-03 164984]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe [2005-05-11 221266]
R2 CLSched;CyberLink Task Scheduler (CTS); c:\APPS\Powercinema\Kernel\TV\CLSched.exe [2005-05-11 110672]
R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe [2005-05-11 61440]
R2 GenericHidService;Generic Service for HID Keyboard Input Collections; c:\APPS\HIDSERVICE\HIDSERVICE.exe [2005-01-07 49152]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-05-31 53248]
R2 navapsvc;Norton AntiVirus Auto-Protect-Dienst; C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe [2004-11-15 176768]
R2 SNDSrvc;Symantec Network Drivers Service; C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe [2004-08-27 206048]
R2 UleadBurningHelper;Ulead Burning Helper; C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe [2004-02-26 49152]
R2 WinTabService;WinTab Service; C:\WINDOWS\System32\Drivers\WTSRV.EXE [2003-09-30 40960]
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 ccPwdSvc;Symantec Password Validation; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe [2004-09-03 78968]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-07-30 532264]
S3 ISSVC;IS Service; C:\Programme\Norton Internet Security\ISSVC.exe [2004-10-28 83088]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SAVScan;SAVScan; C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe [2004-07-23 197864]
S3 SPBBCSvc;Symantec SPBBCSvc; C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe [2004-07-21 173160]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------

habe den Pc jetzt noch einmal neu gestartet, und AntiVir findet den Trojaner immer noch, das wollte ich nur noch mal gesagt haben, hoffe ihr könnt mit den Logs was anfangen

mfg

Silent sharK · 02.11.2008, 20:49

Mein Rat wäre immer noch Neuaufsetzen, besonders da Combofix den Banker nicht entfernen konnte.
Überprüfe mal, ob BlackLight etwas findet:

Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

MBAM dürfte Silentbanker auch erkennen und entfernen:

MalwareBytes Anti-Malware :

Lade dir Malwarebytes Anti-Malware
Folge den Anweisungen der Anleitung
Lösche alles in der Quarantäne:

poste das entstandene Logfile

JR30 · 03.11.2008, 13:42

also hab beide programme durchlaufe lassen, Trojaner is immer noch da, er installiert sich immer wieder neu, hier das log

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1357
Windows 5.1.2600 Service Pack 2

02.11.2008 23:02:26
mbam-log-2008-11-02 (23-02-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 204512
Laufzeit: 1 hour(s), 24 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\418908719512.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418908719521.CPX (Trojan.Agent) -> Quarantined and deleted successfully.

mit neu aufsetzten meinst du doch einmal formatieren oder? da langt dann ja wohl die windows cd oder?

und dann noch eine Frage: alle Programme konnten den Ordner D:/Dokumente und Einstellungen/*Benutzername* durchsuchen, ich kann den allerdings nicht mehr öffnen habe keinen zugriff, kann ich da irgendwie wieder ran kommen? sind ein paar dateien drin die ich gerne wiederhätte.

mfg

Silent sharK · 03.11.2008, 19:28

Zitat:

mit neu aufsetzten meinst du doch einmal formatieren oder? da langt dann ja wohl die windows cd oder?

Ja genau, lies dir am besten die Boardanleitung dafür durch.

Zitat:

und dann noch eine Frage: alle Programme konnten den Ordner D:/Dokumente und Einstellungen/*Benutzername* durchsuchen, ich kann den allerdings nicht mehr öffnen habe keinen zugriff, kann ich da irgendwie wieder ran kommen? sind ein paar dateien drin die ich gerne wiederhätte.

Da musst du von einer Live CD aus booten, so ist es jedenfalls am einfachsten.

