...und hier das gekürzte info-file:

info.txt logfile of random's system information tool 1.06 2009-05-15 23:56:12

======Uninstall list======

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0B21B14F-403B-442E-86E1-3A912D70033D}\Setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11E83B33-972B-4512-A447-FF0FD0246EE9}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BFBC62A-3353-443D-93BE-7AC641D9F342}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3C1B8CBC-9118-11D7-86D3-00055DF3561E}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B100B05B-E290-41EF-9366-8BC4C76D7769}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FAD9402A-1A9B-4ABE-A410-393A3622FA5A}\setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 5.0 Sprint Plus-->MsiExec.exe /X{D1696920-9794-4BBC-8A30-7A88763DE5A2}
ACDSee 6.0 Standard-->MsiExec.exe /I{083C54E1-22E9-415F-9CB8-3A8A31905305}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Audacity 1.3.6 (Unicode)-->"C:\Programme\Audacity 1.3 Beta (Unicode)\unins000.exe"
Audiograbber 1.83 SE -->"C:\Programme\Audiograbber\Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Build Your Own Net Dream (remove only)-->C:\Programme\BYOND\Uninst.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
DMIView-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Gigabyte\DMIView\Uninst.isu
DVD Solution-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
EPSON CardMonitor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst
EPSON Copy Utility-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B69CC1A5-0404-11D6-ABCB-005004C21D30}\setup.exe" -l0x7 ADDREMOVEDLG
EPSON Photo Print-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1349B2BD-3B1E-4D25-BF6E-1BBAE2DD2F67}\setup.exe" -l0x7 MyUninstall
EPSON PhotoStarter3.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst
EPSON PRINT Image Framer Tool2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
EPSON Scan-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0131B2-CF18-40D9-A331-60A3746C1204}\SETUP.EXE" -l0x7 UNINSTALL
EPSON Smart Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall
EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /r
ETC B06.0828.01-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C6105B4-2A33-4ADB-89A0-F423D562F3B9}\setup.exe" -l0x9 -removeonly
EXPERTool-->RunDll32 Setupapi.dll,InstallHinfSection TB.Remove 4 TBNT4.inf
Feurio! CD-Writer-->msvcrt.dll
ffdshow [rev 2033] [2008-07-05]-->"C:\Programme\ffdshow\unins000.exe"
Filzip 3.06-->"C:\Programme\Filzip\unins000.exe"
FLV Player 2.0 (build 25)-->C:\Programme\FLV Player\uninst.exe
FLV Player-->"C:\WINDOWS\FLV Player\uninstall.exe" "/U:C:\Programme\FLV Player\Uninstall\uninstall.xml"
Fritz7-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D952A9F5-E24D-4264-86B7-79160E361EE8}\Setup.exe"
GIMP 2.6.5-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Gothic II - Die Nacht des Raben-->C:\PROGRA~1\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~1\JoWooD\GOTHIC~1\INSTALL.LOG
Gothic II-->C:\PROGRA~1\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~1\JoWooD\GOTHIC~1\INSTALL.LOG
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Matze\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ 5.1-->C:\Programme\ICQLite\ICQLiteUninstall.EXE
Indeo® Software-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Ligos\Indeo\Uninst.isu -c"C:\Programme\Ligos\Indeo\Indeo System Files\indounin.dll"
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{553E56C3-7AA1-45FE-A2FC-2C43DC27F765}
J2SE Runtime Environment 5.0 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150070}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MediaShow 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D5A9B7C0-8751-11D8-9D75-000129760D75}\setup.exe" -uninstall
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Baseline Security Analyzer 2.0.1-->MsiExec.exe /I{7F231232-C309-4401-964A-2A002B6E1ED9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office PowerPoint Viewer 2007 (English)-->MsiExec.exe /X{95120000-00AF-0409-0000-0000000FF1CE}
Microsoft RAW Image Thumbnailer and Viewer for Windows XP Version 1.0 (Build 50)-->MsiExec.exe /X{2E5A5B57-57FC-4C79-A239-9DB280ADEC2A}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Virtual PC 2007-->MsiExec.exe /X{8A7CAA24-7B23-410B-A7C3-F994B0944160}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MozBackup 1.4.9-->C:\Programme\MozBackup\Uninstall.exe
Mozilla Firefox (3.0.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.21)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
muvee autoProducer 3.5 magicMoments-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{68AD6F25-07A0-4CFE-9555-A30633329B08}\Setup.exe" -l0x7
NVIDIA Drivers-->C:\WINDOWS\System32\nvudisp.exe UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
PC Inspector File Recovery-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x7
PhotoNow! 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.exe" -uninstall
PIF DESIGNER2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59B9F-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
Power2Go 5.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" -uninstall
PowerBackup 2.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ADD5DB49-72CF-11D8-9D75-000129760D75}\setup.exe" -uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall
Prime95-->"C:\Programme\Prime95\Uninstall.exe" "C:\Programme\Prime95\install.log"
Prism Video Converter-->C:\Programme\NCH Software\Prism\uninst.exe
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
Real Alternative 1.52-->"C:\Programme\Real Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x7 -removeonly
Retrospect 6.5-->MsiExec.exe /I{73B69C5C-87D6-471E-B695-0BD736C4B644}
Samsung ML-1610 Series-->C:\WINDOWS\Samsung\ML-1610\SETUP.EXE
ScanToWeb-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\setup.exe" ADDREMOVEDLG
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
...

