Verdacht auf üblen trojaner über Adopeseitenscript

Aaalucarddd · 11.06.2009, 22:50

Hallo liebe Community.Ich war letztens auf einer Internetseite und dort hat sich anstatt die Seite der Adope Acrobat Reader geöffnet und auf einmal war mein pc vollausgelastet für ca 20 sek. Dann hab ich im Internet gelesen das sich Trojaner über Internetseiten eine Lücke zunutze machen bei der man nichts machen muss ausser die Seite zu besuchen.Nun habe ich mich hier etwas eingelesen und glaube echt schon das ich mir was eingefangen habe.Könnte mir vielleicht bitte jemand das übersetzten oder auswerten was die ganzen Programme so an Loggs rausgeben?Ccleaner hab ich laufen lassen.Werde euch also noch den Malewarebyteslog und hijack und GMER log posten.Sagen tun mir die Logs leider nicht viel.Als hauptantivir hab ich immer AVG und Spybot am laufen.Seid ich jetzt das Forum hier durchblättert habe sind aber einige programme dazu gekommen weil ich den Tipps die hier anderen gegeben wurden versucht hab nachzukommen.Mein AVG hatte die letzten 3 Tage auch immer im Verzeichnis System23 eine sys Datei gefunden die er als Rootkid erkannt hat.Löschen/Heilen konnte ich diese nicht.Einen Tag später hatte sie auch einen anderen Namen.Heute konnte AVG nix finden :-/ Seid dieser Adopeseite im Internet habe ich auch das Gefühl als wenn mein Rechenr zwischendurch laggs hat und für 3 - 4 Sek ne hohe Auslastung.Aber wenn man diese ganzen Schreckensnachrichten liest kann man ja auch paranoid werden ^^

Hier mal das was GMER sagt
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-11 23:31:35
Windows 6.0.6001 Service Pack 1

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 852901F8

AttachedDevice \Driver\tdx \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

---- EOF - GMER 1.0.15 ----

hier finde ich den ersten eintrag beängstigend...irgendwie
HiJack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:16:18, on 10.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\system32\wbem\unsecapp.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\Windows\TEMP\E_SE85F.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Öffnen mit WordPerfect - c:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Dialer\a2service.exe
O23 - Service: AAV UpdateService - Unknown owner - C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 7833 bytes

So Malewarebytslog und aktive Programme(hijack)kommt auch noch -

Aaalucarddd · 11.06.2009, 23:35

Hijack - Programme

AAVUpdateManager
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.3 - Deutsch
AGEIA PhysX v7.09.13
Ask Toolbar
AVG 8.5
Big Fish Games Center (remove only)
Big Fish Games Sudoku (remove only)
BioShock
CCleaner (remove only)
Cradle of Rome (remove only)
EPSON Printer Software
Fallout 3
FirstSteps Diagnostics
FLV Player 2.0 (build 25)
FSCLounge
GIMP 2.4.5
Google Desktop
Google Earth
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
ICQ6.5
Luxor Amun Rising (remove only)
Mahjong Towers Eternity EU (remove only)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft Games for Windows - LIVE Redistributable
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
Mystery Case Files - Prime Suspects (remove only)
Nero 7 Demo
NVIDIA Drivers
Opera 9.61
Picasa 2
Poker Superstars II (remove only)
PunkBuster Services
Realtek High Definition Audio Driver
Roxio BackOnTrack
Roxio Central Audio
Roxio Central Copy
Roxio Central Core
Roxio Central Data
Roxio Central Tools
Roxio Express Labeler 3
Roxio File Backup
Roxio Update Manager
Roxio WinOnCD LE 10
Spybot - Search & Destroy
Steuer-Spar-Erklärung 2009
TeamSpeak 2 RC2
Trojan Remover 6.7.9
TuneUp Utilities 2008
VideoLAN VLC media player 0.8.6f
Virtual Villagers (remove only)
WinPcap 4.0
WinRAR
WordPerfect Office X3
WordPerfect Office X3
World of Warcraft

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2255
Windows 6.0.6001 Service Pack 1

12.06.2009 00:24:15
mbam-log-2009-06-12 (00-24-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 206031
Laufzeit: 46 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

john.doe · 12.06.2009, 21:40

Hallo und

1.) Deinstalliere:

Ask Toolbar
Google Desktop (es sei denn, du kannst ohne nicht leben)
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Opera 9.61
Spybot - Search & Destroy
Trojan Remover 6.7.9
TuneUp Utilities 2008
VideoLAN VLC media player 0.8.6f

2.) Installiere (Toolbars immer abwählen, Haken weg):

VLC media player - Overview oder besser KMPlayer
http://secunia.com/PSISetup.exe
Opera browser: Homepage

3.) Erstelle noch ein Log mit Gmer. Diesmal klickst du auf Scan.

ciao, andreas

Aaalucarddd · 12.06.2009, 23:50

OK habe jetzt erstmal alles deinstalliert bis auf den operabrowser.Wollte mir da erst meine Favoriten sichern.Also dachte ich mir an diesem Punkt ich lasse GMER doch mal so laufen......mitten im Scan brach er ab und schloss das Programm.Dann hab ichs nochmal versucht und ich bekam einen Blurscreen und ende.Hab das ganze nochmal versucht, gleiches ergebnis.Nun ist es sogar so das ich nach dem Bluescreen zwar noch die Anzeige auf - im gesicherten Modus starten - bekomme aber meine Tastatur nicht reagiert.nach 25 sek. startet Windows dann ja normal.Also komme ich auch nicht mehr in den abgesicherten Modus jetzt.Langsam krieg ich angst.Ich hab bei einem Durchlauf von Gmen einen Screenshot gemacht von den ersten Daten die er gefunden hat.vllt ist das ja schon ne Hilfe.Oje ich hab da grad kein gutes Gefühl mehr

Aaalucarddd · 12.06.2009, 23:55

hab noch eines machen können bevor er abstüzt.