Edit:
Ich würde noch gern ein Log von GMER sehen:

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

JR30 · 03.11.2008, 23:09

ok hier das neue log:

Code:

ATTFilter

 GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-03 23:03:28
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            876FF770                                                                                                         ZwConnectPort
SSDT            BAE738C4                                                                                                         ZwCreateThread
SSDT            BAE738B0                                                                                                         ZwOpenProcess
SSDT            BAE738B5                                                                                                         ZwOpenThread
SSDT            BAE738BF                                                                                                         ZwTerminateProcess
SSDT            BAE738BA                                                                                                         ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text           C:\WINDOWS\system32\winlogon.exe[580] kernel32.dll!FindNextFileW                                                 7C80EF3A 5 Bytes  JMP 01700000 
.text           C:\WINDOWS\system32\winlogon.exe[580] kernel32.dll!ExitProcess                                                   7C81CDDA 5 Bytes  JMP 016F0000 
.text           C:\WINDOWS\system32\winlogon.exe[580] kernel32.dll!FindNextFileA                                                 7C834EB1 5 Bytes  JMP 01710000 
.text           C:\WINDOWS\system32\winlogon.exe[580] ADVAPI32.dll!CryptDeriveKey                                                77DBA685 5 Bytes  JMP 01730000 
.text           C:\WINDOWS\system32\winlogon.exe[580] ADVAPI32.dll!CryptImportKey                                                77DBA879 5 Bytes  JMP 01740000 
.text           C:\WINDOWS\system32\winlogon.exe[580] ADVAPI32.dll!CryptGenKey                                                   77DE14B1 5 Bytes  JMP 01750000 
.text           C:\WINDOWS\system32\winlogon.exe[580] USER32.dll!DispatchMessageW                                                7E368A01 5 Bytes  JMP 01B00000 
.text           C:\WINDOWS\system32\winlogon.exe[580] WS2_32.dll!send                                                            71A1428A 5 Bytes  JMP 01720000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!CommitUrlCacheEntryA                                           441E7ED0 5 Bytes  JMP 019A0000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetReadFile                                               441EF42A 5 Bytes  JMP 01910000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetQueryDataAvailable                                     441EF658 5 Bytes  JMP 01920000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!HttpOpenRequestA                                               441EFF4C 5 Bytes  JMP 01930000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetConnectA                                               441F0902 5 Bytes  JMP 01900000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!HttpOpenRequestW                                               441F1A89 5 Bytes  JMP 01980000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!HttpSendRequestW                                               441FF501 5 Bytes  JMP 01950000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetReadFileExW                                            442021D2 5 Bytes  JMP 019C0000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetReadFileExA                                            4420220A 5 Bytes  JMP 019B0000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!HttpSendRequestA                                               4421494C 5 Bytes  JMP 01940000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetWriteFile                                              4421AD45 5 Bytes  JMP 01970000 
.text           C:\WINDOWS\system32\winlogon.exe[580] wininet.dll!InternetErrorDlg                                               4426B71F 5 Bytes  JMP 01990000 
.text           C:\WINDOWS\system32\lsass.exe[648] kernel32.dll!FindNextFileW                                                    7C80EF3A 5 Bytes  JMP 00DD0000 
.text           C:\WINDOWS\system32\lsass.exe[648] kernel32.dll!ExitProcess                                                      7C81CDDA 5 Bytes  JMP 00DC0000 
.text           C:\WINDOWS\system32\lsass.exe[648] kernel32.dll!FindNextFileA                                                    7C834EB1 5 Bytes  JMP 00DE0000 
.text           C:\WINDOWS\system32\lsass.exe[648] ADVAPI32.dll!CryptDeriveKey                                                   77DBA685 5 Bytes  JMP 00E00000 
.text           C:\WINDOWS\system32\lsass.exe[648] ADVAPI32.dll!CryptImportKey                                                   77DBA879 5 Bytes  JMP 00E10000 
.text           C:\WINDOWS\system32\lsass.exe[648] ADVAPI32.dll!CryptGenKey                                                      77DE14B1 5 Bytes  JMP 00E20000 
.text           C:\WINDOWS\system32\lsass.exe[648] USER32.dll!DispatchMessageW                                                   7E368A01 5 Bytes  JMP 012F0000 