...
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
SilverFast DC-VLT CD Dokumentation 6.4.0-->"C:\Programme\LaserSoft\unins000.exe"
SilverFast DC-VLT Dokumentation 6.4.0-->"C:\Programme\LaserSoft\Documentation\DCPro\D\unins000.exe"
SilverFast DC-VLT-SAMSUNG-->"C:\Programme\LaserSoft\SilverFast DC-VLT-SAMSUNG\unins000.exe"
Simplyzip (remove only)-->C:\Programme\Simplyzip\Uninst.exe
SpeedFan (remove only)-->"C:\Programme\SpeedFan\uninstall.exe"
Stronghold-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C917BA70-28A3-4C74-B163-41FD8C8E1A5A}\setup.exe"
SUPER © Version 2008.bld.30 (Mar 22, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TerraTec Home Cinema-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63B9BAB5-F36A-4A3B-9E5C-68A7F212BFB9}\setup.exe" -l0x7
Thermal Analysis Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6B2C675E-8040-431B-99C4-137DF4FBF75A}\setup.exe" -l0x9 -removeonly
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
...

...
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
V1.1b-->"C:\Programme\CyberMistress\unins004.exe"
VideoLAN VLC media player 0.8.6a-->C:\Programme\VideoLAN\VLC\uninstall.exe
Virtual Cable Tester-->MsiExec.exe /X{3D654496-9C3D-4565-858C-3E551ECDA4E2}
WD Media Center Driver-->MsiExec.exe /X{3F70FB44-FD00-4ED2-9154-661AA9DB0B28}
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
XviD MPEG-4 Codec-->"C:\Programme\XviD\UninstXviD.exe"

=====HijackThis Backups=====

O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOKUME~1\Matze\LOKALE~1\Temp\477464178.exe [2009-05-15]
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1604462724.exe (User 'SYSTEM') [2009-05-15]
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll [2009-05-15]

======Security center information======

AV: Avira AntiVir PersonalEdition (disabled)

======System event log======

Computer Name: LIANLI
Event Code: 3005
Message: Windows-Defender Real-Time Protection agent has taken action to protect this machine from spyware or other potentially unwanted software.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {338BE503-924B-45F5-9ABF-BB511E1BDAFA}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Alert Type: Nicht klassifizierte Software

Action: Ignorieren

Record Number: 8594
Source Name: WinDefend
Time Written: 20090427171811.000000+120
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 3004
Message: Windows-Defender Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Windows-Defender can't undo changes that you allow.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {338BE503-924B-45F5-9ABF-BB511E1BDAFA}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Path Found: clsid:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};bho:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};file:C:\WINDOWS\system32\yhs783ijfo3fe.dll

Alert Type: Nicht klassifizierte Software

Detection Type:

Record Number: 8593
Source Name: WinDefend
Time Written: 20090427171811.000000+120
Event Type: Warnung
User:

Computer Name: LIANLI
Event Code: 3005
Message: Windows-Defender Real-Time Protection agent has taken action to protect this machine from spyware or other potentially unwanted software.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {C36FCDAB-9401-4BE5-A2C1-9753A238FF72}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Alert Type: Nicht klassifizierte Software

