Trojaner / Rootkit

Holo · 18.05.2009, 17:15

Hilfe gebraucht, wiederkehrende Trojaner, Rootkit?

Seit ca 2 Wochen findet Antivir immer wieder Diverse Trojaner, und alle Versuche diese zu entfernen schlagen fehl. Nach einer Entfernung sind sie nach dem nächsten Pc-Start wieder drauf, vor allem die datein
protect.dll und chkdsk.dll, sowie eine lmn_setup.exe , aber auch andere werden als Trojaner erkannt, gelöscht, und finden sich danach wieder auf dem System.

Eine Auswirkung ist dass mein system mit immer neuen Trojanern einedeckt wird, eine andere dass immer wieder Seltsame Programme im Taskmanager auftauchen, die sich nicht killen lassen bzw sofort wieder gestartet werden, und dass Sämtliche Browser (Ich benutz Opera, Msie, Firefox) beim Anklicken eines Beliebigen Links Umleitungen auf diverse Seiten durchführen, an denen unter anderem irgendwelche Javascripts oder active-x Steuerelemente gestartet werden wollen, die ich natürlich nicht ausführen lasse.

Ich bin nun bei Gott kein experte, aber das hört sich sehr schlecht an oder?

Ich hab nicht viel Erfahrung, aber dieses Forum öfter als Leser besucht um Hilfe zu suchen, aber leider hat dies nicht den gewünschen Erfolg gebracht.

Betriebssystem ist Windows XP Professional mit Service Pack 3.

CCleaner Systembereinigung wurde nach der Anleitung durchgeführt.

Malware bytes findet 7-8 Einträge, Zur Entfernung mancher Dateien ist ein Neustart notwendig, jedoch funktioniert diese Entfernung nicht, da der Pc einfriert oder eine Fehlermeldung nach dem Neustart auftaucht. Ein neuerlicher Scan zeigt die identischen Einträge:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2147
Windows 5.1.2600 Service Pack 3

18.05.2009 17:51:31
mbam-log-2009-05-18 (17-51-31).txt

Scan-Methode: Vollständiger Scan (F:\|)
Durchsuchte Objekte: 115693
Laufzeit: 17 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
F:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\Temp\msb.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Rob\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Rob\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\Temp\msb.dll (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\system32\lmn_setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

So des weiteren ein Log von Hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:34, on 18.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Java\jre6\bin\jusched.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\rundll32.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Java\jre6\bin\jqs.exe
\?\globalroot\F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Opera\Opera.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [autochk] rundll32.exe F:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [autochk] rundll32.exe F:\DOKUME~1\Rob\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222321500721
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5725 bytes

Das Programm "Gmer" entdeckt ein vermutliches Rootkit , copy und paste:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-18 17:45:08
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

Code 8965C218 ZwEnumerateKey
Code 89662218 ZwFlushInstructionCache
Code 897061AE IofCallDriver
Code 896FFE76 IofCompleteRequest

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service F:\WINDOWS\system32\drivers\ovfsthxoiseqyfw.sys (*** hidden *** ) [SYSTEM] ovfsthxbntddddy <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Dieses ovfsthx findet sich laut Scan recht oft in der registry, jedoch kann ich diese unter regedit nicht unter dem angegebenen Pfad finden.

In Start - Ausführen - MSconfig hab ich sämtliche autostarteinträge der eventuell schädlichen Dateien (chdsk, protect, autodll) deaktiviert (häkchen weg- übernehmen - Neustarten), seltsamer weise sind sie beim nächsten oder übernächsten Systemstart wieder aktiv.

Ich würd mich riesig freun wenn mir hierjemand helfen kann, mein System wieder sauber zu kriegen! Danke fürs Durchschauen.

Holo · 18.05.2009, 18:04

GMER System Scan läuft grad durch, hab weisgottwieviele Registry Einträge die mit ovfsthxbnt... Wenns durch ist (läuft schon 30 minuten) versuch ich ein Log zu posten.

Unter anderem eine lsmn.exe von einer http Adresse anzusteuern und anscheinend downzuloaden. (diese Datei wurd von Antivirenprogammen als Trojaner erkannt und bereits zig mal gelöscht)

unter regedit kann ich diese Registry keys unter dem angegeben Pfad nicht finden.

Kann mir hier jemand helfen? Bitte, ich muss das Irgendwie loswerden

Edit
Leider scheints kein Log zu geben, am ende Kam nur Lapidar" Rootkit found" , mit ok bestätigt und das Programm hat sich beendet.

john.doe · 18.05.2009, 19:26

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Holo · 18.05.2009, 20:06

Erstmal ein herzliches Dankeschön für die Hilfestellung.

Hier die Logdatei: (antivir guard hab ich vor dem start deaktiviert, nach dem reboot zum löschen der Dateien war es jedoch aktiv, hab bei Trojandermeldungen auf "ignorieren" gedrückt, um combofix nicht zu beeinträchtigen)

ComboFix 09-05-17.08 - Rob 18.05.2009 20:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1535.1181 [GMT 2:00]
ausgeführt von:: f:\dokumente und einstellungen\Rob\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\xcrashdump.dat
f:\dokumente und einstellungen\Rob\protect.dll
f:\windows\system32\autochk.dll
f:\windows\system32\config\systemprofile\protect.dll
f:\windows\system32\drivers\ovfsthxoiseqyfw.sys
f:\windows\system32\lmn_setup.exe
f:\windows\system32\ovfsthxchtixjqj.dll
f:\windows\system32\ovfsthxieeixvsp.dat
f:\windows\system32\ovfsthxigthsurw.dll
f:\windows\system32\ovfsthxkijposww.dll
f:\windows\system32\ovfsthxkpfvnprp.dll
f:\windows\system32\ovfsthxlxjmehod.dll
f:\windows\system32\ovfsthxnsrwwrwk.dll
f:\windows\system32\ovfsthxolqoxvco.dat
f:\windows\system32\ovfsthxqrnmbcmq.dll
f:\windows\system32\ovfsthxrnmckynv.dat
f:\windows\system32\ovfsthxsttyctcm.dll
f:\windows\system32\ovfsthxtgescedc.dll
f:\windows\system32\ovfsthxvnqrcenm.dat
f:\windows\system32\ovfsthxvswwmlvd.dat
f:\windows\system32\uniq.tll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthxbntddddy

((((((((((((((((((((((( Dateien erstellt von 2009-04-18 bis 2009-05-18 ))))))))))))))))))))))))))))))
.

2009-05-18 18:27 . 2009-03-24 14:08 55640 ----a-w f:\windows\system32\drivers\avgntflt.sys
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\programme\Avira
2009-05-18 18:17 . 2009-05-18 18:17 -------- d-----w f:\programme\Sophos
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-04-06 13:32 15504 ----a-w f:\windows\system32\drivers\mbam.sys
2009-05-18 13:29 . 2009-04-06 13:32 38496 ----a-w f:\windows\system32\drivers\mbamswissarmy.sys
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\programme\Malwarebytes' Anti-Malware
2009-05-18 13:19 . 2009-05-18 13:19 -------- d-----w f:\programme\CCleaner
2009-05-18 12:41 . 2009-05-18 12:41 -------- d-----w f:\programme\Avira GmbH
2009-05-18 12:27 . 2009-05-18 12:32 -------- d-----w f:\windows\BDOSCAN8
2009-05-18 12:07 . 2009-05-16 16:06 20480 ----a-w f:\windows\system32\tj.exe
2009-05-18 12:07 . 2009-05-18 12:07 107244 ----a-w f:\windows\system32\vp_setup.exe
2009-05-18 11:42 . 2009-05-18 11:42 37376 ----a-w f:\windows\system32\glsetup.exe
2009-05-11 05:27 . 2008-04-13 18:45 26368 -c--a-w f:\windows\system32\dllcache\usbstor.sys
2009-05-08 19:27 . 2009-05-08 19:27 -------- d-----w f:\programme\Ventrilo Mix 1.0
2009-04-30 09:43 . 2009-04-30 09:43 -------- d-----w f:\programme\Trend Micro
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Eigene Dateien
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Opera
2009-04-30 00:11 . 2009-04-30 00:12 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Media Player Classic
2009-04-30 00:11 . 2003-03-19 03:14 499712 ----a-w f:\windows\system32\msvcp71.dll
2009-04-30 00:11 . 2004-01-11 22:00 348160 ----a-w f:\windows\system32\msvcr71.dll
2009-04-26 21:04 . 2009-04-26 21:04 23600 ----a-w f:\windows\system32\drivers\TVICHW32.SYS
2009-04-26 21:04 . 2009-04-26 21:04 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\eSupport.com
2009-04-26 19:49 . 2008-02-25 19:05 593920 ------w f:\windows\system32\ati2sgag.exe
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\ATI
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\ATI
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\windows\system32\XPSViewer
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\programme\MSBuild
2009-04-26 18:27 . 2009-04-26 18:27 -------- d-----w f:\programme\Reference Assemblies
2009-04-26 18:27 . 2008-07-06 12:06 117760 ------w f:\windows\system32\prntvpt.dll
2009-04-26 18:27 . 2008-07-06 12:06 89088 -c----w f:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-26 18:27 . 2008-07-06 10:50 597504 -c----w f:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-26 18:27 . 2008-07-06 12:06 575488 -c----w f:\windows\system32\dllcache\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 575488 ------w f:\windows\system32\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 -c----w f:\windows\system32\dllcache\xpssvcs.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 ------w f:\windows\system32\xpssvcs.dll
2009-04-26 17:43 . 2009-04-26 17:43 0 ----a-w f:\windows\ativpsrm.bin
2009-04-26 17:20 . 2009-04-26 19:38 -------- d-----w f:\programme\ATI Technologies
2009-04-26 17:19 . 2009-04-26 19:58 -------- d-----w F:\ATI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-18 12:41 . 2008-09-25 07:02 -------- d--h--w f:\programme\InstallShield Installation Information
2009-05-03 04:01 . 2008-10-10 16:25 -------- d-----w f:\programme\Curse
2009-04-26 18:42 . 2008-09-25 06:14 22808 ----a-w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-26 18:31 . 2003-04-02 12:00 80092 ----a-w f:\windows\system32\perfc007.dat
2009-04-26 18:31 . 2003-04-02 12:00 448396 ----a-w f:\windows\system32\perfh007.dat
2009-04-26 17:20 . 2008-09-25 06:16 -------- d-----w f:\programme\Gemeinsame Dateien\InstallShield
2009-04-26 14:53 . 2008-09-25 05:47 -------- d-----w f:\programme\SystemRequirementsLab
2009-04-14 09:05 . 2009-04-14 09:04 -------- d-----w f:\programme\Gemeinsame Dateien\Adobe
2009-03-06 14:19 . 2003-04-02 12:00 286720 ----a-w f:\windows\system32\pdh.dll
2009-03-05 01:50 . 2009-03-05 01:50 410984 ----a-w f:\windows\system32\deploytk.dll
2009-03-03 00:03 . 2003-04-02 12:00 826368 ----a-w f:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 07:57 78336 ------w f:\windows\system32\ieencode.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="f:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="f:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="f:\programme\Java\jre6\bin\jusched.exe" [2009-03-05 136600]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - f:\windows\system32\nwiz.exe [2008-05-16 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

f:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
ChkDisk.dll [2009-5-18 23552]

f:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
ChkDisk.dll [2009-5-18 23552]

f:\dokumente und einstellungen\Rob\Startmen\Programme\Autostart\
ChkDisk.dll [2009-5-18 23552]
ChkDisk.lnk - f:\windows\system32\rundll32.exe [2003-4-2 33792]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.dll]
path=f:\dokumente und einstellungen\Rob\Startmenü\Programme\Autostart\ChkDisk.dll
backup=f:\windows\pss\ChkDisk.dllStartup