.text           C:\WINDOWS\system32\lsass.exe[648] WS2_32.dll!send                                                               71A1428A 5 Bytes  JMP 00DF0000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!CommitUrlCacheEntryA                                              441E7ED0 5 Bytes  JMP 01190000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetReadFile                                                  441EF42A 5 Bytes  JMP 00FE0000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetQueryDataAvailable                                        441EF658 5 Bytes  JMP 00FF0000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!HttpOpenRequestA                                                  441EFF4C 5 Bytes  JMP 01010000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetConnectA                                                  441F0902 5 Bytes  JMP 00FD0000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!HttpOpenRequestW                                                  441F1A89 5 Bytes  JMP 01060000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!HttpSendRequestW                                                  441FF501 5 Bytes  JMP 01030000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetReadFileExW                                               442021D2 5 Bytes  JMP 011B0000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetReadFileExA                                               4420220A 5 Bytes  JMP 011A0000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!HttpSendRequestA                                                  4421494C 5 Bytes  JMP 01020000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetWriteFile                                                 4421AD45 5 Bytes  JMP 01050000 
.text           C:\WINDOWS\system32\lsass.exe[648] wininet.dll!InternetErrorDlg                                                  4426B71F 5 Bytes  JMP 01180000 
.text           C:\WINDOWS\system32\svchost.exe[840] kernel32.dll!FindNextFileW                                                  7C80EF3A 5 Bytes  JMP 00DD0000 
.text           C:\WINDOWS\system32\svchost.exe[840] kernel32.dll!ExitProcess                                                    7C81CDDA 5 Bytes  JMP 00DC0000 
.text           C:\WINDOWS\system32\svchost.exe[840] kernel32.dll!FindNextFileA                                                  7C834EB1 5 Bytes  JMP 00DE0000 
.text           C:\WINDOWS\system32\svchost.exe[840] ADVAPI32.dll!CryptDeriveKey                                                 77DBA685 5 Bytes  JMP 00E00000 
.text           C:\WINDOWS\system32\svchost.exe[840] ADVAPI32.dll!CryptImportKey                                                 77DBA879 5 Bytes  JMP 00E10000 
.text           C:\WINDOWS\system32\svchost.exe[840] ADVAPI32.dll!CryptGenKey                                                    77DE14B1 5 Bytes  JMP 00E20000 
.text           C:\WINDOWS\system32\svchost.exe[840] USER32.dll!DispatchMessageW                                                 7E368A01 5 Bytes  JMP 011E0000 
.text           C:\WINDOWS\system32\svchost.exe[840] ws2_32.dll!send                                                             71A1428A 5 Bytes  JMP 00DF0000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!CommitUrlCacheEntryA                                            441E7ED0 5 Bytes  JMP 01080000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetReadFile                                                441EF42A 5 Bytes  JMP 00FE0000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetQueryDataAvailable                                      441EF658 5 Bytes  JMP 00FF0000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!HttpOpenRequestA                                                441EFF4C 5 Bytes  JMP 01010000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetConnectA                                                441F0902 5 Bytes  JMP 00FD0000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!HttpOpenRequestW                                                441F1A89 5 Bytes  JMP 01060000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!HttpSendRequestW                                                441FF501 5 Bytes  JMP 01030000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetReadFileExW                                             442021D2 5 Bytes  JMP 010A0000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetReadFileExA                                             4420220A 5 Bytes  JMP 01090000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!HttpSendRequestA                                                4421494C 5 Bytes  JMP 01020000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetWriteFile                                               4421AD45 5 Bytes  JMP 01050000 
.text           C:\WINDOWS\system32\svchost.exe[840] wininet.dll!InternetErrorDlg                                                4426B71F 5 Bytes  JMP 01070000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] kernel32.dll!FindNextFileW                              7C80EF3A 5 Bytes  JMP 01330000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] kernel32.dll!ExitProcess                                7C81CDDA 5 Bytes  JMP 01320000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] kernel32.dll!FindNextFileA                              7C834EB1 5 Bytes  JMP 01340000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] USER32.dll!DispatchMessageW                             7E368A01 5 Bytes  JMP 01730000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] ADVAPI32.dll!CryptDeriveKey                             77DBA685 5 Bytes  JMP 01360000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] ADVAPI32.dll!CryptImportKey                             77DBA879 5 Bytes  JMP 01370000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] ADVAPI32.dll!CryptGenKey                                77DE14B1 5 Bytes  JMP 01380000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] WS2_32.dll!send                                         71A1428A 5 Bytes  JMP 01350000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!CommitUrlCacheEntryA                        441E7ED0 5 Bytes  JMP 015D0000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetReadFile                            441EF42A 5 Bytes  JMP 01540000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetQueryDataAvailable                  441EF658 5 Bytes  JMP 01550000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!HttpOpenRequestA                            441EFF4C 5 Bytes  JMP 01560000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetConnectA                            441F0902 5 Bytes  JMP 01530000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!HttpOpenRequestW                            441F1A89 5 Bytes  JMP 015B0000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!HttpSendRequestW                            441FF501 5 Bytes  JMP 01580000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetReadFileExW                         442021D2 5 Bytes  JMP 015F0000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetReadFileExA                         4420220A 5 Bytes  JMP 015E0000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!HttpSendRequestA                            4421494C 5 Bytes  JMP 01570000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetWriteFile                           4421AD45 5 Bytes  JMP 015A0000 