Action: Ignorieren

Record Number: 8592
Source Name: WinDefend
Time Written: 20090427171041.000000+120
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 3004
Message: Windows-Defender Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Windows-Defender can't undo changes that you allow.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {C36FCDAB-9401-4BE5-A2C1-9753A238FF72}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Path Found: clsid:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};regkey:HKLM\SOFTWARE\CLASSES\CLSID\{B2BA40A2-74F0-42BD-F434-12345A2C8953};bho:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953};file:C:\WINDOWS\system32\yhs783ijfo3fe.dll

Alert Type: Nicht klassifizierte Software

Detection Type:

Record Number: 8591
Source Name: WinDefend
Time Written: 20090427171041.000000+120
Event Type: Warnung
User:

Computer Name: LIANLI
Event Code: 3005
Message: Windows-Defender Real-Time Protection agent has taken action to protect this machine from spyware or other potentially unwanted software.

For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409

Scan ID: {DAAE1800-9435-4ECC-9845-61A0DCC21FCD}

User: LIANLI\Matze

Name: Unknown

ID:

Severity: Noch nicht klassifiziert

Category: Noch nicht klassifiziert

Alert Type: Nicht klassifizierte Software

Action: Ignorieren

Record Number: 8590
Source Name: WinDefend
Time Written: 20090427170850.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: LIANLI
Event Code: 1524
Message: Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.



Record Number: 2520
Source Name: Userenv
Time Written: 20080204232639.000000+060
Event Type: Warnung
User: LIANLI\Matze

Computer Name: LIANLI
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2519
Source Name: LoadPerf
Time Written: 20080204162620.000000+060
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 2518
Source Name: LoadPerf
Time Written: 20080204162620.000000+060
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 0
Message:
Record Number: 2517
Source Name: iPod Service
Time Written: 20080204162235.000000+060
Event Type: Informationen
User:

Computer Name: LIANLI
Event Code: 3002
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurde ein Fehler festgestellt. Er konnte daraufhin nicht gestartet werden

Benutzer: LIANLI\Matze

Agent: AutoStartAgent

Fehlercode: 0x8007139f

Fehlerbeschreibung: Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.

Record Number: 2516
Source Name: WinDefendRtp
Time Written: 20080204162234.000000+060
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=0f02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

Lade bitte in der Zwischenzeit diese Datei bei uns hoch:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\1wd.exe
         

ciao, andreas

Kaspersky loaded das Update der Virendatenbank runter. 55 MB und eine sehr langsame Verbindung, das wird also noch mindestens eine halbe Stunde dauern.

Macht nichts, habe noch jede Menge Aufgaben für dich, die du zwischendurch abarbeiten kannst.

Erstelle ein Filelisting.

• Lade die Datei File-Upload.net - listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

1wd.exe ist hoch.

Der Link zu listing.txt:

http://www.materialordner.de/GgYXcs3T7lZdOePirFkuyvvCMVey3K8y.html

Und wieder etwas ganz neues, das noch kaum jemand entdeckt:

Code: Alles auswählenAufklappen

ATTFilter

Datei 1wd.exe empfangen 2009.05.16 00:21:14 (CET)
Status:    Beendet 
Ergebnis: 6/39 (15.39%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.15	-
AhnLab-V3	5.0.0.2	2009.05.15	-
AntiVir	7.9.0.168	2009.05.15	-
Antiy-AVL	2.0.3.1	2009.05.15	-
Authentium	5.1.2.4	2009.05.15	-
Avast	4.8.1335.0	2009.05.15	-
AVG	8.5.0.336	2009.05.15	Win32/Cryptor
BitDefender	7.2	2009.05.15	-
CAT-QuickHeal	10.00	2009.05.15	-
ClamAV	0.94.1	2009.05.15	-
Comodo	1157	2009.05.08	-
DrWeb	5.0.0.12182	2009.05.15	-
eSafe	7.0.17.0	2009.05.14	Suspicious File
eTrust-Vet	31.6.6507	2009.05.15	-
F-Prot	4.4.4.56	2009.05.15	-
F-Secure	8.0.14470.0	2009.05.15	-
Fortinet	3.117.0.0	2009.05.15	-
GData	19	2009.05.15	-
Ikarus	T3.1.1.49.0	2009.05.15	-
K7AntiVirus	7.10.735	2009.05.14	-
Kaspersky	7.0.0.125	2009.05.15	-
McAfee	5616	2009.05.15	-
McAfee+Artemis	5616	2009.05.15	Artemis!D73304F70403
McAfee-GW-Edition	6.7.6	2009.05.15	-
Microsoft	1.4602	2009.05.15	-
NOD32	4080	2009.05.15	-
Norman	6.01.05	2009.05.14	-
nProtect	2009.1.8.0	2009.05.15	-
Panda	10.0.0.14	2009.05.15	Suspicious file
PCTools	4.4.2.0	2009.05.15	-
Prevx	3.0	2009.05.16	High Risk Cloaked Malware
Rising	21.29.44.00	2009.05.15	-
Sophos	4.41.0	2009.05.16	-
Sunbelt	3.2.1858.2	2009.05.15	Trojan.Crypt.FKM.Gen (v)
Symantec	1.4.4.12	2009.05.16	-
TheHacker	6.3.4.1.326	2009.05.15	-
TrendMicro	8.950.0.1092	2009.05.15	-
VBA32	3.12.10.5	2009.05.15	-
ViRobot	2009.5.15.1737	2009.05.15	-
weitere Informationen
File size: 29937 bytes
MD5...: d73304f70403d6d32fcb1d135dc69824
SHA1..: b87b49fb57bdb364741584d957d2ea6da10db410
SHA256: e63692a9f9d1d46aa119c3d9b31dd41c146ea2d357084457f1203c7820e623c5
SHA512: 5880dd66a356f54a338ca0b9be1f70c5619cb06e6eaf712f4f72d5fe0a15b608
c8b104ed190eaea0eface424663a643cd5c414b6cc7fda28ac63f11b83e4a7a7
ssdeep: 768:bwsY0DABQLW6Vd177qm9gD0tuijdaNZJGMllvsX:bZnEBQLzdJ7eoy/nlZsX
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6c0c
timedatestamp.....: 0x47d59d5e (Mon Mar 10 20:43:10 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x684a 0x6a00 7.70 ccd78e59b65e30ef63b6ace400597c48
.data 0x8000 0x186b2 0x600 6.47 648d23dab379c8ca77609e50026d9507

( 4 imports ) 
> ADVAPI32.dll: GetSidSubAuthorityCount, OpenServiceW, LookupPrivilegeValueW, QueryServiceConfigW, IsValidSecurityDescriptor, MapGenericMask
> USER32.dll: GetDC, RemoveMenu, InsertMenuW, ShowWindow, GetWindowThreadProcessId, PostMessageW
> ntdll.dll: ZwExtendSection, RtlImpersonateSelf, RtlDestroyAtomTable, NtQueryInformationProcess, RtlEqualUnicodeString, RtlTraceDatabaseCreate, ZwAdjustPrivilegesToken, ZwQueryInformationFile
> ole32.dll: CoTaskMemFree, CoRegisterPSClsid, OleLockRunning, CoGetObject, OleDoAutoConvert, OleSetAutoConvert, CoFreeLibrary, OleDraw

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=d73304f70403d6d32fcb1d135dc69824' target='_blank'>http://www.threatexpert.com/report.aspx?md5=d73304f70403d6d32fcb1d135dc69824</a>
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=852913F4F1B198BD74E400B5B6578400524533E0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=852913F4F1B198BD74E400B5B6578400524533E0</a>
         

Irgendwie bin ich mir ziemlich sicher, dass es nicht der letzte Fund ist.

ciao, andreas

Vielleicht sollte ich doch einfach die Partition plattmachen und Windows neu aufspielen. Schheint ja kein Ende zu nehmen.

Ja, gut das du das vorschlägst. Lade vorher noch diese hier hoch:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\fuwdsjpob
         

Kannst du dich erinnern, wie das ganze angefangen hat? Irgendein Download? Ich bin noch immer auf der Suche nach der Ursache, der Rustock nimmt langsam überhand hier.

ciao, andreas

Nee, kann die Probleme nicht an einer Aktion festmachen. Das System ist zwei Jahre gelaufen; und ich dachte ja auch, ich hätte was für die Sicherheit getan. Kam schlagartig.

Hm, schade, muss ich weiter suchen, irgendwann komme ich schon drauf, aber bei dir sieht es mehr nach Exploit aus. Mit welchem Browser bist du normalerweise unterwegs? Benutzt du auch ab und zu den MSIE?

