Guten Tag erstmals,
Ich Idiot dachte, dass mein Virus Programm locker ein paar Viren aushält, daher bin ich auf die seite w*w.messblack.com/v2 oder so ähnlich draufgegangen und mein PC wurde von dort aus mit Viren "bombadiert". Nach ungefähr 5 Sekunden meldete mir mein nod32 das es ausgeschaltet wurde und explorer.exe etc. nicht mehr funktionieren würden (hängen geblieben). Sofort habe ich den Netzwerkkabel gezogen, und nachdem ich dann den PC im "Sicheren Modus" hochgefahren habe ( im normalen Modus ging es nicht, blieb vor dem Windows Vista Zeichen hängen und blieb schwarz), habe ich natürlich sofort in der msconfig mehrere "Vermutungen auf Viren" deaktiviert. Da es spät war, und ich am nächsten Tag zur Schule musste, habe ich den Netzwerkkabel wieder gezogen, den PC Ausgeschaltet ( sodass er kein Strom mehr nimmt, also hinter dem PC) und Sicherheitsweise den Stromkabel gezogen. Am nächsten Tag, also heute, habe ich dann zuerst eine Systemwiederherstellung angewendet, und dann komplett mit einem neuinstallierten Avira Programm durchlaufen lassen ( das alte Programm nod32 habe ich deinstalliert, weil der Verdacht da war, dass ein Virus sich da infiziert hat). Avira hat auch recht viele gefunden. Anschließend Windows Defender, was wahrscheinlich nicht ernennenswert ist. Daraufhin habe ich CCleaner durchlaufen lassen und alles gereinigt. Danach Malwarebytes (Bericht siehe unten). Und zum Schluss noch HijackThis.

Photo von Task-Manager und Systemstart:


Firefox hat oft bis zu 150.000 K



Btw. Dafür, dass mein PC recht gut ist, dauert es doch relativ lange, z.B. Firefox zu öffnen, und ist es normal, dass Firefox so viel Speicher verbraucht?


Malwarebyte Bericht:
BEMERKUNG: ProRat war von mir selbst.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1841
Windows 6.0.6001 Service Pack 1

12.03.2009 19:27:14
mbam-log-2009-03-12 (19-27-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|)
Durchsuchte Objekte: 635350
Laufzeit: 1 hour(s), 21 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{a75aed00-d7bf-11d1-9947-00c0cf98bbc9} (Backdoor.ProRat) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

hijackthis log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:22, on 12.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\conime.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {2E1C1935-59F6-3AC0-BAE4-D54BED45236C} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix: 
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - E:\Program Files\Gravity\RO\nProtect\npkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

--
End of file - 3386 bytes
         

//EDIT:
Mein System:
Windows Vista SP 1
Quad 2,5 intel Prozessor,
2x 2gb RAM,
nV GeFore 9600


PC Auslastung:

*Bump* .

*Hust* ist denn keiner da, der mein hjack bericht überfliegen kann?

Hi,

wenn wir dir helfen sollen, solltest du a) dein Sicherheitskonzept überdenken und b) brauchen wir die Liste der Malware die Antivir und WindowsDefender entfernt haben. Am besten wär außerdem noch, die Liste der Sachen die NOD gefunden hatte.
Ein AVP ist dafür da, dass es evtl gemachte Fehler abfängt, nicht damit man sich unfehlbar glaubt und beim Surfen das Hirn abschaltet.

Wie hast du NOD deinstalliert?

lg myrtille

nod32 habe ich unter softwares deinstalliert.
die logs habe ich leider nicht gespeichert. Daran hatte ich in diesem moment garnicht dran gedacht. Aber vielleicht sind sie ja doch irgendwo vorhanden.

Komischerweise ist meine externe Festplatte auch teilweise kaputt / fehlende dateien. Windows will immer eine Datenüberprüfung machen, die jedoch nicht beendet werden kann, weil nicht genügend Speicher vorhanden ist. Ich weiß nicht wirklich ob das zusammenhängd, da ich die Platte nicht an dem Zeitpunkt an meinem Rechner hatte, und sie erst angeschlossen hatte, nachdem ich den ganzen virenkram wieder entfernt hatte. Meist ladet mein Rechner (vista) dann nicht mehr und der explorer stürzt ab, was bei 4gb Ram und 4x 2.5ghz ungewöhnlich ist. Auch mein Laptop (XP) hat öfters explorer.exe abstürtze. Leider weiß ich NICHT genau, ob es was damit zu tun hat, dass ich die Externe Platte daran angeschlossen habe, meine Schwester mit ihm irgendnen scheiß angestellt hatte, oder er einfach nur zu heiß war, was auch dazu führt, dass er ein bisschen rumhängt.