Aaalucarddd · 13.06.2009, 09:57

Danke erstmal für deine Bemühungen - wie unhöflich von mir.So heute etwas ausgeschlafener hab ich komplett deine Uninstallliste abgearbeitet und sogar statt VlC deinen als besser gewählten Player installiert.Gefällt mir bis jetzt auch gut.Hab das Scanprogramm laufen lassen welches 6 Sicherheitslücken enddeckt hat, welche ich dann solange bearbeitet habe bis ich vom Programm die 100% bekommen hab. Das gibt einem ja auch schonmal etwas mehr Sicherheitsgefühl. Nur Gmen funktioniert leider immer noch nicht.Anscheinend werden die Türchen kleiner aber der Bösewicht sitzt noch drinnen.

john.doe · 13.06.2009, 12:57

Gmer läuft häufiger nicht.

Entferne vor dem Scan alle Haken mit Ausnahme von Registry.

Versuche es auch mal damit: Avira AntiRootkit Tool

ciao, andreas

Aaalucarddd · 13.06.2009, 20:34

So GMER gibt folgendes raus

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-13 21:31:29
Windows 6.0.6001 Service Pack 1

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x27 0x62 0x47 0x33 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x61 0x92 0xD8 0xA8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7D 0x19 0x38 0xC2 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x27 0x62 0x47 0x33 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x61 0x92 0xD8 0xA8 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x7D 0x19 0x38 0xC2 ...

---- EOF - GMER 1.0.15 ----

Das andere Programm teste ich dann jetzt mal......

Aaalucarddd · 13.06.2009, 22:05

So das is der nächste log ^^

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Samstag, 13. Juni 2009 - 21:42:12
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 303.35 GB
- Working disk free size : 114.71 GB (37 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_USERS\S-1-5-21-2335038868-1735721012-585069593-1000\Software\SecuROM\License information -> datasecu
Hidden value : HKEY_USERS\S-1-5-21-2335038868-1735721012-585069593-1000\Software\SecuROM\License information -> rkeysecu
Value data mismatch : HKEY_LOCAL_MACHINE\Software\Microsoft\WBEM\CIMOM -> autorecover mofs

--------------------------------------------------------------------------------------------------------
Files: 0/126568
Registry items: 3/315776
Processes: 0/56
Scan time: 00:30:08
--------------------------------------------------------------------------------------------------------
Active processes:
- mixddpbv.exe (PID 5200) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 448)
- csrss.exe (PID 516)
- wininit.exe (PID 564)
- csrss.exe (PID 576)
- services.exe (PID 616)
- lsass.exe (PID 628)
- lsm.exe (PID 712)
- winlogon.exe (PID 880)
- svchost.exe (PID 904)
- svchost.exe (PID 964)
- svchost.exe (PID 1024)
- svchost.exe (PID 1052)
- svchost.exe (PID 1088)
- svchost.exe (PID 1100)
- audiodg.exe (PID 1236)
- SLsvc.exe (PID 1264)
- svchost.exe (PID 1312)
- svchost.exe (PID 1432)
- spoolsv.exe (PID 1712)
- svchost.exe (PID 1760)
- dwm.exe (PID 472)
- taskeng.exe (PID 12)
- explorer.exe (PID 632)
- taskeng.exe (PID 1620)
- a2service.exe (PID 608)
- aavus.exe (PID 956)
- avgwdsvc.exe (PID 2056)
- PnkBstrA.exe (PID 2256)
- svchost.exe (PID 2268)
- PSIService.exe (PID 2288)
- svchost.exe (PID 2340)
- avgrsx.exe (PID 2360)
- avgnsx.exe (PID 2380)
- TestHandler.exe (PID 2408)
- svchost.exe (PID 2460)
- SearchIndexer.exe (PID 2496)
- avgemc.exe (PID 2628)
- MSASCui.exe (PID 2764)
- WUDFHost.exe (PID 2876)
- RtHDVCpl.exe (PID 2904)
- avgcsrvx.exe (PID 2924)
- rundll32.exe (PID 3148)
- avgtray.exe (PID 3228)
- rundll32.exe (PID 3384)
- mobsync.exe (PID 3392)
- ehtray.exe (PID 3660)
- ehmsas.exe (PID 3732)
- opera.exe (PID 3880)
- unsecapp.exe (PID 2556)
- WmiPrvSE.exe (PID 1380)
- taskeng.exe (PID 2932)
- ICQ.exe (PID 2668)
- Wow.exe (PID 3092)
- avirarkd.exe (PID 5180)
========================================================================================================
- Scan finished Samstag, 13. Juni 2009 - 22:12:20
========================================================================================================

ich hoffe du kannst da was draus lesen ^^ vieles ist für mich nur bahnhof bzw macht mir eher Angst

john.doe · 13.06.2009, 22:12

Zitat:

ich hoffe du kannst da was draus lesen ^^

Ja, klar. Ich sehe da ganz viele Buchstaben und Zahlen.