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.lnk]
path=f:\dokumente und einstellungen\Rob\Startmenü\Programme\Autostart\ChkDisk.lnk
backup=f:\windows\pss\ChkDisk.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"g:\\World of Warcraft\\Repair.exe"=
"f:\\Programme\\Opera\\opera.exe"=
"f:\\Programme\\uTorrent\\uTorrent.exe"=
"g:\\World of Warcraft\\Launcher.exe"=
"g:\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 20:27 108289]
S3 FLASHSYS;FLASHSYS;f:\windows\system32\drivers\FlashSys.sys [31.01.2008 17:18 9216]
S3 MEMSWEEP2;MEMSWEEP2;\??\f:\windows\system32\27.tmp --> f:\windows\system32\27.tmp [?]
S3 WEBNTACCESS;WEBNTACCESS;f:\windows\system32\Ntaccess.sys [13.04.2008 11:21 17920]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-RAM_DEFRAG - (no file)
HKU-Default-Run-Windows Resurections - f:\windows\TEMP\o6ij0ve82.exe
HKU-Default-Run-svc - c:\program files\ThunMail\testabd.exe

.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - f:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-18 20:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\f:\windows\system32\27.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
f:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-05-18 20:58
ComboFix-quarantined-files.txt 2009-05-18 18:58

Vor Suchlauf: 7.902.720.000 Bytes frei
Nach Suchlauf: 8.855.998.464 Bytes frei

177 --- E O F --- 2009-05-14 01:01

john.doe · 18.05.2009, 20:16

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Holo · 18.05.2009, 20:32

Hier die log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Rob at 2009-05-18 21:26:19
Microsoft Windows XP Professional Service Pack 3
System drive F: has 8 GB (42%) free of 20 GB
Total RAM: 1535 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:20, on 18.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir Desktop\sched.exe
F:\Programme\Avira\AntiVir Desktop\avguard.exe
F:\Programme\Java\jre6\bin\jqs.exe
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\explorer.exe
F:\Programme\Opera\opera.exe
F:\Dokumente und Einstellungen\Rob\Desktop\RSIT.exe
F:\Programme\Trend Micro\HijackThis\Rob.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222321500721
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4742 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"SunJavaUpdateSched"=F:\Programme\Java\jre6\bin\jusched.exe [2009-03-05 136600]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=F:\WINDOWS\system32\NvMcTray.dll [2008-05-16 86016]
"NvCplDaemon"=F:\WINDOWS\system32\NvCpl.dll [2008-05-16 13529088]
"avgnt"=F:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=F:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\autochk]
F:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
D:\Programme\Steam\Steam.exe -silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.dll]
F:\Dokumente und Einstellungen\Rob\Startmenü\Programme\Autostart\ChkDisk.dll []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.lnk]
F:\DOKUME~1\Rob\STARTM~1\PROGRA~1\AUTOST~1\ChkDisk.dll,_IWMPEvents@16 []

F:\Dokumente und Einstellungen\Rob\Startmenü\Programme\Autostart
ChkDisk.lnk - F:\WINDOWS\system32\rundll32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
F:\WINDOWS\system32\Ati2evxx.dll [2008-02-26 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
F:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"F:\Programme\Curse\CurseClient.exe"="F:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"G:\World of Warcraft\Repair.exe"="G:\World of Warcraft\Repair.exe:*:Enabled:Blizzard Repair Utility"
"F:\Programme\Opera\opera.exe"="F:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"F:\Programme\uTorrent\uTorrent.exe"="F:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"G:\World of Warcraft\Launcher.exe"="G:\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher"
"G:\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"="G:\World of Warcraft\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe:*:Enabled:Blizzard Downloader"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-05-18 21:26:19 ----D---- F:\rsit
2009-05-18 20:58:42 ----A---- F:\ComboFix.txt
2009-05-18 20:43:02 ----A---- F:\WINDOWS\zip.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\vFind.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\SWXCACLS.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\SWSC.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\SWREG.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\sed.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\NIRCMD.exe
2009-05-18 20:43:02 ----A---- F:\WINDOWS\grep.exe
2009-05-18 20:42:57 ----D---- F:\WINDOWS\ERDNT
2009-05-18 20:35:54 ----AD---- F:\Qoobox
2009-05-18 20:27:40 ----D---- F:\Programme\Avira
2009-05-18 20:27:40 ----D---- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-05-18 20:17:17 ----D---- F:\Programme\Sophos
2009-05-18 15:46:01 ----D---- F:\WINDOWS\pss
2009-05-18 15:29:11 ----D---- F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\Malwarebytes
2009-05-18 15:29:06 ----D---- F:\Programme\Malwarebytes' Anti-Malware
2009-05-18 15:29:06 ----D---- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 15:19:35 ----D---- F:\Programme\CCleaner
2009-05-18 14:41:44 ----D---- F:\Programme\Avira GmbH
2009-05-18 14:27:26 ----D---- F:\WINDOWS\BDOSCAN8
2009-05-18 14:07:35 ----A---- F:\WINDOWS\system32\tj.exe
2009-05-18 14:07:33 ----A---- F:\WINDOWS\system32\vp_setup.exe
2009-05-18 13:42:18 ----A---- F:\WINDOWS\system32\glsetup.exe
2009-05-14 03:01:40 ----A---- F:\WINDOWS\system32\MRT.INI
2009-05-08 21:27:04 ----D---- F:\Programme\Ventrilo Mix 1.0
2009-04-30 11:43:04 ----D---- F:\Programme\Trend Micro
2009-04-30 02:11:57 ----D---- F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\Media Player Classic
2009-04-30 02:11:18 ----A---- F:\WINDOWS\system32\msvcr71.dll
2009-04-30 02:11:18 ----A---- F:\WINDOWS\system32\msvcp71.dll
2009-04-26 21:49:11 ----N---- F:\WINDOWS\system32\ati2sgag.exe
2009-04-26 20:42:06 ----D---- F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\ATI
2009-04-26 20:33:06 ----HDC---- F:\WINDOWS\$NtUninstallKB961118$
2009-04-26 20:28:20 ----D---- F:\WINDOWS\system32\XPSViewer
2009-04-26 20:28:12 ----D---- F:\Programme\MSBuild
2009-04-26 20:28:09 ----D---- F:\WINDOWS\system32\en-US
2009-04-26 20:27:56 ----D---- F:\Programme\Reference Assemblies
2009-04-26 20:27:24 ----N---- F:\WINDOWS\system32\prntvpt.dll
2009-04-26 20:27:23 ----N---- F:\WINDOWS\system32\xpsshhdr.dll
2009-04-26 20:27:22 ----N---- F:\WINDOWS\system32\xpssvcs.dll
2009-04-26 20:25:45 ----RSD---- F:\WINDOWS\assembly
2009-04-26 20:25:02 ----D---- F:\WINDOWS\Microsoft.NET
2009-04-26 20:01:15 ----A---- F:\WINDOWS\WININIT.INI
2009-04-26 20:00:52 ----D---- F:\WINDOWS\system32\appmgmt
2009-04-26 19:20:26 ----D---- F:\Programme\ATI Technologies
2009-04-26 19:19:34 ----D---- F:\ATI

======List of files/folders modified in the last 1 months======

2009-05-18 20:58:59 ----D---- F:\WINDOWS\Temp
2009-05-18 20:58:47 ----D---- F:\WINDOWS\system32
2009-05-18 20:57:36 ----D---- F:\WINDOWS
2009-05-18 20:57:36 ----A---- F:\WINDOWS\system.ini
2009-05-18 20:57:00 ----D---- F:\WINDOWS\system32\drivers
2009-05-18 20:57:00 ----D---- F:\WINDOWS\AppPatch
2009-05-18 20:56:58 ----D---- F:\Programme\Gemeinsame Dateien
2009-05-18 20:55:07 ----A---- F:\WINDOWS\SchedLgU.Txt
2009-05-18 20:54:59 ----D---- F:\WINDOWS\system32\CatRoot2
2009-05-18 20:28:00 ----HD---- F:\WINDOWS\inf
2009-05-18 20:27:40 ----RD---- F:\Programme
2009-05-18 20:23:42 ----SHD---- F:\WINDOWS\Installer
2009-05-18 20:23:41 ----D---- F:\WINDOWS\WinSxS
2009-05-18 18:09:03 ----A---- F:\WINDOWS\win.ini
2009-05-18 15:29:02 ----D---- F:\WINDOWS\Prefetch
2009-05-18 15:20:53 ----D---- F:\WINDOWS\Minidump
2009-05-18 15:20:53 ----D---- F:\WINDOWS\Debug
2009-05-18 14:41:44 ----HD---- F:\Programme\InstallShield Installation Information
2009-05-18 14:27:28 ----SD---- F:\WINDOWS\Downloaded Program Files
2009-05-17 21:57:40 ----RSHDC---- F:\WINDOWS\system32\dllcache
2009-05-16 15:02:18 ----D---- F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\teamspeak2
2009-05-11 10:49:53 ----SD---- F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\Microsoft
2009-05-07 09:16:29 ----A---- F:\WINDOWS\system32\MRT.exe
2009-05-07 05:20:36 ----D---- F:\WINDOWS\network diagnostic
2009-05-03 06:01:40 ----D---- F:\Programme\Curse
2009-05-03 06:01:12 ----D---- F:\Dokumente und Einstellungen
2009-04-30 02:09:23 ----D---- F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\uTorrent
2009-04-26 21:48:57 ----D---- F:\WINDOWS\system32\CatRoot
2009-04-26 20:42:10 ----D---- F:\WINDOWS\system32\config
2009-04-26 20:37:58 ----D---- F:\WINDOWS\system32\ReinstallBackups
2009-04-26 20:31:54 ----A---- F:\WINDOWS\system32\PerfStringBackup.INI
2009-04-26 20:28:05 ----RSD---- F:\WINDOWS\Fonts
2009-04-26 20:27:38 ----D---- F:\WINDOWS\system32\spool
2009-04-26 20:25:10 ----D---- F:\WINDOWS\system32\mui
2009-04-26 20:25:10 ----D---- F:\Programme\Internet Explorer
2009-04-26 19:20:05 ----D---- F:\Programme\Gemeinsame Dateien\InstallShield
2009-04-26 16:53:58 ----D---- F:\Programme\SystemRequirementsLab

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; F:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 avgio;avgio; \??\F:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; F:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 kbdhid;Tastatur-HID-Treiber; F:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; F:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R2 avgntflt;avgntflt; F:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); F:\WINDOWS\system32\drivers\ALCXWDM.SYS [2007-03-08 4027840]
R3 ati2mtag;ati2mtag; F:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-02-26 2863616]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service; F:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-04-17 42496]
R3 hidusb;Microsoft HID Class-Treiber; F:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; F:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-04-02 12288]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; F:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; F:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; F:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; F:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R4 catchme;catchme; \??\F:\DOKUME~1\Rob\LOKALE~1\Temp\catchme.sys []
S3 aujasnkj;aujasnkj; \??\F:\DOKUME~1\Rob\LOKALE~1\Temp\aujasnkj.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; F:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 FLASHSYS;FLASHSYS; \??\F:\WINDOWS\System32\Drivers\FLASHSYS.sys []
S3 MEMSWEEP2;MEMSWEEP2; \??\F:\WINDOWS\system32\27.tmp []
S3 nv;nv; F:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-05-16 6557408]
S3 TVICHW32;TVICHW32; \??\F:\WINDOWS\system32\DRIVERS\TVICHW32.SYS []
S3 USBSTOR;USB-Massenspeichertreiber; F:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WEBNTACCESS;WEBNTACCESS; \??\F:\WINDOWS\system32\NTACCESS.SYS []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; F:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; F:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; F:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; F:\Programme\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]
R2 AntiVirService;Avira AntiVir Guard; F:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; F:\WINDOWS\system32\Ati2evxx.exe [2008-02-26 520192]
R2 JavaQuickStarterService;Java Quick Starter; F:\Programme\Java\jre6\bin\jqs.exe [2009-03-05 152984]
S2 ATI Smart;ATI Smart; F:\WINDOWS\system32\ati2sgag.exe [2008-02-25 593920]
S2 NVSvc;NVIDIA Display Driver Service; F:\WINDOWS\system32\nvsvc32.exe [2008-05-16 159812]
S3 aspnet_state;ASP.NET State Service; F:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; F:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; F:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; F:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; F:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; F:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; F:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; F:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Holo · 18.05.2009, 20:33

und hier die info .txt

info.txt logfile of random's system information tool 1.06 2009-05-18 21:26:21

======Uninstall list======

-->F:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 F:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->F:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->F:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ATI - Software Uninstall Utility-->F:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 F:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class

ISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->F:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Avira RootKit Detection-->RunDll32 F:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "F:\Programme\InstallShield Installation Information\{1FD25FCD-6F39-4686-AFBB-7056EBAE5E68}\setup.exe" -l0x9
CCleaner (remove only)-->"F:\Programme\CCleaner\uninst.exe"
CD Bremse 1.48-->"F:\Programme\CD Bremse\unins000.exe"
Curse Client-->F:\Programme\Curse\uninstall.exe
DivX Codec-->F:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->F:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->F:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->F:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DriverAgent by eSupport.com-->RunDll32.exe advpack.dll,LaunchINFSection driveragent_exe.inf,TVICHW32Remove
EVEREST Home Edition v2.20-->"F:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
HijackThis 2.0.2-->"F:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->F:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->F:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"F:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"F:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"F:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"F:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
ImgBurn-->"F:\Programme\ImgBurn\uninstall.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"F:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->F:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"F:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"F:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"F:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Standard Edition 2003-->MsiExec.exe /I{91120407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"F:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
NVIDIA Drivers-->F:\WINDOWS\system32\nvuninst.exe UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260}
Opera 9.63-->MsiExec.exe /X{1BC4026B-1957-4514-9058-2B542557F143}
PeaZip 2.3a-->"F:\Programme\PeaZip\unins000.exe"
RAM Defrag-->F:\WINDOWS\system32\GKSUI18.EXE F:\Programme\RAM Defrag V2.55\UNINSTAL.DAT
Realtek AC'97 Audio-->RunDll32 F:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "F:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"F:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"F:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"F:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"F:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"F:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"F:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"F:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"F:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"F:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"F:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"F:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"F:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"F:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"F:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"F:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"F:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"F:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"F:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"F:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"F:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"F:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"F:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"F:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"F:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"F:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"F:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"F:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"F:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"F:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"F:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"F:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"F:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"F:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"F:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"F:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"F:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"F:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"F:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"F:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"F:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"F:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"F:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"F:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"F:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sophos Anti-Rootkit 1.3.1-->F:\Programme\Sophos\Sophos Anti-Rootkit\helper.exe remove
System Requirements Lab-->F:\Programme\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->F:\Programme\Teamspeak2_RC2\unins000.exe
Update für Windows XP (KB951072-v2)-->"F:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"F:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"F:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"F:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
VIA Plattform-Geräte-Manager-->F:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VIA Rhine-Family Fast-Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA
Wichtiges Update für Windows Media Player 11 (KB959772)-->"F:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Winamp-->"F:\Programme\Winamp\UninstWA.exe"
Windows Internet Explorer 7-->"F:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"F:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"F:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"F:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"F:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"F:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
World of Warcraft-->F:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
Xvid 1.1.3 final uninstall-->"F:\Programme\Xvid\unins000.exe"

=====HijackThis Backups=====

O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] F:\WINDOWS\TEMP\yo22em.exe (User 'SYSTEM') [2009-05-18]
O4 - HKLM\..\Run: [autochk] rundll32.exe F:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-05-18]

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: ROBS
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 3207
Source Name: Service Control Manager
Time Written: 20090416112940.000000+120
Event Type: Informationen
User:

Computer Name: ROBS
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 3206
Source Name: Service Control Manager
Time Written: 20090416112934.000000+120
Event Type: Informationen
User:

Computer Name: ROBS
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 3205
Source Name: Service Control Manager
Time Written: 20090416112934.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ROBS
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 17. April 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB952004)
- Sicherheitsupdate für Windows XP (KB956572)
- Windows-Tool zum Entfernen bösartiger Software - April 2009 (KB890830)
- Kumulatives Sicherheitsupdate für Internet Explorer 7 unter Windows XP (KB963027)
- Sicherheitsupdate für Windows XP (KB961373)
- Sicherheitsupdate für Windows XP (KB959426)

Record Number: 3204
Source Name: Windows Update Agent
Time Written: 20090416092316.000000+120
Event Type: Informationen
User:

Computer Name: ROBS
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 17. April 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB952004)
- Sicherheitsupdate für Windows XP (KB956572)
- Windows-Tool zum Entfernen bösartiger Software - April 2009 (KB890830)
- Kumulatives Sicherheitsupdate für Internet Explorer 7 unter Windows XP (KB963027)
- Sicherheitsupdate für Windows XP (KB961373)

Record Number: 3203
Source Name: Windows Update Agent
Time Written: 20090416092310.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ROBS
Event Code: 1000
Message: Fehlgeschlagene Anwendung opera.exe, Version 9.63.10476.0, fehlgeschlagenes Modul opera.dll, Version 9.63.10476.0, Fehleradresse 0x00165325.

Record Number: 214
Source Name: Application Error
Time Written: 20090219210720.000000+060
Event Type: Fehler
User:

Computer Name: ROBS
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 213
Source Name: Avira AntiVir
Time Written: 20090219183235.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ROBS
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 212
Source Name: SecurityCenter
Time Written: 20090219183234.000000+060
Event Type: Informationen
User:

Computer Name: ROBS
Event Code: 4113
Message: AntiVir erkannte in der Datei
F:\Dokumente und Einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr0BXZ2
verdächtigen Code mit der Bezeichnung 'JS/Dldr.IFrame.BY'!

Record Number: 211
Source Name: Avira AntiVir
Time Written: 20090219142506.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ROBS
Event Code: 11707
Message: Product: Opera 9.63 -- Installation operation completed successfully.

Record Number: 210
Source Name: MsiInstaller
Time Written: 20090217150039.000000+060
Event Type: Informationen
User: ROBS\Rob

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;F:\Programme\ATI Technologies\ATI.ACE\Core-Static
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

john.doe · 18.05.2009, 21:07

Zitat:

=====HijackThis Backups=====

O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] F:\WINDOWS\TEMP\yo22em.exe (User 'SYSTEM') [2009-05-18]
O4 - HKLM\..\Run: [autochk] rundll32.exe F:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-05-18]

Mit Fixen bekommst du den nicht klein.

1.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O8, O9, O15 und O16-Einträge
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?

=> Fix checked

2.) Deinstalliere (Start=>Einstellungen=>Systemsteuerung=>Software):

Sophos
uTorrent
Java(TM) 6 Update 11
Java(TM) 6 Update 7

3.) Installiere:

Java-Downloads für alle Betriebssysteme - Sun Microsystems

4.) Lade bitte folgende Dateien

Code:

ATTFilter

f:\windows\system32\tj.exe
f:\windows\system32\vp_setup.exe
f:\windows\system32\glsetup.exe

bei uns gemäß dieser Anleitung hoch.

5.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
MEMSWEEP2
catchme
aujasnkj

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-
[-HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.lnk] 
[-HKLM\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.dll]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"f:\\Programme\\uTorrent\\uTorrent.exe"=-

Folder::
F:\rsit
f:\programme\Sophos
f:\windows\BDOSCAN8
F:\Dokumente und Einstellungen\Rob\Anwendungsdaten\uTorrent
f:\programme\uTorrent

File::
f:\windows\system32\27.tmp
f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
f:\windows\system32\perfc007.dat
f:\windows\system32\perfh007.dat

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Holo · 18.05.2009, 21:56

So alles durchgeführt

auch wenn ich keine Ahnung habe was da gerade gemacht wurde, hier ist das log: (Teil 1, ist wohl zu lang