Windows Defender selbst hat nichts geloescht, nur meinem AV geholfen, d.H. ich hatte beide an, und die Dateien die AV nicht gefunden hat, hat Def dann gefunden und wurden dann von AV in quarantäne geschoben und gelöscht.

Langsam bin ich am verzweifeln, ob das jetzt alles ein Virus ist oder ich nur wegen dem Virenvorfall alles strenger sehe. Daher bin ich mir auch nicht sicher, ob mein PC jetzt etwas länger braucht um hochzufahren und die Programme zu starten, oder es schon immer war. Vielleicht dauert es auch länger und es liegt einfach daran, dass AV gestartet wird...

Wenn irgendwer noch ein paar Ideen hat, o.ä. [(wie zb. Tricks um nachzugucken um was es sich handelt (z.b. um Vire oder Festplatte putt)] kann ja gerne noch etwas dazu schreiben.

Vielleicht ist es ernennenswert, dass ich meine Festplatte (intern) in ungefähr 5 Partitionen partitioniert habe. Falls ich formatiere, formatiere ich auch immer nur C.
Jedoch ist mein PC dann trotzdem nicht so schnell, als ich ihn damals kaufte

BTW. Mein Windows Live meldet sich in letzter Zeit öfters ab und wenn ich ein Spiel spiele, dass dann nach mehreren Stunden abstürzt ist auf meinem Desktop plötzlich ein herrangesoomtes, ausgeschnittenes Taskmanager mit dem Tab Prozess. Finde es irgendwie komisch.


Ops, sry.
Hab wohl vergessen den Post hier abzuschicken.
Naja glücklicherweise musste ich es nicht neuschreiben und sorry für die Verspätung.

Hi,

bevor ich hier groß Anfang etwas zu suchen, würd ich halt gerne wissen was auf dem Rechner gewesen ist.

Deine Platte könnte sehr wohl infiziert sein, woher weißt du so genau, dass all die Befälle nur von dem Besuch der Seite stammen? Du hättest auch schon früher dir etwas einfangen können, was NOD eben nicht gesehen hat, sondern nur Antivir.

Ich benutze die beiden Programme derzeit nicht, aber bei Antivir sollte man die Logs unter "Berichte" im Programm selbst einsehen können.
NOD wird die Berichte, falls noch vorhanden wahrscheinlich im Ordner C:\Programme\Eset oder NOD abgespeichert haben oder im Ordner C:\Users\benutzername\AppData\Roaming\NOD oder Eset finden.


Die sicherste Variante wird immer das korrekte formatieren und Neuaufsetzen aber solange man nicht weiß was auf dem Rechner war, lässt sich schlecht sagen wie sicher das Bereinigen ist oder war.
lg myrtille

schlechte karten, beides ist nicht mehr vorhanden.
Btw. auf meine externe festplatte kann ich auch nur noch mit Vista zugreifen. Hab irgendwo gelesen, dass es sein könnte, dass sich eine vire in denn bootsektor der platte eingenistet hat, kann das sein? Und wenn ja, vlt. ist diese ja auch noch auf meinem Rechner vorhanden...

Und gibt es keine Programme zum kontrollieren? vielleicht ist ja auch alles sauber

Hi,

es wäre halt sehr viel einfacher zu überprüfen was auf deinem Rechner abgeht, wenn man zumindest mal wüsste, was mal drauf war.
MBAM zeigt reste von ProRat an, das heißt jemand hatte komplett Zugriff auf deinen Rehcner und kann da an sich alles verändert haben wie er lustig ist.
Wenn die Logs nicht mehr da sind, dann kann man nicht überprüfen ob das Tool komplett installiert war oder nicht und da würd ich auf jedenfall für Neuaufsetzen plädieren.

Wir können ne allgemeine Analyse machen, aber ne Garantie das danach alles sauber ist, gibts nicht.