.text           C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe[988] wininet.dll!InternetErrorDlg                            4426B71F 5 Bytes  JMP 015C0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!FindNextFileW                                                 7C80EF3A 5 Bytes  JMP 00D90000 
.text           C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!ExitProcess                                                   7C81CDDA 5 Bytes  JMP 00D80000 
.text           C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!FindNextFileA                                                 7C834EB1 5 Bytes  JMP 00DA0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] ADVAPI32.dll!CryptDeriveKey                                                77DBA685 5 Bytes  JMP 00DC0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] ADVAPI32.dll!CryptImportKey                                                77DBA879 5 Bytes  JMP 00DD0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] ADVAPI32.dll!CryptGenKey                                                   77DE14B1 5 Bytes  JMP 00DE0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] USER32.dll!DispatchMessageW                                                7E368A01 5 Bytes  JMP 011A0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] ws2_32.dll!send                                                            71A1428A 5 Bytes  JMP 00DB0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!CommitUrlCacheEntryA                                           441E7ED0 5 Bytes  JMP 01040000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetReadFile                                               441EF42A 5 Bytes  JMP 00FA0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetQueryDataAvailable                                     441EF658 5 Bytes  JMP 00FB0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!HttpOpenRequestA                                               441EFF4C 5 Bytes  JMP 00FC0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetConnectA                                               441F0902 5 Bytes  JMP 00F90000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!HttpOpenRequestW                                               441F1A89 5 Bytes  JMP 01020000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!HttpSendRequestW                                               441FF501 5 Bytes  JMP 00FE0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetReadFileExW                                            442021D2 5 Bytes  JMP 01060000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetReadFileExA                                            4420220A 5 Bytes  JMP 01050000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!HttpSendRequestA                                               4421494C 5 Bytes  JMP 00FD0000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetWriteFile                                              4421AD45 5 Bytes  JMP 01010000 
.text           C:\WINDOWS\System32\svchost.exe[1032] wininet.dll!InternetErrorDlg                                               4426B71F 5 Bytes  JMP 01030000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] kernel32.dll!FindNextFileW                     7C80EF3A 5 Bytes  JMP 00F20000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] kernel32.dll!ExitProcess                       7C81CDDA 5 Bytes  JMP 00BD0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] kernel32.dll!FindNextFileA                     7C834EB1 5 Bytes  JMP 010C0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] USER32.dll!DispatchMessageW                    7E368A01 5 Bytes  JMP 014B0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] ADVAPI32.dll!CryptDeriveKey                    77DBA685 5 Bytes  JMP 010E0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] ADVAPI32.dll!CryptImportKey                    77DBA879 5 Bytes  JMP 010F0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] ADVAPI32.dll!CryptGenKey                       77DE14B1 5 Bytes  JMP 01100000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] WS2_32.dll!send                                71A1428A 5 Bytes  JMP 010D0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!CommitUrlCacheEntryA               441E7ED0 5 Bytes  JMP 01350000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetReadFile                   441EF42A 5 Bytes  JMP 012C0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetQueryDataAvailable         441EF658 5 Bytes  JMP 012D0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!HttpOpenRequestA                   441EFF4C 5 Bytes  JMP 012E0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetConnectA                   441F0902 5 Bytes  JMP 012B0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!HttpOpenRequestW                   441F1A89 5 Bytes  JMP 01330000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!HttpSendRequestW                   441FF501 5 Bytes  JMP 01300000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetReadFileExW                442021D2 5 Bytes  JMP 01370000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetReadFileExA                4420220A 5 Bytes  JMP 01360000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!HttpSendRequestA                   4421494C 5 Bytes  JMP 012F0000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetWriteFile                  4421AD45 5 Bytes  JMP 01320000 
.text           C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe[1368] wininet.dll!InternetErrorDlg