Rootkits sind keine da. Avira Antirootkit kannst du deinstallieren.

Weiter mit RSIT.

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

Aaalucarddd · 14.06.2009, 12:10

und ab gehts :-)

Logfile of random's system information tool 1.06 (written by random/random)
Run by MAX at 2009-06-14 12:44:53
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 118 GB (38%) free of 311 GB
Total RAM: 3327 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:05, on 14.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18248)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\taskeng.exe
D:\PSI\psi.exe
D:\ICQ6.5\ICQ.exe
C:\Program Files\Opera\Opera.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\MAX\AppData\Local\Opera\Opera\profile\cache4\temporary_download\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\MAX.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\Windows\TEMP\E_SE85F.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O8 - Extra context menu item: Öffnen mit WordPerfect - c:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Dialer\a2service.exe
O23 - Service: AAV UpdateService - Unknown owner - C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 5298 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{14A97E71-6865-42C5-9CA6-DF07F71973DF}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Program Files\AVG\AVG8\avgssie.dll [2009-04-25 1107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0124123D-61B4-456f-AF86-78C53A0790C5}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-02-26 4939776]
"QuickFinder Scheduler"=c:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE [2007-01-02 83568]
"Skytel"=C:\Windows\Skytel.exe [2007-11-20 1826816]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2008-02-20 170528]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-02-20 13507104]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-02-20 92704]
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-06-11 1948440]
"NeroFilterCheck"=C:\Windows\system32\NeroCheck.exe [2001-07-09 155648]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"=oobefldr.dll,ShowWelcomeCenter []
"EPSON Stylus D92 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE [2006-09-27 139264]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-06-14 12:44:53 ----D---- C:\rsit
2009-06-14 12:19:10 ----SHD---- C:\Config.Msi
2009-06-13 21:40:34 ----D---- C:\Program Files\Avira GmbH
2009-06-13 10:23:32 ----D---- C:\Program Files\The KMPlayer
2009-06-13 05:11:34 ----A---- C:\Windows\system32\EncDec.dll
2009-06-13 05:11:32 ----A---- C:\Windows\system32\psisdecd.dll
2009-06-13 01:01:37 ----D---- C:\ProgramData\Apple
2009-06-13 01:01:37 ----D---- C:\Program Files\Apple Software Update
2009-06-10 22:00:23 ----A---- C:\Windows\system32\localspl.dll
2009-06-10 22:00:22 ----A---- C:\Windows\system32\rpcrt4.dll
2009-06-10 22:00:18 ----A---- C:\Windows\system32\mshtml.dll
2009-06-10 22:00:17 ----A---- C:\Windows\system32\wininet.dll
2009-06-10 22:00:17 ----A---- C:\Windows\system32\urlmon.dll
2009-06-10 22:00:17 ----A---- C:\Windows\system32\ieframe.dll
2009-06-10 22:00:16 ----A---- C:\Windows\system32\occache.dll
2009-06-10 22:00:16 ----A---- C:\Windows\system32\msfeeds.dll
2009-06-10 22:00:16 ----A---- C:\Windows\system32\ieUnatt.exe
2009-06-10 22:00:16 ----A---- C:\Windows\system32\iertutil.dll
2009-06-10 22:00:16 ----A---- C:\Windows\system32\iedkcs32.dll
2009-06-10 22:00:16 ----A---- C:\Windows\system32\ieaksie.dll
2009-06-10 22:00:15 ----A---- C:\Windows\system32\mstime.dll
2009-06-10 22:00:15 ----A---- C:\Windows\system32\jsproxy.dll
2009-06-10 22:00:15 ----A---- C:\Windows\system32\ieencode.dll
2009-06-09 23:29:36 ----D---- C:\Users\MAX\AppData\Roaming\Malwarebytes
2009-06-09 23:29:31 ----D---- C:\ProgramData\Malwarebytes
2009-06-09 23:29:31 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-06-09 13:59:39 ----D---- C:\Program Files\CCleaner
2009-06-09 10:28:59 ----AD---- C:\ProgramData\TEMP