ComboFix 09-05-17.08 - Rob 18.05.2009 22:44.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1535.1160 [GMT 2:00]
ausgeführt von:: f:\dokumente und einstellungen\Rob\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: f:\dokumente und einstellungen\Rob\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
f:\windows\system32\27.tmp
f:\windows\system32\perfc007.dat
f:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
f:\programme\Sophos
F:\rsit
f:\rsit\info.txt
f:\rsit\log.txt
f:\windows\BDOSCAN8
f:\windows\BDOSCAN8\avxdisk.dll
f:\windows\BDOSCAN8\avxs.dll
f:\windows\BDOSCAN8\avxt.dll
f:\windows\BDOSCAN8\bdcore.dll
f:\windows\BDOSCAN8\bdoscan.ini
f:\windows\BDOSCAN8\bdoscan.log
f:\windows\BDOSCAN8\boot.xmd
f:\windows\BDOSCAN8\ipsupd.dll
f:\windows\BDOSCAN8\lang.ini
f:\windows\BDOSCAN8\libfn.dll
f:\windows\BDOSCAN8\librtvr.dll
f:\windows\BDOSCAN8\live.ini
f:\windows\BDOSCAN8\oscan82.ocx
f:\windows\BDOSCAN8\plugins.htm
f:\windows\BDOSCAN8\Plugins\7zip.xmd
f:\windows\BDOSCAN8\Plugins\access.xmd
f:\windows\BDOSCAN8\Plugins\ace.xmd
f:\windows\BDOSCAN8\Plugins\adsntfs.xmd
f:\windows\BDOSCAN8\Plugins\alz.xmd
f:\windows\BDOSCAN8\Plugins\arc.xmd
f:\windows\BDOSCAN8\Plugins\arj.xmd
f:\windows\BDOSCAN8\Plugins\aspy_emu.cvd
f:\windows\BDOSCAN8\Plugins\bach.xmd
f:\windows\BDOSCAN8\Plugins\boot.xmd
f:\windows\BDOSCAN8\Plugins\bzip2.xmd
f:\windows\BDOSCAN8\Plugins\cab.xmd
f:\windows\BDOSCAN8\Plugins\ceva_dll.cvd
f:\windows\BDOSCAN8\Plugins\ceva_emu.cvd
f:\windows\BDOSCAN8\Plugins\ceva_vfs.cvd
f:\windows\BDOSCAN8\Plugins\ceva_vfs.ivd
f:\windows\BDOSCAN8\Plugins\cevakrnl.cvd
f:\windows\BDOSCAN8\Plugins\cevakrnl.ivd
f:\windows\BDOSCAN8\Plugins\cevakrnl.rv0
f:\windows\BDOSCAN8\Plugins\cevakrnl.rvd
f:\windows\BDOSCAN8\Plugins\cevakrnl.xmd
f:\windows\BDOSCAN8\Plugins\chm.xmd
f:\windows\BDOSCAN8\Plugins\cookie.cvd
f:\windows\BDOSCAN8\Plugins\cookie.xmd
f:\windows\BDOSCAN8\Plugins\cpio.xmd
f:\windows\BDOSCAN8\Plugins\cran.cvd
f:\windows\BDOSCAN8\Plugins\cran.ivd
f:\windows\BDOSCAN8\Plugins\cran.xmd
f:\windows\BDOSCAN8\Plugins\dbx.xmd
f:\windows\BDOSCAN8\Plugins\docfile.xmd
f:\windows\BDOSCAN8\Plugins\dummyarch.xmd
f:\windows\BDOSCAN8\Plugins\dummyscan.xmd
f:\windows\BDOSCAN8\Plugins\e_spyw.cvd
f:\windows\BDOSCAN8\Plugins\e_spyw.i01
f:\windows\BDOSCAN8\Plugins\e_spyw.i02
f:\windows\BDOSCAN8\Plugins\e_spyw.i03
f:\windows\BDOSCAN8\Plugins\e_spyw.i04
f:\windows\BDOSCAN8\Plugins\e_spyw.i05
f:\windows\BDOSCAN8\Plugins\e_spyw.i06
f:\windows\BDOSCAN8\Plugins\e_spyw.i07
f:\windows\BDOSCAN8\Plugins\e_spyw.i08
f:\windows\BDOSCAN8\Plugins\e_spyw.i09
f:\windows\BDOSCAN8\Plugins\e_spyw.i10
f:\windows\BDOSCAN8\Plugins\e_spyw.i11
f:\windows\BDOSCAN8\Plugins\e_spyw.i12
f:\windows\BDOSCAN8\Plugins\e_spyw.i13
f:\windows\BDOSCAN8\Plugins\e_spyw.i14
f:\windows\BDOSCAN8\Plugins\e_spyw.i15
f:\windows\BDOSCAN8\Plugins\e_spyw.i16
f:\windows\BDOSCAN8\Plugins\e_spyw.i17
f:\windows\BDOSCAN8\Plugins\e_spyw.i18
f:\windows\BDOSCAN8\Plugins\e_spyw.i19
f:\windows\BDOSCAN8\Plugins\e_spyw.i20
f:\windows\BDOSCAN8\Plugins\e_spyw.i21
f:\windows\BDOSCAN8\Plugins\e_spyw.i22
f:\windows\BDOSCAN8\Plugins\e_spyw.i23
f:\windows\BDOSCAN8\Plugins\e_spyw.i24
f:\windows\BDOSCAN8\Plugins\e_spyw.i25
f:\windows\BDOSCAN8\Plugins\e_spyw.i26
f:\windows\BDOSCAN8\Plugins\e_spyw.i27
f:\windows\BDOSCAN8\Plugins\e_spyw.i28
f:\windows\BDOSCAN8\Plugins\e_spyw.i29
f:\windows\BDOSCAN8\Plugins\e_spyw.i30
f:\windows\BDOSCAN8\Plugins\e_spyw.i31
f:\windows\BDOSCAN8\Plugins\e_spyw.i32
f:\windows\BDOSCAN8\Plugins\e_spyw.i33
f:\windows\BDOSCAN8\Plugins\e_spyw.i34
f:\windows\BDOSCAN8\Plugins\e_spyw.i35
f:\windows\BDOSCAN8\Plugins\e_spyw.i36
f:\windows\BDOSCAN8\Plugins\e_spyw.i37
f:\windows\BDOSCAN8\Plugins\e_spyw.i38
f:\windows\BDOSCAN8\Plugins\e_spyw.i39
f:\windows\BDOSCAN8\Plugins\e_spyw.i40
f:\windows\BDOSCAN8\Plugins\e_spyw.i41
f:\windows\BDOSCAN8\Plugins\e_spyw.i42
f:\windows\BDOSCAN8\Plugins\e_spyw.i43
f:\windows\BDOSCAN8\Plugins\e_spyw.i44
f:\windows\BDOSCAN8\Plugins\e_spyw.i45
f:\windows\BDOSCAN8\Plugins\e_spyw.i46
f:\windows\BDOSCAN8\Plugins\e_spyw.i47
f:\windows\BDOSCAN8\Plugins\e_spyw.i48
f:\windows\BDOSCAN8\Plugins\e_spyw.i49
f:\windows\BDOSCAN8\Plugins\e_spyw.ivd
f:\windows\BDOSCAN8\Plugins\emalware.001
f:\windows\BDOSCAN8\Plugins\emalware.002
f:\windows\BDOSCAN8\Plugins\emalware.003
f:\windows\BDOSCAN8\Plugins\emalware.004
f:\windows\BDOSCAN8\Plugins\emalware.005
f:\windows\BDOSCAN8\Plugins\emalware.006
f:\windows\BDOSCAN8\Plugins\emalware.007
f:\windows\BDOSCAN8\Plugins\emalware.008
f:\windows\BDOSCAN8\Plugins\emalware.009
f:\windows\BDOSCAN8\Plugins\emalware.010
f:\windows\BDOSCAN8\Plugins\emalware.011
f:\windows\BDOSCAN8\Plugins\emalware.012
f:\windows\BDOSCAN8\Plugins\emalware.013
f:\windows\BDOSCAN8\Plugins\emalware.014
f:\windows\BDOSCAN8\Plugins\emalware.015
f:\windows\BDOSCAN8\Plugins\emalware.016
f:\windows\BDOSCAN8\Plugins\emalware.017
f:\windows\BDOSCAN8\Plugins\emalware.018
f:\windows\BDOSCAN8\Plugins\emalware.019
f:\windows\BDOSCAN8\Plugins\emalware.020
f:\windows\BDOSCAN8\Plugins\emalware.021
f:\windows\BDOSCAN8\Plugins\emalware.022
f:\windows\BDOSCAN8\Plugins\emalware.023
f:\windows\BDOSCAN8\Plugins\emalware.024
f:\windows\BDOSCAN8\Plugins\emalware.025
f:\windows\BDOSCAN8\Plugins\emalware.026
f:\windows\BDOSCAN8\Plugins\emalware.027
f:\windows\BDOSCAN8\Plugins\emalware.028
f:\windows\BDOSCAN8\Plugins\emalware.029
f:\windows\BDOSCAN8\Plugins\emalware.030
f:\windows\BDOSCAN8\Plugins\emalware.031
f:\windows\BDOSCAN8\Plugins\emalware.032
f:\windows\BDOSCAN8\Plugins\emalware.033
f:\windows\BDOSCAN8\Plugins\emalware.034
f:\windows\BDOSCAN8\Plugins\emalware.035
f:\windows\BDOSCAN8\Plugins\emalware.036
f:\windows\BDOSCAN8\Plugins\emalware.037
f:\windows\BDOSCAN8\Plugins\emalware.038
f:\windows\BDOSCAN8\Plugins\emalware.039
f:\windows\BDOSCAN8\Plugins\emalware.040
f:\windows\BDOSCAN8\Plugins\emalware.041
f:\windows\BDOSCAN8\Plugins\emalware.042
f:\windows\BDOSCAN8\Plugins\emalware.043
f:\windows\BDOSCAN8\Plugins\emalware.044
f:\windows\BDOSCAN8\Plugins\emalware.045
f:\windows\BDOSCAN8\Plugins\emalware.046
f:\windows\BDOSCAN8\Plugins\emalware.047
f:\windows\BDOSCAN8\Plugins\emalware.048
f:\windows\BDOSCAN8\Plugins\emalware.049
f:\windows\BDOSCAN8\Plugins\emalware.050
f:\windows\BDOSCAN8\Plugins\emalware.051
f:\windows\BDOSCAN8\Plugins\emalware.052
f:\windows\BDOSCAN8\Plugins\emalware.053
f:\windows\BDOSCAN8\Plugins\emalware.054
f:\windows\BDOSCAN8\Plugins\emalware.055
f:\windows\BDOSCAN8\Plugins\emalware.056
f:\windows\BDOSCAN8\Plugins\emalware.057
f:\windows\BDOSCAN8\Plugins\emalware.058
f:\windows\BDOSCAN8\Plugins\emalware.059
f:\windows\BDOSCAN8\Plugins\emalware.060
f:\windows\BDOSCAN8\Plugins\emalware.061
f:\windows\BDOSCAN8\Plugins\emalware.062
f:\windows\BDOSCAN8\Plugins\emalware.063
f:\windows\BDOSCAN8\Plugins\emalware.064
f:\windows\BDOSCAN8\Plugins\emalware.065
f:\windows\BDOSCAN8\Plugins\emalware.066
f:\windows\BDOSCAN8\Plugins\emalware.067
f:\windows\BDOSCAN8\Plugins\emalware.068
f:\windows\BDOSCAN8\Plugins\emalware.069
f:\windows\BDOSCAN8\Plugins\emalware.070
f:\windows\BDOSCAN8\Plugins\emalware.071
f:\windows\BDOSCAN8\Plugins\emalware.072
f:\windows\BDOSCAN8\Plugins\emalware.073
f:\windows\BDOSCAN8\Plugins\emalware.074
f:\windows\BDOSCAN8\Plugins\emalware.075
f:\windows\BDOSCAN8\Plugins\emalware.076
f:\windows\BDOSCAN8\Plugins\emalware.077
f:\windows\BDOSCAN8\Plugins\emalware.078
f:\windows\BDOSCAN8\Plugins\emalware.079
f:\windows\BDOSCAN8\Plugins\emalware.080
f:\windows\BDOSCAN8\Plugins\emalware.081
f:\windows\BDOSCAN8\Plugins\emalware.082
f:\windows\BDOSCAN8\Plugins\emalware.083
f:\windows\BDOSCAN8\Plugins\emalware.084
f:\windows\BDOSCAN8\Plugins\emalware.085
f:\windows\BDOSCAN8\Plugins\emalware.086
f:\windows\BDOSCAN8\Plugins\emalware.087
f:\windows\BDOSCAN8\Plugins\emalware.088
f:\windows\BDOSCAN8\Plugins\emalware.089
f:\windows\BDOSCAN8\Plugins\emalware.090
f:\windows\BDOSCAN8\Plugins\emalware.091
f:\windows\BDOSCAN8\Plugins\emalware.092
f:\windows\BDOSCAN8\Plugins\emalware.093
f:\windows\BDOSCAN8\Plugins\emalware.094
f:\windows\BDOSCAN8\Plugins\emalware.095
f:\windows\BDOSCAN8\Plugins\emalware.096
f:\windows\BDOSCAN8\Plugins\emalware.097
f:\windows\BDOSCAN8\Plugins\emalware.098
f:\windows\BDOSCAN8\Plugins\emalware.099
f:\windows\BDOSCAN8\Plugins\emalware.100
f:\windows\BDOSCAN8\Plugins\emalware.101
f:\windows\BDOSCAN8\Plugins\emalware.102
f:\windows\BDOSCAN8\Plugins\emalware.103
f:\windows\BDOSCAN8\Plugins\emalware.104
f:\windows\BDOSCAN8\Plugins\emalware.105
f:\windows\BDOSCAN8\Plugins\emalware.106
f:\windows\BDOSCAN8\Plugins\emalware.107
f:\windows\BDOSCAN8\Plugins\emalware.108
f:\windows\BDOSCAN8\Plugins\emalware.109
f:\windows\BDOSCAN8\Plugins\emalware.110
f:\windows\BDOSCAN8\Plugins\emalware.111
f:\windows\BDOSCAN8\Plugins\emalware.112
f:\windows\BDOSCAN8\Plugins\emalware.113
f:\windows\BDOSCAN8\Plugins\emalware.114
f:\windows\BDOSCAN8\Plugins\emalware.115
f:\windows\BDOSCAN8\Plugins\emalware.116
f:\windows\BDOSCAN8\Plugins\emalware.117
f:\windows\BDOSCAN8\Plugins\emalware.118
f:\windows\BDOSCAN8\Plugins\emalware.119
f:\windows\BDOSCAN8\Plugins\emalware.120
f:\windows\BDOSCAN8\Plugins\emalware.121
f:\windows\BDOSCAN8\Plugins\emalware.122
f:\windows\BDOSCAN8\Plugins\emalware.123
f:\windows\BDOSCAN8\Plugins\emalware.124
f:\windows\BDOSCAN8\Plugins\emalware.125
f:\windows\BDOSCAN8\Plugins\emalware.126
f:\windows\BDOSCAN8\Plugins\emalware.127
f:\windows\BDOSCAN8\Plugins\emalware.128
f:\windows\BDOSCAN8\Plugins\emalware.129
f:\windows\BDOSCAN8\Plugins\emalware.130
f:\windows\BDOSCAN8\Plugins\emalware.131
f:\windows\BDOSCAN8\Plugins\emalware.132
f:\windows\BDOSCAN8\Plugins\emalware.133
f:\windows\BDOSCAN8\Plugins\emalware.134
f:\windows\BDOSCAN8\Plugins\emalware.135
f:\windows\BDOSCAN8\Plugins\emalware.136
f:\windows\BDOSCAN8\Plugins\emalware.137
f:\windows\BDOSCAN8\Plugins\emalware.138
f:\windows\BDOSCAN8\Plugins\emalware.139
f:\windows\BDOSCAN8\Plugins\emalware.140
f:\windows\BDOSCAN8\Plugins\emalware.141
f:\windows\BDOSCAN8\Plugins\emalware.142
f:\windows\BDOSCAN8\Plugins\emalware.143
f:\windows\BDOSCAN8\Plugins\emalware.144
f:\windows\BDOSCAN8\Plugins\emalware.145
f:\windows\BDOSCAN8\Plugins\emalware.146
f:\windows\BDOSCAN8\Plugins\emalware.147
f:\windows\BDOSCAN8\Plugins\emalware.148
f:\windows\BDOSCAN8\Plugins\emalware.149
f:\windows\BDOSCAN8\Plugins\emalware.150
f:\windows\BDOSCAN8\Plugins\emalware.151
f:\windows\BDOSCAN8\Plugins\emalware.152
f:\windows\BDOSCAN8\Plugins\emalware.153