@Bootsektor
Solange du nicht von der Platte bootest ist es eigentlich nicht iwrklich wichtig was in dem Bootsektor steht.
Desweiteren ist es möglich, den MBR zu überschreiben mit Windowsmitteln.
Die allermeisten Antivirenprogramme (darunter auch Antivir) erkennen veränderte Bootsektoren und überprüfen die Sektoren auch ebi einem kompletten Systemcheck, wenn diese nichts medlet, biste wahrscheinlich nicht davon betroffen.

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.


Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in die weißen Felder (Search String) Folgendes eingeben:

Code: Alles auswählenAufklappen

ATTFilter

a75aed00-d7bf-11d1-9947-00c0cf98bbc9
         

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

lg myrtille

Hi danke, ich werde morgen mal alle prog's durchlaufen lassen und fixxen etc.
Aber wie ich schon sagte, das ProRat war von mir
Hab das mal zu testzwecken geused und dann halt ne exe davon gemacht und die probiert.

Ja, dann ist wohl Neuaufsetzen angesagt.

Die Clients sind häufig genauso verseucht wie die Server, sodass man sich beim Ausprobieren und andere Leute ausspionieren selbst unwissentlich auch infiziert.

Platt machen wär die sinnvollste Lösung.

Naja aufsetzen...
Das ist so ne Sache.
Im vergangenen Jahr hab ich mein pc so ungehärt 4-6 mal neu aufgesetzt, wenn nicht mehr.
So lange wird das meine Festplatte nicht mehr mitmachen
Und btw. muss ich dann komplett alles formatieren?
Oder nur C ?

Wenn unter den zahlreichen Meldungen die du in letzter bekommen hast, keine war die Virut beinhaltete, dann sollte C: reichen.

Wichtig ist eigentlich vor allem, dass alle ausführbaren Dateien gelöscht werden und das Windows system formatiert wird.

Nicht sichern solltest du Dateien wie exe, com, scr, zip, rar, html und php... (um ganz sicher zu gehen)
Alles andere entweder auf eine nicht zu formatierende Platte oder CDs schreiben und neuaufsetzen.


lg myrtille

mh btw. ich hab das mal mit den scans allen gemacht, jedoch eines ist nicht vista kompatibel, dass ich dann mit dem vista-intregrierten "Ausführen mit Windows xp service pack 2" ausgeführt habe, was dazu führte, das mein pc an einem blue screen endete. Ist das normal ?

Und dann hab ich noch mit dem GM scanner ein Problem gehabt, den hatte ich seit gestern mittag an und um 12 uhr abends war er immer noch nicht fertig. Am anfang hatte er 2x 2 registry sachen gehabt, die ich bei Bedarf nochmal schnell rausscannen könnte. Den PC hatte ich angelassen, jedoch hatte mein PC am nächsten morgen vermutlich schon neugestartet oder ähnliches, da dass gm programm aus war, ohne Close gedrückt zu haben. Auch uTorrent war aus, dass ich NICHT im autostart habe, d.H. um es zu starten, ich selber auf die exe muss

Wenn noch nötig könnte ich die restlichen files uploaden.

//Edit:
Btw. seit nem Jahr oder so ist es doch auch schon möglich, viren in bildern zu verstecken, diese also nicht löschen?

Hi,

Zitat:

mh btw. ich hab das mal mit den scans allen gemacht, jedoch eines ist nicht vista kompatibel, dass ich dann mit dem vista-intregrierten "Ausführen mit Windows xp service pack 2" ausgeführt habe, was dazu führte, das mein pc an einem blue screen endete. Ist das normal ?

Es gibt keine Garantie darauf, dass es auch funktinioniert wenn Vista sich als XP ausgibt. Kann also ein ganz normaler Fehler von MS gewesen sein und muss nicht Malware bedingt sein.

Zitat:

Und dann hab ich noch mit dem GM scanner ein Problem gehabt,

Wen meinst du mit GM?

Zitat:

Btw. seit nem Jahr oder so ist es doch auch schon möglich, viren in bildern zu verstecken, diese also nicht löschen?

Nein, man kann Dateien so preparieren, dass sie von einigen Programmen als Bilder und anderen als ausführbar erkannt werden, dass sind unterschiedliche Dinge.

Prinzipiell musst du nur bei Dateien aufpassen, die von Windows ausgeführt werden. (Oder Dateien die Schwachstellen in Windowsprogrammen ausnutzen, die Code-Ausführung erlauben).
Das wären die genannten exe, com, scr.