======List of files/folders modified in the last 1 months======

2009-06-14 12:45:05 ----D---- C:\Windows\Prefetch
2009-06-14 12:44:56 ----D---- C:\Windows\Temp
2009-06-14 12:31:55 ----D---- C:\Windows\system32\Tasks
2009-06-14 12:19:31 ----SHD---- C:\Windows\Installer
2009-06-14 12:19:29 ----RD---- C:\Program Files
2009-06-14 12:19:13 ----HD---- C:\ProgramData
2009-06-14 12:19:13 ----D---- C:\Windows\System32
2009-06-14 12:18:31 ----SHD---- C:\System Volume Information
2009-06-14 07:24:52 ----D---- C:\Windows\inf
2009-06-14 07:24:52 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-14 07:24:46 ----D---- C:\Windows\Microsoft.NET
2009-06-14 07:24:37 ----RSD---- C:\Windows\assembly
2009-06-14 07:17:41 ----D---- C:\Windows\ehome
2009-06-14 05:14:58 ----HD---- C:\$AVG8.VAULT$
2009-06-14 03:24:36 ----HD---- C:\Program Files\InstallShield Installation Information
2009-06-14 03:24:36 ----D---- C:\Windows\system32\drivers
2009-06-14 03:01:24 ----D---- C:\Windows\winsxs
2009-06-13 23:40:43 ----D---- C:\Users\Alucard\AppData\Roaming\teamspeak2
2009-06-13 10:49:09 ----D---- C:\Program Files\Opera
2009-06-13 10:43:17 ----D---- C:\Program Files\WinPcap
2009-06-13 10:41:00 ----D---- C:\Windows\system32\Macromed
2009-06-13 10:37:04 ----SD---- C:\Windows\Downloaded Program Files
2009-06-13 10:16:56 ----D---- C:\Program Files\Mozilla Firefox
2009-06-13 10:16:29 ----D---- C:\Users\MAX\AppData\Roaming\Orbit
2009-06-13 05:09:34 ----D---- C:\Windows\system32\catroot2
2009-06-13 05:09:34 ----D---- C:\Windows\system32\catroot
2009-06-13 01:02:36 ----D---- C:\Program Files\Internet Explorer
2009-06-13 00:42:27 ----D---- C:\Windows\Minidump
2009-06-13 00:42:20 ----D---- C:\Windows
2009-06-13 00:26:17 ----D---- C:\Program Files\Google
2009-06-13 00:19:20 ----D---- C:\Big Fish Games
2009-06-13 00:19:04 ----D---- C:\Program Files\Common Files\Wise Installation Wizard
2009-06-13 00:18:36 ----D---- C:\Windows\Tasks
2009-06-13 00:16:30 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-06-13 00:15:05 ----D---- C:\ProgramData\Google
2009-06-10 11:20:21 ----D---- C:\Windows\Debug
2009-06-09 10:55:12 ----D---- C:\Program Files\a-squared Anti-Dialer
2009-06-08 23:51:34 ----SD---- C:\Users\MAX\AppData\Roaming\Microsoft
2009-06-08 13:58:33 ----D---- C:\Users\MAX\AppData\Roaming\Azureus
2009-06-01 18:51:12 ----A---- C:\Windows\system32\mrt.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2009-06-11 327688]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2009-04-25 27784]
R1 AvgTdiX;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2009-04-25 108552]
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2008-06-16 278984]
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2008-06-16 25416]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-02-26 2070304]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2007-11-17 1040544]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-02-20 7711040]
R3 nvsmu;nvsmu; C:\Windows\system32\DRIVERS\nvsmu.sys [2007-10-12 13312]
R3 PSI;PSI; C:\Windows\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-19 11264]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S1 Avgfwfd;AVG network filter service; C:\Windows\system32\DRIVERS\avgfwd6x.sys []
S3 Alpham1;Ideazon ZBoard USB Human Interface Device; C:\Windows\system32\DRIVERS\Alpham1.sys [2007-07-23 42624]
S3 Alpham2;Ideazon ZBoard MM USB Human Interface Device; C:\Windows\system32\DRIVERS\Alpham2.sys [2007-03-20 18432]
S3 aul5oj05;aul5oj05; C:\Windows\system32\drivers\aul5oj05.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NPF;NetGroup Packet Filter Driver; C:\Windows\system32\drivers\npf.sys [2007-11-06 34064]
S4 iaStor;Intel RAID Controller; C:\Windows\system32\drivers\iastor.sys [2007-07-12 305176]
S4 JRAID;JRAID; C:\Windows\system32\drivers\jraid.sys [2007-06-13 48256]
S4 nvrd32;NVIDIA nForce RAID Driver; C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 131616]
S4 nvstor32;nvstor32; C:\Windows\system32\drivers\nvstor32.sys [2007-07-02 110112]
S4 RxFilter;RxFilter; C:\Windows\system32\DRIVERS\RxFilter.sys [2007-11-08 57328]
S4 viamraid;viamraid; C:\Windows\system32\drivers\viamraid.sys [2006-11-08 102912]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 a2AntiDialer;a-squared Anti-Dialer Service; C:\Program Files\a-squared Anti-Dialer\a2service.exe [2009-06-08 425080]
R2 AAV UpdateService;AAV UpdateService; C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
R2 avg8emc;AVG8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-04-25 908568]
R2 avg8wd;AVG8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-04-25 298776]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2008-10-28 66872]
R2 ProtexisLicensing;ProtexisLicensing; c:\Windows\system32\PSIService.exe [2006-11-02 174656]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler; C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 204800]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-01-05 33800]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-22 138168]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Program Files\WinPcap\rpcapd.exe [2007-11-06 92792]
S3 stllssvr;stllssvr; c:\Program Files\Common Files\SureThing Shared\stllssvr.exe [2007-11-12 74384]