f:\windows\BDOSCAN8\Plugins\emalware.154
f:\windows\BDOSCAN8\Plugins\emalware.155
f:\windows\BDOSCAN8\Plugins\emalware.156
f:\windows\BDOSCAN8\Plugins\emalware.157
f:\windows\BDOSCAN8\Plugins\emalware.158
f:\windows\BDOSCAN8\Plugins\emalware.159
f:\windows\BDOSCAN8\Plugins\emalware.160
f:\windows\BDOSCAN8\Plugins\emalware.161
f:\windows\BDOSCAN8\Plugins\emalware.162
f:\windows\BDOSCAN8\Plugins\emalware.163
f:\windows\BDOSCAN8\Plugins\emalware.164
f:\windows\BDOSCAN8\Plugins\emalware.165
f:\windows\BDOSCAN8\Plugins\emalware.166
f:\windows\BDOSCAN8\Plugins\emalware.167
f:\windows\BDOSCAN8\Plugins\emalware.168
f:\windows\BDOSCAN8\Plugins\emalware.169
f:\windows\BDOSCAN8\Plugins\emalware.170
f:\windows\BDOSCAN8\Plugins\emalware.171
f:\windows\BDOSCAN8\Plugins\emalware.172
f:\windows\BDOSCAN8\Plugins\emalware.173
f:\windows\BDOSCAN8\Plugins\emalware.174
f:\windows\BDOSCAN8\Plugins\emalware.175
f:\windows\BDOSCAN8\Plugins\emalware.176
f:\windows\BDOSCAN8\Plugins\emalware.177
f:\windows\BDOSCAN8\Plugins\emalware.178
f:\windows\BDOSCAN8\Plugins\emalware.179
f:\windows\BDOSCAN8\Plugins\emalware.180
f:\windows\BDOSCAN8\Plugins\emalware.181
f:\windows\BDOSCAN8\Plugins\emalware.182
f:\windows\BDOSCAN8\Plugins\emalware.183
f:\windows\BDOSCAN8\Plugins\emalware.184
f:\windows\BDOSCAN8\Plugins\emalware.185
f:\windows\BDOSCAN8\Plugins\emalware.186
f:\windows\BDOSCAN8\Plugins\emalware.187
f:\windows\BDOSCAN8\Plugins\emalware.188
f:\windows\BDOSCAN8\Plugins\emalware.189
f:\windows\BDOSCAN8\Plugins\emalware.190
f:\windows\BDOSCAN8\Plugins\emalware.191
f:\windows\BDOSCAN8\Plugins\emalware.192
f:\windows\BDOSCAN8\Plugins\emalware.193
f:\windows\BDOSCAN8\Plugins\emalware.194
f:\windows\BDOSCAN8\Plugins\emalware.195
f:\windows\BDOSCAN8\Plugins\emalware.196
f:\windows\BDOSCAN8\Plugins\emalware.197
f:\windows\BDOSCAN8\Plugins\emalware.198
f:\windows\BDOSCAN8\Plugins\emalware.199
f:\windows\BDOSCAN8\Plugins\emalware.200
f:\windows\BDOSCAN8\Plugins\emalware.201
f:\windows\BDOSCAN8\Plugins\emalware.202
f:\windows\BDOSCAN8\Plugins\emalware.203
f:\windows\BDOSCAN8\Plugins\emalware.204
f:\windows\BDOSCAN8\Plugins\emalware.205
f:\windows\BDOSCAN8\Plugins\emalware.206
f:\windows\BDOSCAN8\Plugins\emalware.207
f:\windows\BDOSCAN8\Plugins\emalware.208
f:\windows\BDOSCAN8\Plugins\emalware.209
f:\windows\BDOSCAN8\Plugins\emalware.210
f:\windows\BDOSCAN8\Plugins\emalware.211
f:\windows\BDOSCAN8\Plugins\emalware.212
f:\windows\BDOSCAN8\Plugins\emalware.213
f:\windows\BDOSCAN8\Plugins\emalware.214
f:\windows\BDOSCAN8\Plugins\emalware.215
f:\windows\BDOSCAN8\Plugins\emalware.216
f:\windows\BDOSCAN8\Plugins\emalware.217
f:\windows\BDOSCAN8\Plugins\emalware.218
f:\windows\BDOSCAN8\Plugins\emalware.219
f:\windows\BDOSCAN8\Plugins\emalware.220
f:\windows\BDOSCAN8\Plugins\emalware.221
f:\windows\BDOSCAN8\Plugins\emalware.222
f:\windows\BDOSCAN8\Plugins\emalware.223
f:\windows\BDOSCAN8\Plugins\emalware.224
f:\windows\BDOSCAN8\Plugins\emalware.225
f:\windows\BDOSCAN8\Plugins\emalware.226
f:\windows\BDOSCAN8\Plugins\emalware.227
f:\windows\BDOSCAN8\Plugins\emalware.228
f:\windows\BDOSCAN8\Plugins\emalware.229
f:\windows\BDOSCAN8\Plugins\emalware.230
f:\windows\BDOSCAN8\Plugins\emalware.231
f:\windows\BDOSCAN8\Plugins\emalware.232
f:\windows\BDOSCAN8\Plugins\emalware.233
f:\windows\BDOSCAN8\Plugins\emalware.234
f:\windows\BDOSCAN8\Plugins\emalware.235
f:\windows\BDOSCAN8\Plugins\emalware.236
f:\windows\BDOSCAN8\Plugins\emalware.237
f:\windows\BDOSCAN8\Plugins\emalware.238
f:\windows\BDOSCAN8\Plugins\emalware.239
f:\windows\BDOSCAN8\Plugins\emalware.240
f:\windows\BDOSCAN8\Plugins\emalware.241
f:\windows\BDOSCAN8\Plugins\emalware.242
f:\windows\BDOSCAN8\Plugins\emalware.243
f:\windows\BDOSCAN8\Plugins\emalware.244
f:\windows\BDOSCAN8\Plugins\emalware.245
f:\windows\BDOSCAN8\Plugins\emalware.246
f:\windows\BDOSCAN8\Plugins\emalware.247
f:\windows\BDOSCAN8\Plugins\emalware.248
f:\windows\BDOSCAN8\Plugins\emalware.249
f:\windows\BDOSCAN8\Plugins\emalware.250
f:\windows\BDOSCAN8\Plugins\emalware.251
f:\windows\BDOSCAN8\Plugins\emalware.252
f:\windows\BDOSCAN8\Plugins\emalware.253
f:\windows\BDOSCAN8\Plugins\emalware.254
f:\windows\BDOSCAN8\Plugins\emalware.255
f:\windows\BDOSCAN8\Plugins\emalware.256
f:\windows\BDOSCAN8\Plugins\emalware.257
f:\windows\BDOSCAN8\Plugins\emalware.258
f:\windows\BDOSCAN8\Plugins\emalware.259
f:\windows\BDOSCAN8\Plugins\emalware.260
f:\windows\BDOSCAN8\Plugins\emalware.261
f:\windows\BDOSCAN8\Plugins\emalware.262
f:\windows\BDOSCAN8\Plugins\emalware.263
f:\windows\BDOSCAN8\Plugins\emalware.264
f:\windows\BDOSCAN8\Plugins\emalware.265
f:\windows\BDOSCAN8\Plugins\emalware.266
f:\windows\BDOSCAN8\Plugins\emalware.267
f:\windows\BDOSCAN8\Plugins\emalware.268
f:\windows\BDOSCAN8\Plugins\emalware.269
f:\windows\BDOSCAN8\Plugins\emalware.270
f:\windows\BDOSCAN8\Plugins\emalware.271
f:\windows\BDOSCAN8\Plugins\emalware.272
f:\windows\BDOSCAN8\Plugins\emalware.273
f:\windows\BDOSCAN8\Plugins\emalware.274
f:\windows\BDOSCAN8\Plugins\emalware.275
f:\windows\BDOSCAN8\Plugins\emalware.276
f:\windows\BDOSCAN8\Plugins\emalware.277
f:\windows\BDOSCAN8\Plugins\emalware.278
f:\windows\BDOSCAN8\Plugins\emalware.279
f:\windows\BDOSCAN8\Plugins\emalware.280
f:\windows\BDOSCAN8\Plugins\emalware.281
f:\windows\BDOSCAN8\Plugins\emalware.282
f:\windows\BDOSCAN8\Plugins\emalware.283
f:\windows\BDOSCAN8\Plugins\emalware.284
f:\windows\BDOSCAN8\Plugins\emalware.285
f:\windows\BDOSCAN8\Plugins\emalware.286
f:\windows\BDOSCAN8\Plugins\emalware.287
f:\windows\BDOSCAN8\Plugins\emalware.288
f:\windows\BDOSCAN8\Plugins\emalware.289
f:\windows\BDOSCAN8\Plugins\emalware.290
f:\windows\BDOSCAN8\Plugins\emalware.291
f:\windows\BDOSCAN8\Plugins\emalware.292
f:\windows\BDOSCAN8\Plugins\emalware.293
f:\windows\BDOSCAN8\Plugins\emalware.294
f:\windows\BDOSCAN8\Plugins\emalware.295
f:\windows\BDOSCAN8\Plugins\emalware.296
f:\windows\BDOSCAN8\Plugins\emalware.297
f:\windows\BDOSCAN8\Plugins\emalware.298
f:\windows\BDOSCAN8\Plugins\emalware.299
f:\windows\BDOSCAN8\Plugins\emalware.300
f:\windows\BDOSCAN8\Plugins\emalware.301
f:\windows\BDOSCAN8\Plugins\emalware.302
f:\windows\BDOSCAN8\Plugins\emalware.303
f:\windows\BDOSCAN8\Plugins\emalware.304
f:\windows\BDOSCAN8\Plugins\emalware.305
f:\windows\BDOSCAN8\Plugins\emalware.306
f:\windows\BDOSCAN8\Plugins\emalware.307
f:\windows\BDOSCAN8\Plugins\emalware.308
f:\windows\BDOSCAN8\Plugins\emalware.309
f:\windows\BDOSCAN8\Plugins\emalware.310
f:\windows\BDOSCAN8\Plugins\emalware.311
f:\windows\BDOSCAN8\Plugins\emalware.312
f:\windows\BDOSCAN8\Plugins\emalware.313
f:\windows\BDOSCAN8\Plugins\emalware.314
f:\windows\BDOSCAN8\Plugins\emalware.315
f:\windows\BDOSCAN8\Plugins\emalware.316
f:\windows\BDOSCAN8\Plugins\emalware.317
f:\windows\BDOSCAN8\Plugins\emalware.318
f:\windows\BDOSCAN8\Plugins\emalware.319
f:\windows\BDOSCAN8\Plugins\emalware.320
f:\windows\BDOSCAN8\Plugins\emalware.321
f:\windows\BDOSCAN8\Plugins\emalware.322
f:\windows\BDOSCAN8\Plugins\emalware.323
f:\windows\BDOSCAN8\Plugins\emalware.324
f:\windows\BDOSCAN8\Plugins\emalware.325
f:\windows\BDOSCAN8\Plugins\emalware.326
f:\windows\BDOSCAN8\Plugins\emalware.327
f:\windows\BDOSCAN8\Plugins\emalware.328
f:\windows\BDOSCAN8\Plugins\emalware.329
f:\windows\BDOSCAN8\Plugins\emalware.330
f:\windows\BDOSCAN8\Plugins\emalware.331
f:\windows\BDOSCAN8\Plugins\emalware.332
f:\windows\BDOSCAN8\Plugins\emalware.333
f:\windows\BDOSCAN8\Plugins\emalware.334
f:\windows\BDOSCAN8\Plugins\emalware.335
f:\windows\BDOSCAN8\Plugins\emalware.336
f:\windows\BDOSCAN8\Plugins\emalware.337
f:\windows\BDOSCAN8\Plugins\emalware.338
f:\windows\BDOSCAN8\Plugins\emalware.339
f:\windows\BDOSCAN8\Plugins\emalware.340
f:\windows\BDOSCAN8\Plugins\emalware.341
f:\windows\BDOSCAN8\Plugins\emalware.342
f:\windows\BDOSCAN8\Plugins\emalware.343
f:\windows\BDOSCAN8\Plugins\emalware.344
f:\windows\BDOSCAN8\Plugins\emalware.345
f:\windows\BDOSCAN8\Plugins\emalware.346
f:\windows\BDOSCAN8\Plugins\emalware.347
f:\windows\BDOSCAN8\Plugins\emalware.348
f:\windows\BDOSCAN8\Plugins\emalware.349
f:\windows\BDOSCAN8\Plugins\emalware.350
f:\windows\BDOSCAN8\Plugins\emalware.351
f:\windows\BDOSCAN8\Plugins\emalware.352
f:\windows\BDOSCAN8\Plugins\emalware.353
f:\windows\BDOSCAN8\Plugins\emalware.354
f:\windows\BDOSCAN8\Plugins\emalware.355
f:\windows\BDOSCAN8\Plugins\emalware.356
f:\windows\BDOSCAN8\Plugins\emalware.357
f:\windows\BDOSCAN8\Plugins\emalware.358
f:\windows\BDOSCAN8\Plugins\emalware.359
f:\windows\BDOSCAN8\Plugins\emalware.360
f:\windows\BDOSCAN8\Plugins\emalware.361
f:\windows\BDOSCAN8\Plugins\emalware.362
f:\windows\BDOSCAN8\Plugins\emalware.363
f:\windows\BDOSCAN8\Plugins\emalware.364
f:\windows\BDOSCAN8\Plugins\emalware.365
f:\windows\BDOSCAN8\Plugins\emalware.366
f:\windows\BDOSCAN8\Plugins\emalware.367
f:\windows\BDOSCAN8\Plugins\emalware.368
f:\windows\BDOSCAN8\Plugins\emalware.369
f:\windows\BDOSCAN8\Plugins\emalware.c00
f:\windows\BDOSCAN8\Plugins\emalware.c01
f:\windows\BDOSCAN8\Plugins\emalware.c02
f:\windows\BDOSCAN8\Plugins\emalware.c03
f:\windows\BDOSCAN8\Plugins\emalware.c04
f:\windows\BDOSCAN8\Plugins\emalware.c05
f:\windows\BDOSCAN8\Plugins\emalware.c06
f:\windows\BDOSCAN8\Plugins\emalware.c07
f:\windows\BDOSCAN8\Plugins\emalware.c08
f:\windows\BDOSCAN8\Plugins\emalware.c09
f:\windows\BDOSCAN8\Plugins\emalware.c10
f:\windows\BDOSCAN8\Plugins\emalware.cvd
f:\windows\BDOSCAN8\Plugins\emalware.i01
f:\windows\BDOSCAN8\Plugins\emalware.i02
f:\windows\BDOSCAN8\Plugins\emalware.i03
f:\windows\BDOSCAN8\Plugins\emalware.i04
f:\windows\BDOSCAN8\Plugins\emalware.i05
f:\windows\BDOSCAN8\Plugins\emalware.i06
f:\windows\BDOSCAN8\Plugins\emalware.i07
f:\windows\BDOSCAN8\Plugins\emalware.i08
f:\windows\BDOSCAN8\Plugins\emalware.i09
f:\windows\BDOSCAN8\Plugins\emalware.i10
f:\windows\BDOSCAN8\Plugins\emalware.i11
f:\windows\BDOSCAN8\Plugins\emalware.i12
f:\windows\BDOSCAN8\Plugins\emalware.i13
f:\windows\BDOSCAN8\Plugins\emalware.i14
f:\windows\BDOSCAN8\Plugins\emalware.i15
f:\windows\BDOSCAN8\Plugins\emalware.i16
f:\windows\BDOSCAN8\Plugins\emalware.i17
f:\windows\BDOSCAN8\Plugins\emalware.i18
f:\windows\BDOSCAN8\Plugins\emalware.i19
f:\windows\BDOSCAN8\Plugins\emalware.i20
f:\windows\BDOSCAN8\Plugins\emalware.i21
f:\windows\BDOSCAN8\Plugins\emalware.i22
f:\windows\BDOSCAN8\Plugins\emalware.i23
f:\windows\BDOSCAN8\Plugins\emalware.i24
f:\windows\BDOSCAN8\Plugins\emalware.i25
f:\windows\BDOSCAN8\Plugins\emalware.i26