Bei den php und html Dateien solltest du aufpassen, weil einige Malware Webdateien um einen Link bereichern von dem aus weitere Malware heruntergeladen wird, sodass du dann mittels deiner Webpage Malware verteilen würdest.

lg myrtille

log.txt

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.05 (written by random/random)
Run by BENUTZER*** at 2009-03-19 17:36:58
Microsoft® Windows Vista™ Home Premium  Service Pack 1
System drive C: has 37 GB (24%) free of 158 GB
Total RAM: 3325 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:04, on 19.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\mobsync.exe
C:\Windows\System32\dfrgui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\BENUTZER***\Desktop\RSIT.exe
C:\Program Files\trend micro\BENUTZER***.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {2E1C1935-59F6-3AC0-BAE4-D54BED45236C} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - E:\Program Files\Gravity\RO\nProtect\npkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4312 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2E1C1935-59F6-3AC0-BAE4-D54BED45236C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=D:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HideSCAVolume"=1
"HideSCABattery"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b62704dc-f049-11dd-ba92-001d926d91a4}]
shell\AutoRun\command - J:\PStart.exe


======List of files/folders created in the last 1 months======

2009-03-19 17:36:58 ----D---- C:\Program Files\trend micro
2009-03-19 17:36:57 ----D---- C:\rsit
2009-03-19 16:48:27 ----D---- C:\Windows\system32\AGEIA
2009-03-19 16:48:17 ----D---- C:\Windows\DD1865F0AD7340FBB23E1822E02396FF.TMP
2009-03-19 16:48:15 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2009-03-19 16:46:43 ----D---- C:\NVIDIA
2009-03-19 16:03:07 ----N---- C:\Windows\system32\deleteme.txt
2009-03-19 15:47:41 ----D---- C:\Users\Benutzer ***\AppData\Roaming\ProtectDisc
2009-03-19 15:47:27 ----D---- C:\ProgramData\DATA BECKER Downloads
2009-03-19 15:46:37 ----D---- C:\Program Files\ProtectDisc Driver Installer
2009-03-19 15:46:37 ----D---- C:\Program Files\ProtectDisc
2009-03-19 15:46:35 ----D---- C:\Program Files\Common Files\DATA BECKER Shared
2009-03-19 14:52:27 ----D---- C:\ProgramData\Avira
2009-03-18 19:58:34 ----A---- C:\Windows\system32\Monitor.bak
2009-03-18 19:58:33 ----A---- C:\Windows\LMAAD2DD.ini
2009-03-18 19:34:38 ----D---- C:\ProgramData\PC Drivers HeadQuarters
2009-03-18 19:21:11 ----A---- C:\Windows\lmpcl2a.ini
2009-03-18 19:21:09 ----D---- C:\Program Files\Lexmark
2009-03-18 16:32:40 ----A---- C:\Windows\system32\msonpmon.dll
2009-03-18 16:31:14 ----D---- C:\Program Files\Microsoft Works
2009-03-18 16:30:45 ----D---- C:\Program Files\Microsoft Visual Studio
2009-03-18 16:30:45 ----D---- C:\Program Files\Common Files\DESIGNER
2009-03-18 16:28:07 ----D---- C:\Program Files\Microsoft Visual Studio 8
2009-03-16 19:12:27 ----D---- C:\ProgramData\Nokia
2009-03-16 19:11:37 ----D---- C:\Program Files\Nokia
2009-03-16 12:36:28 ----D---- C:\Users\Benutzer ***\AppData\Roaming\PC Suite
2009-03-16 12:36:20 ----D---- C:\Users\Benutzer ***\AppData\Roaming\Nokia
2009-03-16 12:36:20 ----D---- C:\ProgramData\PC Suite