-----------------EOF-----------------

Aaalucarddd · 14.06.2009, 12:32

info.txt logfile of random's system information tool 1.06 2009-06-14 12:45:06

======Uninstall list======

-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{45235788-142C-44BE-8A4D-DDE9A84492E5}
AAVUpdateManager-->MsiExec.exe /X{946BA398-5A53-454E-8D39-1C02959C1727}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
AGEIA PhysX v7.09.13-->MsiExec.exe /X{45235788-142C-44BE-8A4D-DDE9A84492E5}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
a-squared Anti-Dialer 3.0-->"C:\Program Files\a-squared Anti-Dialer\unins000.exe"
AVG 8.5-->C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL
Big Fish Games Center (remove only)-->C:\Big Fish Games\Uninstall.exe
Big Fish Games Sudoku (remove only)-->C:\Big Fish Games\Sudoku\Uninstall.exe
BioShock-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E280923D-C5D9-4728-8C79-AC9A0DC75875}\setup.exe" -l0x7 -removeonly
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Cradle of Rome (remove only)-->C:\Big Fish Games\Cradle of Rome\Uninstall.exe
EPSON Printer Software-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
Fallout 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly
FirstSteps Diagnostics-->MsiExec.exe /X{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}
FLV Player 2.0 (build 25)-->C:\Program Files\FLV Player\uninst.exe
FSCLounge-->MsiExec.exe /I{9A3BC157-B94F-4EFD-ABA9-1E56DEB00655}
GIMP 2.4.5-->"C:\Program Files\GIMP-2.0\setup\unins000.exe"
Google Earth-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7 -removeonly
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Luxor Amun Rising (remove only)-->C:\Big Fish Games\Luxor Amun Rising\Uninstall.exe
Mahjong Towers Eternity EU (remove only)-->C:\Big Fish Games\Mahjong Towers Eternity EU\Uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Mystery Case Files - Prime Suspects (remove only)-->C:\Big Fish Games\Mystery Case Files - Prime Suspects\Uninstall.exe
Nero 7 Demo-->MsiExec.exe /I{84B2CF01-194D-2284-B313-F2E0D78D1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
Opera 9.64-->MsiExec.exe /X{A2A60894-E3ED-46FE-9A6A-7CF7A87572A0}
Picasa 2-->"C:\Program Files\Picasa2\Uninstall.exe"
Poker Superstars II (remove only)-->C:\Big Fish Games\Poker Superstars II\Uninstall.exe
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Roxio BackOnTrack-->MsiExec.exe /I{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}
Roxio Central Audio-->MsiExec.exe /I{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}
Roxio Central Copy-->MsiExec.exe /I{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}
Roxio Central Core-->MsiExec.exe /I{ED439A64-F018-4DD4-8BA5-328D85AB09AB}
Roxio Central Data-->MsiExec.exe /I{08E81ABD-79F7-49C2-881F-FD6CB0975693}
Roxio Central Tools-->MsiExec.exe /I{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}
Roxio Express Labeler 3-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Roxio File Backup-->MsiExec.exe /I{60B2315F-680F-4EB3-B8DD-CCDC86A7CCAB}
Roxio Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Roxio WinOnCD LE 10-->MsiExec.exe /I{79AE264A-7DEA-49AF-AFAF-7A2D8F706F51}
Secunia PSI-->"D:\PSI\uninstall.exe"
Steuer-Spar-Erklärung 2009-->MsiExec.exe /X{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
The KMPlayer (remove only)-->"C:\Program Files\The KMPlayer\uninstall.exe"
WinPcap 4.0.2-->C:\Program Files\WinPcap\uninstall.exe
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
WordPerfect Office X3-->"c:\Program Files\WordPerfect Office X3\CabsDE\MSILauncher.exe" "{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}"
WordPerfect Office X3-->MsiExec.exe /I{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
Z-defragRAM-->C:\Windows\AKDeInstall.exe /x "D:\z-defrag\unins2.dat"

======Security center information======

AV: AVG Anti-Virus
AS: AVG Anti-Virus (disabled)
AS: Windows-Defender (disabled)

======System event log======

Computer Name: MAX-PC
Event Code: 7036
Message: Dienst "Volumeschattenkopie" befindet sich jetzt im Status "Beendet".
Record Number: 56627
Source Name: Service Control Manager
Time Written: 20090614102202.000000-000
Event Type: Informationen
User:

Computer Name: MAX-PC
Event Code: 7036
Message: Dienst "Microsoft-Softwareschattenkopie-Anbieter" befindet sich jetzt im Status "Beendet".
Record Number: 56628
Source Name: Service Control Manager
Time Written: 20090614102502.000000-000
Event Type: Informationen
User:

Computer Name: MAX-PC
Event Code: 7036
Message: Dienst "Windows Installer" befindet sich jetzt im Status "Beendet".
Record Number: 56629
Source Name: Service Control Manager
Time Written: 20090614102931.000000-000
Event Type: Informationen
User:

Computer Name: MAX-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 56630
Source Name: Service Control Manager
Time Written: 20090614103244.000000-000
Event Type: Informationen
User:

Computer Name: MAX-PC
Event Code: 33
Message: Die älteste Schattenkopie von Volume "C:" wurde gelöscht, um den Datenträger-Speicherplatz für Schattenkopien auf Volume "C:" unterhalb des benutzerdfinierten Limits zu belassen.
Record Number: 56631
Source Name: volsnap
Time Written: 20090614103802.410393-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: MAX-PC
Event Code: 11724
Message: Produkt: QuickTime -- Das Entfernen wurde erfolgreich abgeschlossen.
Record Number: 8999
Source Name: MsiInstaller
Time Written: 20090614101931.000000-000
Event Type: Informationen
User: MAX-PC\MAX

Computer Name: MAX-PC
Event Code: 1034
Message: Das Produkt wurde durch Windows Installer deinstalliert. Produktname: QuickTime. Produktversion: 7.62.14.0. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Deinstallation: 0.
Record Number: 9000
Source Name: MsiInstaller
Time Written: 20090614101931.000000-000
Event Type: Informationen
User: MAX-PC\MAX

Computer Name: MAX-PC
Event Code: 10001
Message: Sitzung wird beendet: 1. 2009-06-14T10:18:34.296Z wird gestartet.
Record Number: 9001
Source Name: Microsoft-Windows-RestartManager
Time Written: 20090614101931.580493-000
Event Type: Informationen
User: MAX-PC\MAX