Holo · 18.05.2009, 21:57

Und hier Teil 2 :

f:\windows\BDOSCAN8\Plugins\emalware.i27
f:\windows\BDOSCAN8\Plugins\emalware.i28
f:\windows\BDOSCAN8\Plugins\emalware.i29
f:\windows\BDOSCAN8\Plugins\emalware.i30
f:\windows\BDOSCAN8\Plugins\emalware.i31
f:\windows\BDOSCAN8\Plugins\emalware.i32
f:\windows\BDOSCAN8\Plugins\emalware.i33
f:\windows\BDOSCAN8\Plugins\emalware.i34
f:\windows\BDOSCAN8\Plugins\emalware.i35
f:\windows\BDOSCAN8\Plugins\emalware.i36
f:\windows\BDOSCAN8\Plugins\emalware.i37
f:\windows\BDOSCAN8\Plugins\emalware.i38
f:\windows\BDOSCAN8\Plugins\emalware.i39
f:\windows\BDOSCAN8\Plugins\emalware.i40
f:\windows\BDOSCAN8\Plugins\emalware.i41
f:\windows\BDOSCAN8\Plugins\emalware.i42
f:\windows\BDOSCAN8\Plugins\emalware.i43
f:\windows\BDOSCAN8\Plugins\emalware.i44
f:\windows\BDOSCAN8\Plugins\emalware.i45
f:\windows\BDOSCAN8\Plugins\emalware.i46
f:\windows\BDOSCAN8\Plugins\emalware.i47
f:\windows\BDOSCAN8\Plugins\emalware.i48
f:\windows\BDOSCAN8\Plugins\emalware.i49
f:\windows\BDOSCAN8\Plugins\emalware.i50
f:\windows\BDOSCAN8\Plugins\emalware.i51
f:\windows\BDOSCAN8\Plugins\emalware.i52
f:\windows\BDOSCAN8\Plugins\emalware.i53
f:\windows\BDOSCAN8\Plugins\emalware.i54
f:\windows\BDOSCAN8\Plugins\emalware.i55
f:\windows\BDOSCAN8\Plugins\emalware.i56
f:\windows\BDOSCAN8\Plugins\emalware.i57
f:\windows\BDOSCAN8\Plugins\emalware.i58
f:\windows\BDOSCAN8\Plugins\emalware.i59
f:\windows\BDOSCAN8\Plugins\emalware.i60
f:\windows\BDOSCAN8\Plugins\emalware.i61
f:\windows\BDOSCAN8\Plugins\emalware.i62
f:\windows\BDOSCAN8\Plugins\emalware.i63
f:\windows\BDOSCAN8\Plugins\emalware.i64
f:\windows\BDOSCAN8\Plugins\emalware.i65
f:\windows\BDOSCAN8\Plugins\emalware.i66
f:\windows\BDOSCAN8\Plugins\emalware.i67
f:\windows\BDOSCAN8\Plugins\emalware.i68
f:\windows\BDOSCAN8\Plugins\emalware.i69
f:\windows\BDOSCAN8\Plugins\emalware.i70
f:\windows\BDOSCAN8\Plugins\emalware.i71
f:\windows\BDOSCAN8\Plugins\emalware.i72
f:\windows\BDOSCAN8\Plugins\emalware.i73
f:\windows\BDOSCAN8\Plugins\emalware.i74
f:\windows\BDOSCAN8\Plugins\emalware.i75
f:\windows\BDOSCAN8\Plugins\emalware.i76
f:\windows\BDOSCAN8\Plugins\emalware.i77
f:\windows\BDOSCAN8\Plugins\emalware.i78
f:\windows\BDOSCAN8\Plugins\emalware.i79
f:\windows\BDOSCAN8\Plugins\emalware.i80
f:\windows\BDOSCAN8\Plugins\emalware.i81
f:\windows\BDOSCAN8\Plugins\emalware.i82
f:\windows\BDOSCAN8\Plugins\emalware.i83
f:\windows\BDOSCAN8\Plugins\emalware.i84
f:\windows\BDOSCAN8\Plugins\emalware.i85
f:\windows\BDOSCAN8\Plugins\emalware.i86
f:\windows\BDOSCAN8\Plugins\emalware.i87
f:\windows\BDOSCAN8\Plugins\emalware.i88
f:\windows\BDOSCAN8\Plugins\emalware.i89
f:\windows\BDOSCAN8\Plugins\emalware.i90
f:\windows\BDOSCAN8\Plugins\emalware.i91
f:\windows\BDOSCAN8\Plugins\emalware.i92
f:\windows\BDOSCAN8\Plugins\emalware.i93
f:\windows\BDOSCAN8\Plugins\emalware.i94
f:\windows\BDOSCAN8\Plugins\emalware.i95
f:\windows\BDOSCAN8\Plugins\emalware.i96
f:\windows\BDOSCAN8\Plugins\emalware.i97
f:\windows\BDOSCAN8\Plugins\emalware.i98
f:\windows\BDOSCAN8\Plugins\emalware.i99
f:\windows\BDOSCAN8\Plugins\emalware.ivd
f:\windows\BDOSCAN8\Plugins\emalware.xmd
f:\windows\BDOSCAN8\Plugins\epoc.xmd
f:\windows\BDOSCAN8\Plugins\gvmscripts.cvd
f:\windows\BDOSCAN8\Plugins\gzip.xmd
f:\windows\BDOSCAN8\Plugins\ha.xmd
f:\windows\BDOSCAN8\Plugins\hlp.xmd
f:\windows\BDOSCAN8\Plugins\hpe.cvd
f:\windows\BDOSCAN8\Plugins\hpe.xmd
f:\windows\BDOSCAN8\Plugins\hqx.xmd
f:\windows\BDOSCAN8\Plugins\html.xmd
f:\windows\BDOSCAN8\Plugins\imp.xmd
f:\windows\BDOSCAN8\Plugins\inno.xmd
f:\windows\BDOSCAN8\Plugins\instyler.xmd
f:\windows\BDOSCAN8\Plugins\iso.xmd
f:\windows\BDOSCAN8\Plugins\java.cvd
f:\windows\BDOSCAN8\Plugins\java.xmd
f:\windows\BDOSCAN8\Plugins\jpeg.xmd
f:\windows\BDOSCAN8\Plugins\lha.xmd
f:\windows\BDOSCAN8\Plugins\lnk.xmd
f:\windows\BDOSCAN8\Plugins\mbox.xmd
f:\windows\BDOSCAN8\Plugins\mbx.xmd
f:\windows\BDOSCAN8\Plugins\mdx.xmd
f:\windows\BDOSCAN8\Plugins\mdx_97.cvd
f:\windows\BDOSCAN8\Plugins\mdx_97.ivd
f:\windows\BDOSCAN8\Plugins\mdx_w95.cvd
f:\windows\BDOSCAN8\Plugins\mdx_x95.cvd
f:\windows\BDOSCAN8\Plugins\mdx_xf.cvd
f:\windows\BDOSCAN8\Plugins\mime.xmd
f:\windows\BDOSCAN8\Plugins\mobmalware.cvd
f:\windows\BDOSCAN8\Plugins\mobmalware.xmd
f:\windows\BDOSCAN8\Plugins\mso.xmd
f:\windows\BDOSCAN8\Plugins\na.cvd
f:\windows\BDOSCAN8\Plugins\na.xmd
f:\windows\BDOSCAN8\Plugins\nelf.cvd
f:\windows\BDOSCAN8\Plugins\nelf.xmd
f:\windows\BDOSCAN8\Plugins\nsis.xmd
f:\windows\BDOSCAN8\Plugins\objd.xmd
f:\windows\BDOSCAN8\Plugins\orice.rvd
f:\windows\BDOSCAN8\Plugins\pdf.xmd
f:\windows\BDOSCAN8\Plugins\proc.xmd
f:\windows\BDOSCAN8\Plugins\pst.xmd
f:\windows\BDOSCAN8\Plugins\rar.xmd
f:\windows\BDOSCAN8\Plugins\regarch.cvd
f:\windows\BDOSCAN8\Plugins\regarch.xmd
f:\windows\BDOSCAN8\Plugins\regscan.cvd
f:\windows\BDOSCAN8\Plugins\regscan.xmd
f:\windows\BDOSCAN8\Plugins\rpm.xmd
f:\windows\BDOSCAN8\Plugins\rtf.xmd
f:\windows\BDOSCAN8\Plugins\rup.cvd
f:\windows\BDOSCAN8\Plugins\rup.xmd
f:\windows\BDOSCAN8\Plugins\sdx.cvd
f:\windows\BDOSCAN8\Plugins\sdx.ivd
f:\windows\BDOSCAN8\Plugins\sdx.xmd
f:\windows\BDOSCAN8\Plugins\sfx.xmd
f:\windows\BDOSCAN8\Plugins\swf.xmd
f:\windows\BDOSCAN8\Plugins\tar.xmd
f:\windows\BDOSCAN8\Plugins\td0.xmd
f:\windows\BDOSCAN8\Plugins\thebat.xmd
f:\windows\BDOSCAN8\Plugins\tnef.xmd
f:\windows\BDOSCAN8\Plugins\uif.xmd
f:\windows\BDOSCAN8\Plugins\unpack.cvd
f:\windows\BDOSCAN8\Plugins\unpack.ivd
f:\windows\BDOSCAN8\Plugins\unpack.xmd
f:\windows\BDOSCAN8\Plugins\update.txt
f:\windows\BDOSCAN8\Plugins\uudecode.xmd
f:\windows\BDOSCAN8\Plugins\ve.cvd
f:\windows\BDOSCAN8\Plugins\ve.ivd
f:\windows\BDOSCAN8\Plugins\ve.xmd
f:\windows\BDOSCAN8\Plugins\vedata.cvd
f:\windows\BDOSCAN8\Plugins\viza.xmd
f:\windows\BDOSCAN8\Plugins\wise.xmd
f:\windows\BDOSCAN8\Plugins\xar.xmd
f:\windows\BDOSCAN8\Plugins\xcookies.xmd
f:\windows\BDOSCAN8\Plugins\xishield.xmd
f:\windows\BDOSCAN8\Plugins\xlmrd.cvd
f:\windows\BDOSCAN8\Plugins\xlmrd.ivd
f:\windows\BDOSCAN8\Plugins\z.xmd
f:\windows\BDOSCAN8\Plugins\zip.xmd
f:\windows\BDOSCAN8\Plugins\zoo.xmd
f:\windows\BDOSCAN8\rtvr.html
f:\windows\BDOSCAN8\rtvr2.html
f:\windows\BDOSCAN8\scanoptions.tsi
f:\windows\BDOSCAN8\scanoptions.tsk
f:\windows\BDOSCAN8\scanrep.html
f:\windows\BDOSCAN8\scanres.html
f:\windows\BDOSCAN8\scanres2.html
f:\windows\BDOSCAN8\versions.dat.E1C5D885B85ECDBC2003620A013AC736
f:\windows\BDOSCAN8\versions.dat.E658AEFE91DB8F659AA487CA0F96AD22
f:\windows\system32\perfc007.dat
f:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AUJASNKJ
-------\Legacy_CATCHME
-------\Legacy_MEMSWEEP2
-------\Service_catchme