2009-03-16 12:35:40 ----D---- C:\Program Files\Common Files\PCSuite
2009-03-16 12:35:36 ----D---- C:\Program Files\Common Files\Nokia
2009-03-16 12:35:30 ----D---- C:\Program Files\DIFX
2009-03-16 12:35:02 ----DC---- C:\Windows\system32\DRVSTORE
2009-03-16 12:34:51 ----D---- C:\Program Files\PC Connectivity Solution
2009-03-16 12:33:43 ----A---- C:\Windows\system32\nmwcdcls.dll
2009-03-16 12:33:19 ----D---- C:\ProgramData\Installations
2009-03-15 17:15:30 ----D---- C:\Users\Benutzer ***\AppData\Roaming\Ubisoft
2009-03-15 17:02:22 ----D---- C:\ProgramData\Ubisoft
2009-03-15 16:56:15 ----D---- C:\ProgramData\WindowsSearch
2009-03-15 12:09:18 ----D---- C:\ProgramData\Electronic Arts
2009-03-14 22:02:19 ----D---- C:\Users\Benutzer ***\AppData\Roaming\InstallShield Installation Information
2009-03-14 21:45:30 ----D---- C:\Program Files\AGEIA Technologies
2009-03-13 22:33:50 ----D---- C:\Users\Benutzer ***\AppData\Roaming\InstallShield
2009-03-13 19:52:02 ----D---- C:\UnrealTournament
2009-03-12 18:04:59 ----D---- C:\Users\Benutzer ***\AppData\Roaming\Malwarebytes
2009-03-12 18:04:55 ----D---- C:\ProgramData\Malwarebytes
2009-03-12 17:43:41 ----D---- C:\ProgramData\Google
2009-03-12 15:51:42 ----A---- C:\Windows\system32\wmploc.DLL
2009-03-12 15:51:42 ----A---- C:\Windows\system32\wmp.dll
2009-03-12 15:51:42 ----A---- C:\Windows\system32\spwmp.dll
2009-03-12 15:51:42 ----A---- C:\Windows\system32\dxmasf.dll
2009-03-12 15:51:13 ----A---- C:\Windows\system32\schannel.dll
2009-03-11 22:59:11 ----D---- C:\Users\Benutzer ***\AppData\Roaming\_0c082e07b28c744f7100756230a4f1c3
2009-03-08 22:12:10 ----D---- C:\Users\Benutzer ***\AppData\Roaming\TeamViewer
2009-03-04 20:21:11 ----D---- C:\Windows\SMALL CLIENT
2009-03-01 15:45:20 ----A---- C:\Windows\system32\perf-SQLAgent$SQLEXPRESS-sqlagtctr10.0.1600.22.dll
2009-03-01 15:45:10 ----A---- C:\Windows\system32\perf-MSSQL$SQLEXPRESS-sqlctr10.0.1600.22.dll
2009-03-01 15:44:17 ----D---- C:\Windows\system32\RsFx
2009-03-01 15:43:22 ----D---- C:\Program Files\Microsoft Visual Studio 9.0
2009-03-01 15:43:12 ----D---- C:\Windows\system32\1033
2009-03-01 15:43:12 ----D---- C:\Windows\system32\1031
2009-03-01 15:41:00 ----D---- C:\Program Files\Microsoft SQL Server
2009-03-01 15:39:00 ----D---- C:\Program Files\Microsoft.NET
2009-03-01 15:38:52 ----D---- C:\Program Files\Common Files\Merge Modules
2009-03-01 15:37:45 ----D---- C:\Program Files\Microsoft SDKs
2009-02-28 17:10:15 ----D---- C:\Users\Benutzer ***\AppData\Roaming\Notepad++
2009-02-27 17:02:25 ----D---- C:\Program Files\Common Files\INCA Shared
2009-02-27 16:39:08 ----A---- C:\Windows\IFinst27.exe
2009-02-24 21:14:29 ----A---- C:\Windows\system32\unicows.dll
2009-02-24 16:18:39 ----D---- C:\Users\Benutzer ***\AppData\Roaming\GetRightToGo
2009-02-23 23:44:24 ----A---- C:\Windows\TOOLPAL.INI
2009-02-23 23:31:36 ----A---- C:\Windows\uninst.exe
2009-02-23 23:18:32 ----D---- C:\Program Files\Microsoft Silverlight
2009-02-21 14:01:47 ----D---- C:\Program Files\Windows Live Safety Center
2009-02-21 13:09:16 ----A---- C:\Windows\system32\DATA.INI
2009-02-20 21:36:26 ----D---- C:\Program Files\Microsoft
2009-02-20 21:21:16 ----D---- C:\Program Files\Common Files\Windows Live