Computer Name: MAX-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 9002
Source Name: VSS
Time Written: 20090614102202.000000-000
Event Type: Informationen
User:

Computer Name: MAX-PC
Event Code: 1001
Message: Fehlerbucket 59345319, Typ 5
Ereignisname: PCA2
Antwort: Keine
Cab-ID: 0

Problemsignatur:
P1: MySpace Music Downloader.exe
P2: 0.0.0.0
P3: MySpace Music Downloader.exe
P4: unknown
P5: unknown
P6: 8
P7: 202
P8:
P9:
P10:

Angehängte Dateien:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report06eae554\appcompat.txt

Diese Dateien befinden sich möglicherweise hier:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Report06eae554
Record Number: 9003
Source Name: Windows Error Reporting
Time Written: 20090614103157.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: MAX-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 26442
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090614104504.321493-000
Event Type: Überwachung gescheitert
User:

Computer Name: MAX-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 26443
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090614104504.368293-000
Event Type: Überwachung gescheitert
User:

Computer Name: MAX-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 26444
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090614104504.399493-000
Event Type: Überwachung gescheitert
User:

Computer Name: MAX-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 26445
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090614104504.430693-000
Event Type: Überwachung gescheitert
User:

Computer Name: MAX-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 26446
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090614104504.477493-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;c:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=1707
"NUMBER_OF_PROCESSORS"=4
"RoxioCentral"=c:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\

-----------------EOF-----------------

john.doe · 14.06.2009, 17:33

Wie gehst du ins Internet? Benötigst du einen Antidialer?

1.) Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O2, O3, O8 und O9-Einträge
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')

=> Fix checked

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Aaalucarddd · 21.06.2009, 13:50

So musste leider eine kleine Arbeitspause einlegen.Nun konnte ich mich aber weiter deiner Anleitung widmen.Habe also alles ausgeführt und hier nun der Log dazu.Danke nochmal für die Bemühungen.Übrigens hatte ich meine Antivir programme geschlossen aber Combofix meldete sie trotzdem als aktiv.Konnte sie aber nirgends finden.Auch im Taskmanager waren sie nicht angezeigt.

ComboFix 09-06-20.04 - MAX 21.06.2009 14:29.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3327.2279 [GMT 2:00]
ausgeführt von:: c:\users\MAX\Desktop\ComboFix.exe
AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-3031468573-2976141781-2086644735-500
c:\users\MAX\AppData\Roaming\.#
c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500\desktop.ini
c:\$recycle.bin\S-1-5-21-3031468573-2976141781-2086644735-500\desktop.ini

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-21 bis 2009-06-21 ))))))))))))))))))))))))))))))
.