((((((((((((((((((((((( Dateien erstellt von 2009-04-18 bis 2009-05-18 ))))))))))))))))))))))))))))))
.

2009-05-18 20:30 . 2009-05-18 20:30 -------- d-----w f:\programme\Java
2009-05-18 18:27 . 2009-03-24 14:08 55640 ----a-w f:\windows\system32\drivers\avgntflt.sys
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\programme\Avira
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-04-06 13:32 15504 ----a-w f:\windows\system32\drivers\mbam.sys
2009-05-18 13:29 . 2009-04-06 13:32 38496 ----a-w f:\windows\system32\drivers\mbamswissarmy.sys
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\programme\Malwarebytes' Anti-Malware
2009-05-18 13:19 . 2009-05-18 13:19 -------- d-----w f:\programme\CCleaner
2009-05-18 12:41 . 2009-05-18 12:41 -------- d-----w f:\programme\Avira GmbH
2009-05-18 12:07 . 2009-05-16 16:06 20480 ----a-w f:\windows\system32\tj.exe
2009-05-18 12:07 . 2009-05-18 12:07 107244 ----a-w f:\windows\system32\vp_setup.exe
2009-05-18 11:42 . 2009-05-18 11:42 37376 ----a-w f:\windows\system32\glsetup.exe
2009-05-11 05:27 . 2008-04-13 18:45 26368 -c--a-w f:\windows\system32\dllcache\usbstor.sys
2009-05-08 19:27 . 2009-05-08 19:27 -------- d-----w f:\programme\Ventrilo Mix 1.0
2009-04-30 09:43 . 2009-04-30 09:43 -------- d-----w f:\programme\Trend Micro
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Eigene Dateien
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Opera
2009-04-30 00:11 . 2009-04-30 00:12 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Media Player Classic
2009-04-30 00:11 . 2003-03-19 03:14 499712 ----a-w f:\windows\system32\msvcp71.dll
2009-04-30 00:11 . 2004-01-11 22:00 348160 ----a-w f:\windows\system32\msvcr71.dll
2009-04-26 21:04 . 2009-04-26 21:04 23600 ----a-w f:\windows\system32\drivers\TVICHW32.SYS
2009-04-26 21:04 . 2009-04-26 21:04 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\eSupport.com
2009-04-26 19:49 . 2008-02-25 19:05 593920 ------w f:\windows\system32\ati2sgag.exe
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\ATI
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\ATI
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\windows\system32\XPSViewer
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\programme\MSBuild
2009-04-26 18:27 . 2009-04-26 18:27 -------- d-----w f:\programme\Reference Assemblies
2009-04-26 18:27 . 2008-07-06 12:06 117760 ------w f:\windows\system32\prntvpt.dll
2009-04-26 18:27 . 2008-07-06 12:06 89088 -c----w f:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-26 18:27 . 2008-07-06 10:50 597504 -c----w f:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-26 18:27 . 2008-07-06 12:06 575488 -c----w f:\windows\system32\dllcache\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 575488 ------w f:\windows\system32\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 -c----w f:\windows\system32\dllcache\xpssvcs.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 ------w f:\windows\system32\xpssvcs.dll
2009-04-26 17:43 . 2009-04-26 17:43 0 ----a-w f:\windows\ativpsrm.bin
2009-04-26 17:20 . 2009-04-26 19:38 -------- d-----w f:\programme\ATI Technologies
2009-04-26 17:19 . 2009-04-26 19:58 -------- d-----w F:\ATI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-18 20:30 . 2009-03-05 01:50 410984 ----a-w f:\windows\system32\deploytk.dll
2009-05-18 12:41 . 2008-09-25 07:02 -------- d--h--w f:\programme\InstallShield Installation Information
2009-05-03 04:01 . 2008-10-10 16:25 -------- d-----w f:\programme\Curse
2009-04-26 17:20 . 2008-09-25 06:16 -------- d-----w f:\programme\Gemeinsame Dateien\InstallShield
2009-04-26 14:53 . 2008-09-25 05:47 -------- d-----w f:\programme\SystemRequirementsLab
2009-04-14 09:05 . 2009-04-14 09:04 -------- d-----w f:\programme\Gemeinsame Dateien\Adobe
2009-03-06 14:19 . 2003-04-02 12:00 286720 ----a-w f:\windows\system32\pdh.dll
2009-03-03 00:03 . 2003-04-02 12:00 826368 ----a-w f:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 07:57 78336 ------w f:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-18_18.57.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-18 20:48 . 2009-05-18 20:48 16384 f:\windows\temp\Perflib_Perfdata_538.dat
+ 2009-05-18 20:30 . 2009-05-18 20:30 148888 f:\windows\system32\javaws.exe
- 2009-03-05 01:50 . 2009-03-05 01:50 148888 f:\windows\system32\javaws.exe
+ 2009-05-18 20:30 . 2009-05-18 20:30 144792 f:\windows\system32\javaw.exe
- 2009-03-05 01:50 . 2009-03-05 01:50 144792 f:\windows\system32\javaw.exe
+ 2009-05-18 20:30 . 2009-05-18 20:30 144792 f:\windows\system32\java.exe
- 2009-03-05 01:50 . 2009-03-05 01:50 144792 f:\windows\system32\java.exe
.
((((((((((((((((((((((((((((((((((((((( System Restore )))))))))))))))))))))))))))))))))))))))))))))))))))
.

f:\069dhkoswz\System.Data.SqlXml.dll
26.04.2009 20:26 745472 \RP206\A0040672.dll

25.02.2009 22:15 139264 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\AtiCimUn.exe
25.02.2009 22:15 139264 \RP206\A0040732.exe

25.02.2009 23:04 6656 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\aticd64a.sys
25.02.2009 23:04 6656 \RP206\A0040743.sys

25.02.2009 23:03 348160 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\aticds10.dll
25.02.2009 23:03 348160 \RP206\A0040744.dll

25.02.2009 23:05 53248 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\AtiCIM.dll
25.02.2009 23:05 53248 \RP206\A0040740.dll

25.02.2009 23:05 397312 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\atiicdxx.dll
25.02.2009 23:05 397312 \RP206\A0040745.dll

25.02.2009 23:04 308224 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\atiicdxx.exe
25.02.2009 23:04 308224 \RP206\A0040746.exe

25.02.2009 23:04 6144 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\atiicdxx.sys
25.02.2009 23:04 6144 \RP206\A0040749.sys

25.02.2009 23:05 123392 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\EnumDev.exe
25.02.2009 23:05 123392 \RP206\A0040741.exe

25.02.2009 23:05 128512 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\BIN\UpdatPnP.exe
25.02.2009 23:05 128512 \RP206\A0040742.exe

15.07.2008 01:48 94208 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Blizzard\Blizzard.dll
15.07.2008 01:48 94208 \RP206\A0040754.dll

15.07.2008 15:45 539171 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Blizzard\setup.exe
15.07.2008 15:45 539171 \RP206\A0040755.exe

13.06.2007 20:46 94208 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\CatalystRegistration\CatalystRegistration.dll
13.06.2007 20:46 94208 \RP206\A0040800.dll

05.10.2007 17:16 885828 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\CatalystRegistration\setup.exe
05.10.2007 17:16 885828 \RP206\A0040801.exe

25.02.2009 23:05 94208 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\CCC\CCC.dll
25.02.2009 23:05 94208 \RP206\A0040756.dll

11.11.2003 01:55 116880 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\CCC\setup.exe
11.11.2003 01:55 116880 \RP206\A0040759.exe

26.10.2006 17:03 6656 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\CCC\UCI_ext.dll
26.10.2006 17:03 6656 \RP206\A0040757.dll

25.02.2009 22:15 73728 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\CheckVer.exe
25.02.2009 22:15 73728 \RP206\A0040733.exe

25.02.2009 23:05 94208 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Driver\Driver.DLL
25.02.2009 23:05 94208 \RP206\A0040803.DLL

25.02.2009 22:15 46080 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Driver\Setup.exe
25.02.2009 22:15 46080 \RP206\A0040806.exe

25.02.2009 23:42 442368 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Driver\XP_INF\B_76557\atidemgx.dll
25.02.2009 23:42 442368 \RP206\A0040811.dll

25.02.2009 23:09 307200 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Driver\XP_INF\B_76557\atiiiexx.dll
25.02.2009 23:09 307200 \RP206\A0040812.dll

25.02.2009 22:15 51712 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\DrvUI64A.exe
25.02.2009 22:15 51712 \RP206\A0040734.exe

25.02.2009 22:15 127488 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\issetup.exe
25.02.2009 22:15 127488 \RP206\A0040738.exe

25.02.2009 22:15 18192 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\psapi.dll
25.02.2009 22:15 18192 \RP206\A0040739.dll

25.02.2009 22:15 65536 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\Setup.exe
25.02.2009 22:15 65536 \RP206\A0040736.exe

04.02.2009 04:31 170496 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\WDM_ALL\AVS_T200\XP\atinavt2.SYS
04.02.2009 04:31 170496 \RP206\A0040820.SYS

04.02.2009 04:26 999040 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\WDM_ALL\RIO\XP\atinavrr.SYS
04.02.2009 04:26 999040 \RP206\A0040826.SYS

11.09.2006 20:47 12672 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\WDM_ALL\RIO\XP\NcRemotePci.SYS
11.09.2006 20:47 12672 \RP206\A0040825.SYS

18.02.2005 23:23 139264 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\WDM_ALL\Setup.exe
18.02.2005 23:23 139264 \RP206\A0040815.exe

25.02.2009 23:05 94208 f:\ati\Support\9_3_xp32_dd_ccc_wdm_enu\Driver\WDM_ALL\WDM_ALL.dll
25.02.2009 23:05 94208 \RP206\A0040817.dll

F:\ccc.reg
18.10.2006 11:20 78 \RP210\A0041216.reg
18.10.2006 11:20 78 \RP210\A0041216.reg