======List of files/folders modified in the last 1 months======

2009-03-19 17:37:04 ----D---- C:\Windows\Prefetch
2009-03-19 17:36:58 ----RD---- C:\Program Files
2009-03-19 17:02:23 ----D---- C:\Windows\System32
2009-03-19 17:02:23 ----D---- C:\Windows\inf
2009-03-19 17:02:23 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-03-19 16:57:31 ----D---- C:\Windows\Temp
2009-03-19 16:55:57 ----D---- C:\Users\Benutzer ***\AppData\Roaming\uTorrent
2009-03-19 16:55:50 ----SHD---- C:\Boot
2009-03-19 16:55:50 ----D---- C:\Windows\system32\config
2009-03-19 16:51:04 ----D---- C:\Windows
2009-03-19 16:50:26 ----D---- C:\ProgramData\NVIDIA
2009-03-19 16:48:32 ----SHD---- C:\Windows\Installer
2009-03-19 16:48:15 ----D---- C:\Program Files\Common Files
2009-03-19 16:47:41 ----D---- C:\Windows\system32\drivers
2009-03-19 16:47:31 ----D---- C:\Windows\system32\catroot
2009-03-19 16:47:30 ----D---- C:\Windows\system32\catroot2
2009-03-19 16:47:25 ----SHD---- C:\System Volume Information
2009-03-19 16:05:40 ----D---- C:\Windows\Debug
2009-03-19 15:47:27 ----HD---- C:\ProgramData
2009-03-19 15:47:21 ----D---- C:\Windows\system32\Tasks
2009-03-18 23:07:46 ----D---- C:\ProgramData\Microsoft Help
2009-03-18 23:04:40 ----RSD---- C:\Windows\assembly
2009-03-18 21:25:43 ----SD---- C:\Users\Benutzer ***\AppData\Roaming\Microsoft
2009-03-18 21:20:56 ----HD---- C:\Program Files\InstallShield Installation Information
2009-03-18 19:36:25 ----D---- C:\Windows\Microsoft.NET
2009-03-18 16:32:59 ----D---- C:\Windows\winsxs
2009-03-18 16:31:08 ----D---- C:\Program Files\Common Files\microsoft shared
2009-03-18 16:31:02 ----D---- C:\Program Files\MSBuild
2009-03-18 16:30:43 ----D---- C:\Windows\ShellNew
2009-03-18 16:30:26 ----RSD---- C:\Windows\Fonts
2009-03-18 16:30:14 ----SD---- C:\ProgramData\Microsoft
2009-03-18 16:27:43 ----A---- C:\Windows\win.ini
2009-03-18 16:27:42 ----D---- C:\Program Files\Common Files\System
2009-03-13 13:03:40 ----D---- C:\Program Files\Windows Media Player
2009-03-13 13:03:40 ----D---- C:\Program Files\Windows Mail
2009-03-12 18:00:14 ----D---- C:\Windows\Minidump
2009-03-12 17:43:41 ----D---- C:\Program Files\Google
2009-03-12 17:43:40 ----D---- C:\Windows\Tasks
2009-03-12 17:31:47 ----D---- C:\Program Files\Common Files\Adobe
2009-03-12 17:31:17 ----D---- C:\Users\Benutzer ***\AppData\Roaming\Adobe
2009-03-12 17:30:35 ----D---- C:\ProgramData\Adobe
2009-03-12 15:43:37 ----SHD---- C:\RECYCLER
2009-03-12 15:43:36 ----D---- C:\Windows\system32\wbem
2009-03-12 15:42:51 ----D---- C:\Windows\system32\spool
2009-03-12 15:42:51 ----D---- C:\Windows\system32\Msdtc
2009-03-12 15:42:49 ----D---- C:\Windows\registration
2009-02-26 22:43:41 ----A---- C:\Windows\WpePro_0delay.INI
2009-02-26 22:24:43 ----A---- C:\Windows\WPE PRO - modified.INI
2009-02-25 12:55:00 ----A---- C:\Windows\system32\mrt.exe
2009-02-23 12:46:27 ----D---- C:\Program Files\Common Files\Nero
2009-02-23 12:46:08 ----D---- C:\ProgramData\Nero
2009-02-23 12:32:21 ----A---- C:\Windows\Irremote.ini
2009-02-23 12:17:49 ----D---- C:\Users\Benutzer ***\AppData\Roaming\Dev-Cpp
2009-02-21 12:21:48 ----D---- C:\ProgramData\Messenger Plus!
2009-02-20 21:36:21 ----D---- C:\Program Files\Windows Live