2009-06-21 12:33 . 2009-06-21 12:33 -------- d-----w- c:\users\MAX\AppData\Local\temp
2009-06-20 06:51 . 2009-06-19 07:05 2052888 ----a-w- c:\programdata\avg8\update\backup\avgcorex.dll
2009-06-19 07:06 . 2009-06-11 06:04 3298072 ----a-w- c:\programdata\avg8\update\backup\setup.exe
2009-06-19 07:06 . 2009-06-11 06:04 1261344 ----a-w- c:\programdata\avg8\update\backup\avgwd.dll
2009-06-19 07:06 . 2009-06-11 06:04 829208 ----a-w- c:\programdata\avg8\update\backup\avgcfgx.dll
2009-06-19 07:05 . 2009-06-11 06:04 1452312 ----a-w- c:\programdata\avg8\update\backup\avgupd.dll
2009-06-18 16:29 . 2009-05-09 05:34 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-06-18 16:29 . 2009-05-09 05:50 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-18 16:19 . 2008-06-20 01:14 43544 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2009-06-18 16:19 . 2008-06-20 01:14 105016 ----a-w- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-06-18 16:19 . 2008-06-20 01:14 97800 ----a-w- c:\windows\system32\infocardapi.dll
2009-06-18 16:19 . 2008-06-20 01:14 11264 ----a-w- c:\windows\system32\icardres.dll
2009-06-18 16:19 . 2008-06-20 01:14 622080 ----a-w- c:\windows\system32\icardagt.exe
2009-06-18 16:19 . 2008-06-20 01:14 781344 ----a-w- c:\windows\system32\PresentationNative_v0300.dll
2009-06-18 16:19 . 2008-06-20 01:14 326160 ----a-w- c:\windows\system32\PresentationHost.exe
2009-06-18 16:13 . 2008-07-27 18:03 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-06-18 16:13 . 2008-07-27 18:03 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-06-18 16:13 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-06-18 16:13 . 2008-07-27 18:03 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-06-18 16:13 . 2008-07-27 18:03 83968 ----a-w- c:\windows\system32\mscories.dll
2009-06-16 15:45 . 2009-06-16 15:45 -------- d-----w- c:\program files\ProtectDisc Driver Installer
2009-06-16 15:33 . 2009-06-16 15:33 -------- d-----w- c:\users\Alucard\AppData\Roaming\MAGIX
2009-06-16 15:27 . 2006-02-14 12:03 24576 ----a-w- c:\programdata\MAGIX\Video_deluxe_2008_Premium\Default\Validation.exe
2009-06-16 15:20 . 2003-11-04 16:20 6144 ----a-w- c:\programdata\MAGIX\Video_deluxe_2008_Premium\DVD\WMV_DISC\components\videowritetest.exe
2009-06-16 15:20 . 1997-10-15 20:03 18944 ----a-w- c:\programdata\MAGIX\Video_deluxe_2008_Premium\DVD\WMV_DISC\components\shelexec.exe
2009-06-16 15:20 . 2004-09-13 11:29 200704 ----a-w- c:\programdata\MAGIX\Video_deluxe_2008_Premium\DVD\WMV_DISC\licgen.exe
2009-06-16 15:20 . 2003-10-09 09:56 513088 ----a-w- c:\programdata\MAGIX\Video_deluxe_2008_Premium\DVD\WMV_DISC\WMDS.dll
2009-06-16 15:19 . 2005-10-08 14:14 40960 ----a-w- c:\programdata\MAGIX\Video_deluxe_2008_Premium\Default\fcdummy.exe
2009-06-14 10:44 . 2009-06-14 10:45 -------- d-----w- C:\rsit
2009-06-13 19:40 . 2009-06-13 19:40 -------- d-----w- c:\program files\Avira GmbH
2009-06-13 08:23 . 2009-06-13 08:30 -------- d-----w- c:\program files\The KMPlayer
2009-06-13 03:11 . 2009-04-30 12:37 428544 ----a-w- c:\windows\system32\EncDec.dll
2009-06-13 03:11 . 2009-04-30 12:37 293376 ----a-w- c:\windows\system32\psisdecd.dll
2009-06-12 23:05 . 2009-06-12 23:05 -------- d-----w- c:\users\MAX\AppData\Local\Apple Computer
2009-06-12 23:01 . 2009-06-12 23:01 -------- d-----w- c:\users\MAX\AppData\Local\Apple
2009-06-12 23:01 . 2009-06-12 23:01 -------- d-----w- c:\program files\Apple Software Update
2009-06-12 23:01 . 2009-06-12 23:01 -------- d-----w- c:\programdata\Apple
2009-06-10 20:00 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys
2009-06-10 20:00 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-06-10 20:00 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-06-09 21:29 . 2009-06-09 21:29 -------- d-----w- c:\users\MAX\AppData\Roaming\Malwarebytes
2009-06-09 21:29 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-09 21:29 . 2009-06-09 23:04 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-09 21:29 . 2009-06-09 21:29 -------- d-----w- c:\programdata\Malwarebytes
2009-06-09 21:29 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-09 11:59 . 2009-06-09 11:59 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-19 07:05 . 2008-06-02 19:41 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-06-19 01:13 . 2006-11-02 15:33 664044 ----a-w- c:\windows\system32\perfh007.dat
2009-06-19 01:13 . 2006-11-02 15:33 142222 ----a-w- c:\windows\system32\perfc007.dat
2009-06-17 14:17 . 2009-02-16 10:10 -------- d-----w- c:\users\MAX\AppData\Roaming\Azureus
2009-06-17 12:57 . 2008-05-17 09:48 86792 ----a-w- c:\users\MAX\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-16 15:31 . 2009-01-21 22:24 -------- d-----w- c:\program files\MAGIX
2009-06-16 15:31 . 2009-01-21 22:24 -------- d-----w- c:\programdata\MAGIX
2009-06-16 15:29 . 2009-06-16 15:28 -------- d-----w- c:\program files\Common Files\MAGIX Shared
2009-06-14 01:24 . 2008-04-22 13:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-13 21:40 . 2008-05-20 16:31 -------- d-----w- c:\users\MAX\AppData\Roaming\teamspeak2
2009-06-13 08:49 . 2008-05-17 10:53 -------- d-----w- c:\program files\Opera
2009-06-13 08:43 . 2008-11-24 23:49 -------- d-----w- c:\program files\WinPcap
2009-06-13 08:16 . 2008-05-20 22:13 -------- d-----w- c:\users\MAX\AppData\Roaming\Orbit
2009-06-12 22:26 . 2008-04-22 13:47 -------- d-----w- c:\program files\Google
2009-06-12 22:19 . 2008-06-16 21:34 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-06-12 22:16 . 2008-05-17 11:12 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-06-11 06:04 . 2008-06-02 19:41 327688 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-06-09 09:45 . 2008-06-02 21:27 680 ----a-w- c:\users\MAX\AppData\Local\d3d9caps.dat
2009-06-09 08:55 . 2008-06-11 18:34 -------- d-----w- c:\program files\a-squared Anti-Dialer
2009-05-14 01:00 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-05-02 12:56 . 2008-05-19 20:03 -------- d-----w- c:\users\MAX\AppData\Roaming\gtk-2.0
2009-04-29 09:47 . 2009-04-29 08:24 -------- d-----w- c:\programdata\AAV
2009-04-29 09:40 . 2009-04-29 09:40 6058 ----a-w- c:\programdata\AAV\SSE\14\UpdateFiles\SSE_Patch_14.11.bat
2009-04-29 09:38 . 2009-04-29 08:23 -------- d-----w- c:\program files\Akademische Arbeitsgemeinschaft
2009-04-29 08:24 . 2009-04-29 08:24 -------- d-----w- c:\program files\Common Files\AAV
2009-04-25 06:13 . 2008-06-02 19:41 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-04-25 06:13 . 2008-06-12 22:06 12552 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2009-04-25 06:13 . 2008-10-24 06:32 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-04-15 11:08 . 2009-04-15 10:51 177 ----a-w- c:\users\MAX\AppData\Roaming\Azureus\restart.bat
2009-03-24 11:03 . 2009-03-24 11:03 7808 ----a-w- c:\windows\system32\drivers\psi_mf.sys
2009-03-11 18:48 . 2008-07-30 13:27 952 --sha-w- c:\windows\System32\KGyGaAvL.sys
2007-11-02 23:53 . 2007-11-02 23:15 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WindowsWelcomeCenter"="oobefldr.dll" - c:\windows\System32\oobefldr.dll [2008-01-19 2153472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-02-20 170528]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-20 13507104]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-20 92704]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-06-11 1948440]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"TrayServer"="c:\program files\MAGIX\Video_deluxe_2008_Premium\TrayServer.exe" [2008-01-17 90112]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-02-26 4939776]
"Skytel"="Skytel.exe" - c:\windows\SkyTel.exe [2007-11-20 1826816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="d:\daemon tools lite\daemon.exe" -autorun
"ICQ"="d:\icq6.5\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"a-squared"="c:\program files\a-squared Anti-Dialer\a2adguard.exe"
"a-squared Anti-Dialer"="c:\program files\a-squared Anti-Dialer\a2adguard.exe" /d=60