JR30 · 03.11.2008, 23:11

war wieder zu lang, der zweite teil:

Code:

ATTFilter

4426B71F 5 Bytes  JMP 01340000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] kernel32.dll!FindNextFileW                                      7C80EF3A 5 Bytes  JMP 01120000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] kernel32.dll!ExitProcess                                        7C81CDDA 5 Bytes  JMP 010B0000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] kernel32.dll!FindNextFileA                                      7C834EB1 5 Bytes  JMP 016E0000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] ADVAPI32.dll!CryptDeriveKey                                     77DBA685 5 Bytes  JMP 01700000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] ADVAPI32.dll!CryptImportKey                                     77DBA879 5 Bytes  JMP 01710000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] ADVAPI32.dll!CryptGenKey                                        77DE14B1 5 Bytes  JMP 01720000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] USER32.dll!DispatchMessageW                                     7E368A01 5 Bytes  JMP 01AE0000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] ws2_32.dll!send                                                 71A1428A 5 Bytes  JMP 016F0000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!CommitUrlCacheEntryA                                441E7ED0 5 Bytes  JMP 01980000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetReadFile                                    441EF42A 5 Bytes  JMP 01810000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetQueryDataAvailable                          441EF658 5 Bytes  JMP 01820000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!HttpOpenRequestA                                    441EFF4C 5 Bytes  JMP 01830000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetConnectA                                    441F0902 5 Bytes  JMP 01800000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!HttpOpenRequestW                                    441F1A89 5 Bytes  JMP 01880000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!HttpSendRequestW                                    441FF501 5 Bytes  JMP 01850000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetReadFileExW                                 442021D2 5 Bytes  JMP 019A0000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetReadFileExA                                 4420220A 5 Bytes  JMP 01990000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!HttpSendRequestA                                    4421494C 5 Bytes  JMP 01840000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetWriteFile                                   4421AD45 5 Bytes  JMP 01870000 
.text           c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe[1444] wininet.dll!InternetErrorDlg                                    4426B71F 5 Bytes  JMP 01890000 
.text           C:\WINDOWS\Explorer.EXE[1528] kernel32.dll!FindNextFileW                                                         7C80EF3A 5 Bytes  JMP 00FC0000 
.text           C:\WINDOWS\Explorer.EXE[1528] kernel32.dll!ExitProcess                                                           7C81CDDA 5 Bytes  JMP 00FB0000 
.text           C:\WINDOWS\Explorer.EXE[1528] kernel32.dll!FindNextFileA                                                         7C834EB1 5 Bytes  JMP 00FD0000 
.text           C:\WINDOWS\Explorer.EXE[1528] ADVAPI32.dll!CryptDeriveKey                                                        77DBA685 5 Bytes  JMP 00FF0000 
.text           C:\WINDOWS\Explorer.EXE[1528] ADVAPI32.dll!CryptImportKey                                                        77DBA879 5 Bytes  JMP 01260000 
.text           C:\WINDOWS\Explorer.EXE[1528] ADVAPI32.dll!CryptGenKey                                                           77DE14B1 5 Bytes  JMP 01270000 
.text           C:\WINDOWS\Explorer.EXE[1528] USER32.dll!DispatchMessageW                                                        7E368A01 5 Bytes  JMP 01620000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!CommitUrlCacheEntryA                                                   441E7ED0 5 Bytes  JMP 014C0000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetReadFile                                                       441EF42A 5 Bytes  JMP 01430000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetQueryDataAvailable                                             441EF658 5 Bytes  JMP 01440000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!HttpOpenRequestA                                                       441EFF4C 5 Bytes  JMP 01450000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetConnectA                                                       441F0902 5 Bytes  JMP 01420000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!HttpOpenRequestW                                                       441F1A89 5 Bytes  JMP 014A0000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!HttpSendRequestW                                                       441FF501 5 Bytes  JMP 01470000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetReadFileExW                                                    442021D2 5 Bytes  JMP 014E0000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetReadFileExA                                                    4420220A 5 Bytes  JMP 014D0000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!HttpSendRequestA                                                       4421494C 5 Bytes  JMP 01460000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetWriteFile                                                      4421AD45 5 Bytes  JMP 01490000 