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\D:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-02-13 95576]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R2 acedrv11;acedrv11; \??\C:\Windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-02-13 55640]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032.sys [2008-09-26 215680]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 KMWDFILTER;HIDUASDesc; C:\Windows\system32\DRIVERS\KMWDFILTER.sys [2008-10-09 17408]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-02-18 7765504]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys []
S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\Windows\system32\DRIVERS\BthEnum.sys [2009-01-04 19456]
S3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-19 92160]
S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2009-01-04 220160]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2009-01-04 29184]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 EagleNT;EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys []
S3 FETNDIS;VIA Rhine-Familie--Fast-Ethernet-Adaptertreiberdienst; C:\Windows\system32\DRIVERS\fetnd5.sys [2006-11-02 45568]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NAL;Nal Service ; \??\C:\Windows\system32\Drivers\iqvw32.sys [2008-10-07 30816]
S3 npkcrypt;npkcrypt; \??\E:\Program Files\Gravity\RO - Kopie (2)\npkcrypt.sys [2005-02-01 21442]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\Windows\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 2028032]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2008-01-19 49664]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-19 73088]
S4 RsFx0102;RsFx0102 Driver; C:\Windows\system32\DRIVERS\RsFx0102.sys [2008-07-10 242712]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; D:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
R2 AntiVirService;Avira AntiVir Guard; D:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 DBService;DATA BECKER Update Service; C:\Program Files\Common Files\DATA BECKER Shared\DBService.exe [2009-01-08 187456]
R2 MSSQL$SQLEXPRESS;SQL Server (SQLEXPRESS); C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe [2008-07-11 40999448]
R2 npkcmsvc;npkcmsvc; E:\Program Files\Gravity\RO\nProtect\npkcmsvc.exe [2009-02-27 88728]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-02-18 207392]
R2 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2008-07-10 98840]
S2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe []
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; D:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2008-01-19 21504]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory; C:\Program Files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2008-07-11 47128]
S4 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2009-02-02 66872]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS); C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2008-07-11 369688]
S4 SQLBrowser;SQL Server Browser; C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2008-07-10 258072]

-----------------EOF-----------------
         

fsbl-20090319170219.log:

Code: Alles auswählenAufklappen

ATTFilter

03/19/09 18:02:19 [Info]: BlackLight Engine 1.0.67 initialized
03/19/09 18:02:19 [Info]: OS: 6.0 build 6001 (Service Pack 1)
03/19/09 18:02:19 [Note]: 7019 4
03/19/09 18:02:19 [Note]: 7005 0
03/19/09 18:02:37 [Note]: 7006 0
03/19/09 18:02:37 [Note]: 7027 0
03/19/09 18:02:37 [Note]: 7026 0
03/19/09 18:02:37 [Note]: 7026 0
03/19/09 18:02:39 [Note]: FSRAW library version 1.7.1024
03/19/09 18:02:45 [Note]: 4015 414697
03/19/09 18:02:45 [Note]: 4027 414697 65536
03/19/09 18:02:45 [Note]: 4020 414696 65536
03/19/09 18:02:45 [Note]: 4022 414696
03/19/09 18:02:58 [Note]: 4015 28649
03/19/09 18:02:58 [Note]: 4027 28649 131072
03/19/09 18:02:58 [Note]: 4020 27419 262144
03/19/09 18:02:58 [Note]: 4018 27419 262144
03/19/09 18:05:22 [Note]: 4015 1991
03/19/09 18:05:22 [Note]: 4027 1991 131072
03/19/09 18:05:22 [Note]: 4020 1990 196608
03/19/09 18:05:22 [Note]: 4018 1990 196608
03/19/09 18:05:22 [Note]: 4015 1992
03/19/09 18:05:22 [Note]: 4027 1992 131072
03/19/09 18:05:22 [Note]: 4020 1991 131072
03/19/09 18:05:22 [Note]: 4018 1991 131072
03/19/09 18:05:23 [Note]: 4015 1991
03/19/09 18:05:23 [Note]: 4027 1991 131072
03/19/09 18:05:23 [Note]: 4020 1990 196608
03/19/09 18:05:23 [Note]: 4018 1990 196608
03/19/09 18:05:40 [Note]: 7007 0