Neuaufsetzen oder Bereinigen liegt jetzt bei dir, aber du hast ja selbst gesehen, Kaspersky erkennt das Teil noch nicht, Avira genausowenig. Prevx würde folgen, aber der hat in einem anderen Fall so viele FPs (Falschmeldungen) rausgehauen, dass es schon nicht mehr feierlich war.

Dann bitte ich dich noch um einen Gefallen, packe den Ordner C:\Qoobox (da sind die Funde von Combofix drin) mit ZIP oder RAR, schalte aber vorher deinen Virenwächter ab und danach gleich wieder an, lade es bei einem Filehoster hoch und schicke mir den Link als PN.

ciao, andreas

C:\Qoobox finde ich nicht; auch der Suchassistent nicht (Suche Dateien/Ordner Arbeitsplatz).
Browser ist Firefox 3.08, IE so gut wie nie, und wenn, ohne ActiveX.
Macht es Sinn, auf Kaspersky online zu warten? Der Download steht jetzt bei 50%.

Zitat:

C:\Qoobox finde ich nicht;

Kannst du auch nicht, ich habe es längst deinstallieren lassen.

Zitat:

IE so gut wie nie

Einmal die falsche Adresse aufrufen oder ein falscher Klick reicht, wie bei diesem Fall hier: netzwelt.de Forum - Einzelnen Beitrag anzeigen - Neuling hat Probleme bei Pro7 Videos

Zitat:

Macht es Sinn, auf Kaspersky online zu warten?

Nein.

Weil es schneller geht und sicherer ist: http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Der Vollständigkeit halber hier noch der Kaspersky-Scan:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 16. Mai 2009 11:40:59
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 15/05/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1977643
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
G:\
H:\
I:\
J:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 120620
Viren gefunden: 12
Infizierte Objekte gefunden: 55
Verdächtige Objekte gefunden: 14
Untersuchungszeit: 01:35:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-06172007-140042.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Citizens Bank and Charter One Bank" <businessclients.refLW2180][Date 14 Aug 2007 01:20:20 +0200 (add][Subj Citizens Bank and Charter One Bank: confirm your details! (mess]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Citizens bank" <clientserviceteam.refU3419342048H.gps@citizens][Date 5 Sep 2007 00:35:32 +0200 (adde][Subj Citizens Bank customer service: security issues! (message id: T]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
...
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip/Mahnung/Mahnung.pif Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Inbox MailBerkeleymbox: infiziert - 16, verdächtig - 7 übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Elektra heilmann " <tenis-request@sportsya.com>][Date 24 Oct 2008 13:38:32][Subj Inkasso]/Rechnung.zip/zertifikat.ssl Infizierte Objekte: Worm.Win32.Downloader.wh übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Elektra heilmann " <tenis-request@sportsya.com>][Date 24 Oct 2008 13:38:32][Subj Inkasso]/Rechnung.zip Infizierte Objekte: Worm.Win32.Downloader.wh übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Sonia ehlen " <jwq@boomtownmail.com>][Date 24 Oct 2008 20:56:25][Subj Inkasso]/Anhang.zip/Rechnung.scr Infizierte Objekte: Trojan-Downloader.Win32.Agent.algj übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Sonia ehlen " <jwq@boomtownmail.com>][Date 24 Oct 2008 20:56:25][Subj Inkasso]/Anhang.zip Infizierte Objekte: Trojan-Downloader.Win32.Agent.algj übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip/Mahnung/Mahnung.pif Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Thunderbird\Profiles\a9drt4dp.default\Mail\pop.tiscali-1.de\Trash MailBerkeleymbox: infiziert - 6 übersprungen
C:\Dokumente und Einstellungen\Matze\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmk25ws.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\temp\etilqs_69EYcSOJbbARdewJGk12 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009051620090517\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UJO9UB\lsp[2].exe Infizierte Objekte: Trojan-Downloader.Win32.FraudLoad.ekj übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_764.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\Mail\pop3.lycos.de\Inbox/[From "Stefan Knerrich" <stefan.knerrich@web.de>][Date 29 Apr 2003 19:14:48][Subj JOVUUE]/COHEJ.JPG.zlv Infizierte Objekte: Email-Worm.VBS.LoveLetter übersprungen
I:\Eigene Dateien\Backup\Mozilla\Profiles\default\y2x6w71x.slt\Mail\pop3.lycos.de\Inbox MailBerkeleymbox: infiziert - 1 übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Inbox/[From "Citizens Bank and Charter One Bank" <businessclients.refLW2180][Date 14 Aug 2007 01:20:20 +0200 (add][Subj Citizens Bank and Charter One Bank: confirm your details! (mess]/html Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen übersprungen
...
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip/Mahnung/Mahnung.pif Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Trash/[From "Gulja klockner " <oxnwg@bleuconseils.com>][Date 25 Oct 2008 20:24:51][Subj Abmahnung Nr4655]/Mahnung.zip Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv/Mail/pop.tiscali-1.de/Trash Infizierte Objekte: Trojan.Win32.Agent.akcv übersprungen
I:\Eigene Dateien\Rettung\Thunderbird 2.0.0.21 (de) - 2009-04-27.pcv ZIP: infiziert - 24, verdächtig - 7 übersprungen
I:\Mail\pop.web.de\Inbox/[From "Sparkassen-Finanzportal GmbH" <sparkasse-amberg-sulzbach@t-onl][Date 25 Jun 2006 21:12:19][Subj Achtung! Fur alleSparkassen-Finanzportal GmbH Kunden]/html Infizierte Objekte: Trojan-Spy.HTML.Sparfraud.g übersprungen
I:\Mail\pop.web.de\Inbox/[From "Sparkassen-Finanzportal GmbH" <root@sparkasse-emh.de>][Date 22 Aug 2006 05:42:52][Subj Wichtige Mitteilung der Sicherheitsteam der Sparkasse]/html Infizierte Objekte: Trojan-Spy.HTML.Sparfraud.g übersprungen
I:\Mail\pop.web.de\Inbox MailBerkeleymbox: infiziert - 2 übersprungen