.text           C:\WINDOWS\Explorer.EXE[1528] WININET.dll!InternetErrorDlg                                                       4426B71F 5 Bytes  JMP 014B0000 
.text           C:\WINDOWS\Explorer.EXE[1528] ws2_32.dll!send                                                                    71A1428A 5 Bytes  JMP 00FE0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] kernel32.dll!FindNextFileW                                                 7C80EF3A 5 Bytes  JMP 00FF0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] kernel32.dll!ExitProcess                                                   7C81CDDA 5 Bytes  JMP 00FE0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] kernel32.dll!FindNextFileA                                                 7C834EB1 5 Bytes  JMP 01170000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] ADVAPI32.dll!CryptDeriveKey                                                77DBA685 5 Bytes  JMP 01190000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] ADVAPI32.dll!CryptImportKey                                                77DBA879 5 Bytes  JMP 011A0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] ADVAPI32.dll!CryptGenKey                                                   77DE14B1 5 Bytes  JMP 011B0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] USER32.dll!DispatchMessageW                                                7E368A01 5 Bytes  JMP 01560000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] ws2_32.dll!send                                                            71A1428A 5 Bytes  JMP 01180000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!CommitUrlCacheEntryA                                           441E7ED0 5 Bytes  JMP 01400000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetReadFile                                               441EF42A 5 Bytes  JMP 01370000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetQueryDataAvailable                                     441EF658 5 Bytes  JMP 01380000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!HttpOpenRequestA                                               441EFF4C 5 Bytes  JMP 01390000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetConnectA                                               441F0902 5 Bytes  JMP 01360000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!HttpOpenRequestW                                               441F1A89 5 Bytes  JMP 013E0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!HttpSendRequestW                                               441FF501 5 Bytes  JMP 013B0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetReadFileExW                                            442021D2 5 Bytes  JMP 01420000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetReadFileExA                                            4420220A 5 Bytes  JMP 01410000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!HttpSendRequestA                                               4421494C 5 Bytes  JMP 013A0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetWriteFile                                              4421AD45 5 Bytes  JMP 013D0000 
.text           C:\WINDOWS\system32\spoolsv.exe[1824] wininet.dll!InternetErrorDlg                                               4426B71F 5 Bytes  JMP 013F0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] kernel32.dll!FindNextFileW                    7C80EF3A 5 Bytes  JMP 01490000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] kernel32.dll!ExitProcess                      7C81CDDA 5 Bytes  JMP 01480000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] kernel32.dll!FindNextFileA                    7C834EB1 5 Bytes  JMP 014A0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] USER32.dll!DispatchMessageW                   7E368A01 5 Bytes  JMP 018A0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] ADVAPI32.dll!CryptDeriveKey                   77DBA685 5 Bytes  JMP 014C0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] ADVAPI32.dll!CryptImportKey                   77DBA879 5 Bytes  JMP 014D0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] ADVAPI32.dll!CryptGenKey                      77DE14B1 5 Bytes  JMP 014E0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] WS2_32.dll!send                               71A1428A 5 Bytes  JMP 014B0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!CommitUrlCacheEntryA              441E7ED0 5 Bytes  JMP 01740000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetReadFile                  441EF42A 5 Bytes  JMP 016B0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetQueryDataAvailable        441EF658 5 Bytes  JMP 016C0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!HttpOpenRequestA                  441EFF4C 5 Bytes  JMP 016D0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetConnectA                  441F0902 5 Bytes  JMP 016A0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!HttpOpenRequestW                  441F1A89 5 Bytes  JMP 01720000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!HttpSendRequestW                  441FF501 5 Bytes  JMP 016F0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetReadFileExW               442021D2 5 Bytes  JMP 01760000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetReadFileExA               4420220A 5 Bytes  JMP 01750000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!HttpSendRequestA                  4421494C 5 Bytes  JMP 016E0000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetWriteFile                 4421AD45 5 Bytes  JMP 01710000 