F:\CLI.Caste.Graphics.Runtime.dll
\RP210\A0041213.d"

f:\core-implementation\APM.Server.dll
25.02.2009 15:39 61440 \RP210\A0041299.dll

14.04.2008 04:22 26624 f:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
\RP195\A0035016.dllf:\programme\Avira\AntiVir PersonalEdition Classic\FAILSAFE\aebb.dll
14.04.2008 04:22 26624 \RP212\A0042626.dll

f:\dokumente und einstellungen\Rob\Anwendungsdaten\Sun\Java\jre1.6.0_11\lzma.dll
05.03.2009 03:49 152576 \RP214\A0043761.dll

f:\dokumente und einstellungen\Rob\Desktop\9-3_xp32_dd_ccc_wdm_enu.exe
26.04.2009 18:15 40091352 \RP209\A0040849.exe

f:\dokumente und einstellungen\Rob\Desktop\AdbeRdr910_de_DE.exe
14.04.2009 10:30 27899032 \RP209\A0040850.exe

f:\dokumente und einstellungen\Rob\Desktop\CDBremse148.exe
13.11.2008 03:47 811553 \RP209\A0040851.exe

f:\dokumente und einstellungen\Rob\Desktop\CurseSetup-1.0.6.0.exe
10.10.2008 18:24 3528832 \RP209\A0040852.exe

f:\dokumente und einstellungen\Rob\Desktop\InstallWoW.exe
13.11.2008 04:16 1131176 \RP209\A0040856.exe

f:\dokumente und einstellungen\Rob\Desktop\Interface\AddOns\BigWigs\bigwigslod.bat
10.10.2008 18:38 666 \RP209\A0040857.bat

f:\dokumente und einstellungen\Rob\Desktop\Interface\AddOns\oRA2\ora2lod.bat
17.10.2008 05:19 222 \RP209\A0040867.bat

f:\dokumente und einstellungen\Rob\Desktop\Interface\AddOns\Quartz\quartzlod.bat
10.10.2008 18:35 821 \RP209\A0040868.bat

f:\dokumente und einstellungen\Rob\Desktop\kram\175.19_geforce_winxp_32bit_international_whql.exe
25.09.2008 08:02 75966544 \RP209\A0040875.exe

f:\dokumente und einstellungen\Rob\Desktop\kram\antivir_workstation8.1.0.331_winu_de_h.exe
25.09.2008 09:41 25093328 \RP209\A0040876.exe

f:\dokumente und einstellungen\Rob\Desktop\kram\Opera_952_10108_in.exe
25.09.2008 07:38 8929896 \RP209\A0040877.exe

f:\dokumente und einstellungen\Rob\Desktop\kram\winamp5541_full_emusic-7plus_de-de.exe
\RP209\A0
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.dll]
path=f:\dokumente und einstellungen\Rob\Startmenü\Programme\Autostart\ChkDisk.dll
backup=f:\windows\pss\ChkDisk.dllStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"g:\\World of Warcraft\\Repair.exe"=
"f:\\Programme\\Opera\\opera.exe"=
"g:\\World of Warcraft\\Launcher.exe"=
"g:\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 20:27 108289]
S3 FLASHSYS;FLASHSYS;f:\windows\system32\drivers\FlashSys.sys [31.01.2008 17:18 9216]
S3 WEBNTACCESS;WEBNTACCESS;f:\windows\system32\Ntaccess.sys [13.04.2008 11:21 17920]
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-18 22:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
f:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(5800)
f:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
f:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL
f:\windows\system32\msls31.dll
f:\windows\system32\WPDShServiceObj.dll
f:\windows\system32\PortableDeviceTypes.dll
f:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\windows\system32\ati2evxx.exe
f:\windows\system32\ati2evxx.exe
f:\programme\Avira\AntiVir Desktop\avguard.exe
f:\programme\Java\jre6\bin\jqs.exe
f:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-18 22:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-18 20:51
ComboFix2.txt 2009-05-18 18:58

Vor Suchlauf: 9.129.713.664 Bytes frei
Nach Suchlauf: 9.068.863.488 Bytes frei

924 --- E O F --- 2009-05-14 01:01

john.doe · 18.05.2009, 22:12

Weil es so schön war, gleich nocheinmal. Die Dateien, die du hochgeladen hast, sind alles Schädlinge und noch ganz neu, nur 6/40 haben die erkannt.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.dll]

File::
f:\windows\system32\tj.exe
f:\windows\system32\vp_setup.exe
f:\windows\system32\glsetup.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Holo · 18.05.2009, 22:18

Fühl mich dank deiner Hilfe ein bischen wie ein Entdecker *g*
Wenn du mal Zeit hast, würd mich interessieren was mein Pc eigentlich alles so macht ohne mein Zutun dank dieser Schädlinge..

Combofix wird gerade gestartet, brb.

Holo · 18.05.2009, 22:27

ComboFix 09-05-17.08 - Rob 18.05.2009 23:19.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1535.1149 [GMT 2:00]
ausgeführt von:: f:\dokumente und einstellungen\Rob\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: f:\dokumente und einstellungen\Rob\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
f:\windows\system32\glsetup.exe
f:\windows\system32\tj.exe
f:\windows\system32\vp_setup.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

f:\windows\system32\glsetup.exe
f:\windows\system32\tj.exe
f:\windows\system32\vp_setup.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-18 bis 2009-05-18 ))))))))))))))))))))))))))))))
.

2009-05-18 20:30 . 2009-05-18 20:30 -------- d-----w f:\programme\Java
2009-05-18 18:27 . 2009-03-24 14:08 55640 ----a-w f:\windows\system32\drivers\avgntflt.sys
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\programme\Avira
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-04-06 13:32 15504 ----a-w f:\windows\system32\drivers\mbam.sys
2009-05-18 13:29 . 2009-04-06 13:32 38496 ----a-w f:\windows\system32\drivers\mbamswissarmy.sys
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\programme\Malwarebytes' Anti-Malware
2009-05-18 13:19 . 2009-05-18 13:19 -------- d-----w f:\programme\CCleaner
2009-05-18 12:41 . 2009-05-18 12:41 -------- d-----w f:\programme\Avira GmbH
2009-05-11 05:27 . 2008-04-13 18:45 26368 -c--a-w f:\windows\system32\dllcache\usbstor.sys
2009-05-08 19:27 . 2009-05-08 19:27 -------- d-----w f:\programme\Ventrilo Mix 1.0
2009-04-30 09:43 . 2009-04-30 09:43 -------- d-----w f:\programme\Trend Micro
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Eigene Dateien
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Opera
2009-04-30 00:11 . 2009-04-30 00:12 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Media Player Classic
2009-04-30 00:11 . 2003-03-19 03:14 499712 ----a-w f:\windows\system32\msvcp71.dll
2009-04-30 00:11 . 2004-01-11 22:00 348160 ----a-w f:\windows\system32\msvcr71.dll
2009-04-26 21:04 . 2009-04-26 21:04 23600 ----a-w f:\windows\system32\drivers\TVICHW32.SYS
2009-04-26 21:04 . 2009-04-26 21:04 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\eSupport.com
2009-04-26 19:49 . 2008-02-25 19:05 593920 ------w f:\windows\system32\ati2sgag.exe
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\ATI
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\ATI
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\windows\system32\XPSViewer
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\programme\MSBuild
2009-04-26 18:27 . 2009-04-26 18:27 -------- d-----w f:\programme\Reference Assemblies
2009-04-26 18:27 . 2008-07-06 12:06 117760 ------w f:\windows\system32\prntvpt.dll
2009-04-26 18:27 . 2008-07-06 12:06 89088 -c----w f:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-26 18:27 . 2008-07-06 10:50 597504 -c----w f:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-26 18:27 . 2008-07-06 12:06 575488 -c----w f:\windows\system32\dllcache\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 575488 ------w f:\windows\system32\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 -c----w f:\windows\system32\dllcache\xpssvcs.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 ------w f:\windows\system32\xpssvcs.dll
2009-04-26 17:43 . 2009-04-26 17:43 0 ----a-w f:\windows\ativpsrm.bin
2009-04-26 17:20 . 2009-04-26 19:38 -------- d-----w f:\programme\ATI Technologies
2009-04-26 17:19 . 2009-04-26 19:58 -------- d-----w F:\ATI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-18 20:30 . 2009-03-05 01:50 410984 ----a-w f:\windows\system32\deploytk.dll
2009-05-18 12:41 . 2008-09-25 07:02 -------- d--h--w f:\programme\InstallShield Installation Information
2009-05-03 04:01 . 2008-10-10 16:25 -------- d-----w f:\programme\Curse
2009-04-26 17:20 . 2008-09-25 06:16 -------- d-----w f:\programme\Gemeinsame Dateien\InstallShield
2009-04-26 14:53 . 2008-09-25 05:47 -------- d-----w f:\programme\SystemRequirementsLab
2009-04-14 09:05 . 2009-04-14 09:04 -------- d-----w f:\programme\Gemeinsame Dateien\Adobe
2009-03-06 14:19 . 2003-04-02 12:00 286720 ----a-w f:\windows\system32\pdh.dll
2009-03-03 00:03 . 2003-04-02 12:00 826368 ----a-w f:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 07:57 78336 ------w f:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-18_18.57.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-18 21:22 . 2009-05-18 21:22 16384 f:\windows\temp\Perflib_Perfdata_4cc.dat
+ 2009-05-18 20:30 . 2009-05-18 20:30 148888 f:\windows\system32\javaws.exe
- 2009-03-05 01:50 . 2009-03-05 01:50 148888 f:\windows\system32\javaws.exe
+ 2009-05-18 20:30 . 2009-05-18 20:30 144792 f:\windows\system32\javaw.exe
- 2009-03-05 01:50 . 2009-03-05 01:50 144792 f:\windows\system32\javaw.exe
+ 2009-05-18 20:30 . 2009-05-18 20:30 144792 f:\windows\system32\java.exe
- 2009-03-05 01:50 . 2009-03-05 01:50 144792 f:\windows\system32\java.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="f:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"g:\\World of Warcraft\\Repair.exe"=
"f:\\Programme\\Opera\\opera.exe"=
"g:\\World of Warcraft\\Launcher.exe"=
"g:\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 20:27 108289]
S3 FLASHSYS;FLASHSYS;f:\windows\system32\drivers\FlashSys.sys [31.01.2008 17:18 9216]
S3 WEBNTACCESS;WEBNTACCESS;f:\windows\system32\Ntaccess.sys [13.04.2008 11:21 17920]
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-05-18 23:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
f:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(6064)
f:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
f:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL
f:\windows\system32\msls31.dll
f:\windows\system32\WPDShServiceObj.dll
f:\windows\system32\PortableDeviceTypes.dll
f:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\windows\system32\ati2evxx.exe
f:\windows\system32\ati2evxx.exe
f:\programme\Avira\AntiVir Desktop\avguard.exe
f:\programme\Java\jre6\bin\jqs.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-18 23:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-18 21:24
ComboFix2.txt 2009-05-18 20:51
ComboFix3.txt 2009-05-18 18:58

Vor Suchlauf: 9.077.776.384 Bytes frei
Nach Suchlauf: 9.066.479.616 Bytes frei

141 --- E O F --- 2009-05-14 01:01

john.doe · 18.05.2009, 22:28

Viel nach Hause telefonieren.

Von TE habe ich bisher nur 2 analysiert bekommen.
ThreatExpert Report: Gen.Trojan
ThreatExpert Report: Troj/Virtum-Gen

Schlimmer ist allerdings das ovdingens-Teil. Google mal nach TDSS.

1.) Deaktiviere den Wächter deines Antivirenprogrammes.

2.) Packe den Ordner f:\qoobox mit zip oder rar, lade ihn bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter deines Antivirenprogrammes.

4.) Start => Ausführen => combofix /u => OK

5.) Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die komplette Liste unter Punkt 2 ab.

6.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

ciao, andreas

Holo · 18.05.2009, 23:04

Datei wurde hochgeladen, link ist im Briefkasten. Hat ne weile gedauert.

Momentan läuft gerade Malwarebytes Scan. listening to fm4.at internetradio.

Trojaner / Rootkit

Plagegeister aller Art und deren Bekämpfung: Trojaner / Rootkit