Die Untersuchung wurde abgeschlossen.

Die Mails können nicht die Ursache sein, da ich sie in Thunderbird grundsätzlich nur im Textmodus öffne -und solche wie die genannten sowieso nicht.
Du hast recht, ich werde das System neu aufsetzen, desinfizieren hat keinen Sinn.
Bezüglich dessen: alle im Link genannten Sicherheitshinweise -bis auf das eingeschränkte Konto- hatte ich beachtet: hätte damit das Chaos vermieden werden können? (auf das Problem vor dem Bildschirm brauchst Du mich nicht noch einmal hinzuweisen...)

Zitat:

Die Mails können nicht die Ursache sein, da ich sie in Thunderbird grundsätzlich nur im Textmodus öffne -und solche wie die genannten sowieso nicht.

Das ist doch schonmal ein guter Anfang.

Zitat:

Du hast recht, ich werde das System neu aufsetzen, desinfizieren hat keinen Sinn.

Es geht hauptsächlich um die Zeit. Da ich keinen klaren Anhaltspunkt habe, kommt mir jede Datei und jeder Ordner mittlerweile verdächtig vor.

Zitat:

Bezüglich dessen: alle im Link genannten Sicherheitshinweise -bis auf das eingeschränkte Konto- hatte ich beachtet: hätte damit das Chaos vermieden werden können?

Klicke auf die letzten beiden Links in meiner Signatur und lies alles aufmerksam. Ich habe nach allen üblichen Einfallstoren gesucht. Mehr als 90% unserer "Kunden" infizieren sich, weil sie sich bei meiner "Anleitung" an Punkt 1 und 6 halten. Bei dir ist dafür aber nicht der geringste Hinweis zu finden. Du benutzt kein Torrent, das sind keine Keygens, Cracks o.ä. Allerdings finden sich zahlreiche Hinweise auf den Punkt 7. Darüber einfach mal nachdenken. Also ich sehe jetzt nur zwei Möglichkeiten:

1.) Exploits, schlicht und ergreifend nicht mit dem MSIE surfen, niemals (einzige Ausnahme, Windowsupdates und Onlinevirenscans).

2.) Codecs oder Mediaplayer (bei dir findet sich der FLV Player, an sich legitim, aber die Schädlinge tarnen sich gerne so), die einem besonders gerne auf Schmuddelseiten untergejubelt werden.

Zitat:

(auf das Problem vor dem Bildschirm brauchst Du mich nicht noch einmal hinzuweisen...)

Wenn du es schon kennst, dann ist das ein guter weiterer Schritt zum Leben ohne Kompromittierung.

Und jetzt: http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen.

ciao, andreas