.text           C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[1876] wininet.dll!InternetErrorDlg                  4426B71F 5 Bytes  JMP 01730000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] kernel32.dll!FindNextFileW              7C80EF3A 5 Bytes  JMP 011F0000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] kernel32.dll!ExitProcess                7C81CDDA 5 Bytes  JMP 00D10000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] kernel32.dll!FindNextFileA              7C834EB1 5 Bytes  JMP 01200000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] WS2_32.dll!send                         71A1428A 5 Bytes  JMP 01210000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] ADVAPI32.dll!CryptDeriveKey             77DBA685 5 Bytes  JMP 01220000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] ADVAPI32.dll!CryptImportKey             77DBA879 5 Bytes  JMP 01230000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] ADVAPI32.dll!CryptGenKey                77DE14B1 5 Bytes  JMP 01240000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] USER32.dll!DispatchMessageW             7E368A01 5 Bytes  JMP 01600000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!CommitUrlCacheEntryA        441E7ED0 5 Bytes  JMP 014A0000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetReadFile            441EF42A 5 Bytes  JMP 01400000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetQueryDataAvailable  441EF658 5 Bytes  JMP 01410000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!HttpOpenRequestA            441EFF4C 5 Bytes  JMP 01420000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetConnectA            441F0902 5 Bytes  JMP 013F0000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!HttpOpenRequestW            441F1A89 5 Bytes  JMP 01470000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!HttpSendRequestW            441FF501 5 Bytes  JMP 01440000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetReadFileExW         442021D2 5 Bytes  JMP 014C0000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetReadFileExA         4420220A 5 Bytes  JMP 014B0000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!HttpSendRequestA            4421494C 5 Bytes  JMP 01430000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetWriteFile           4421AD45 5 Bytes  JMP 01460000 
.text           C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe[1972] wininet.dll!InternetErrorDlg            4426B71F 5 Bytes  JMP 01480000 
.text           C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[3436] kernel32.dll!SetUnhandledExceptionFilter                   7C84467D 5 Bytes  JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                           SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                           SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                         SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                        SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                        SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a9418751c                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a9418751c@001e7d1598b4                         0x58 0x64 0x67 0x3B ...
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000a9418751c                                          
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000a9418751c@001e7d1598b4                             0x58 0x64 0x67 0x3B ...

---- EOF - GMER 1.0.14 ----

was genau kann man eigentlich an diesen log's sehen?

Silent sharK · 03.11.2008, 23:14

*hmpf* Ich fass es nicht, wie hartnäckig dieser Banker ist.

Um nicht alles sinnlos getan zu haben, lasse die Datei analysieren:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\c_817202.nls

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

JR30 · 04.11.2008, 19:31

ähm, also es sieht so aus, immer wenn ich meinen PC hoch fahre, dann kommen mir noch 6 oder 7 meldungen von AntiVir, das ich den Trojaner auf dem PC habe, zusammen mit der genannten Pfadangabe, aber in dem Ordner finde ich die Datei nicht mehr, und auch immer wenn ich einen kommpletten Systemtest mit AntiVir mache, dann wird mir die Datei nicht mehr angezeigt.

kann das bedeuten, das der Trojaner schon gar nicht mehr auf meinem PC ist? denn immerhin haben die anderen Programme den Trojaner ja auch nicht mehr gefunden. Und das würde dann meiner Meinung nach bedeuten, dass ich evt nur einen Fehler bei AntiVir habe, dann müsste ich wissen wie ich diese Meldung abstellen kann.

hast du eine Idee dazu?

mfg