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{34AD743B-48F5-4818-9F99-7CEA43C5EB50}"= UDP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{018AD98C-247D-4381-806A-DE070126D325}"= TCP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"TCP Query User{50686FE0-8F0F-45DC-9EB0-95B9820BBCA4}d:\\emule\\emule.exe"= UDP:d:\emule\emule.exe:eMule
"UDP Query User{0985FBCF-B080-48A0-8711-4413FCA50B64}d:\\emule\\emule.exe"= TCP:d:\emule\emule.exe:eMule
"TCP Query User{BBFFE259-64FD-463B-86F8-75B742190692}d:\\icq6\\icq.exe"= UDP:d:\icq6\icq.exe:ICQ Library
"UDP Query User{51717D69-EB2D-4E95-B17F-87ED8A8EBFA2}d:\\icq6\\icq.exe"= TCP:d:\icq6\icq.exe:ICQ Library
"{31B3837B-A5CD-490B-BF53-FA5511B6F52B}"= c:\program files\AVG\AVG8\avgupd.exe:avgupd.exe
"{75C27343-3CF0-4CBB-BC58-4AD80EE812DB}"= c:\program files\AVG\AVG8\avgemc.exe:avgemc.exe
"{B01DFEFD-5AC1-48DE-A3B4-5D2317E48A2B}"= c:\program files\AVG\AVG8\avgnsx.exe:avgnsx.exe
"{48A9DA42-3B5F-4987-B775-35134130F15A}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{4BE5A303-F781-45B5-A733-75CF64FC58B2}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{77C56B8C-79DB-49AB-BBA2-DAA8FB661763}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{D4406505-4D03-450D-95B5-B6D3815572A5}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"TCP Query User{8BA71F6E-65B4-4B3B-8BB1-1F89061903A7}d:\\world of warcraft\\backgrounddownloader.exe"= UDP:d:\world of warcraft\backgrounddownloader.exe:Blizzard Downloader
"UDP Query User{E2331E3A-CB71-4450-8D05-F03E44AE2B89}d:\\world of warcraft\\backgrounddownloader.exe"= TCP:d:\world of warcraft\backgrounddownloader.exe:Blizzard Downloader
"TCP Query User{85C9E92D-9010-499B-8FF0-14C302C4D350}c:\\users\\MAX\\emule\\emule.exe"= UDP:c:\users\MAX\emule\emule.exe:emule.exe
"UDP Query User{37740903-0881-426E-B594-F6F396B331B8}c:\\users\\alucard\\emule\\emule.exe"= TCP:c:\users\MAX\emule\emule.exe:emule.exe
"{B86E87F5-4CBE-4F7C-9172-213B2A4F769D}"= UDP:c:\warhammer online - age of reckoning\warpatch.exe:Warhammer Online - Age of Reckoning
"{B1595382-BF6B-4843-8A34-62BC8167C14B}"= TCP:c:\warhammer online - age of reckoning\warpatch.exe:Warhammer Online - Age of Reckoning
"TCP Query User{0AA02000-1A9B-4B25-AA54-CB8725C769E5}c:\\program files\\flashget\\flashget.exe"= UDP:c:\program files\flashget\flashget.exe:FlashGet
"UDP Query User{F85A3530-4028-400F-A7C3-BC2E2FD61102}c:\\program files\\flashget\\flashget.exe"= TCP:c:\program files\flashget\flashget.exe:FlashGet
"TCP Query User{EB589538-DE4C-47C9-8B9A-7B7BD8EF0A98}c:\\program files\\orbitdownloader\\orbitnet.exe"= UDP:c:\program files\orbitdownloader\orbitnet.exe:P2P service of Orbit Downloader
"UDP Query User{F7F1FF14-7753-4CAC-8DA3-2D7297FF69C6}c:\\program files\\orbitdownloader\\orbitnet.exe"= TCP:c:\program files\orbitdownloader\orbitnet.exe:P2P service of Orbit Downloader
"TCP Query User{8315CCA8-8CDC-4770-BED2-A5A35D4B2D38}c:\\program files\\gmx\\gmx multimessenger\\messengr.exe"= UDP:c:\program files\gmx\gmx multimessenger\messengr.exe:GMX MultiMessenger
"UDP Query User{A336AEE3-FD3F-43D9-9C98-540C0A0DF007}c:\\program files\\gmx\\gmx multimessenger\\messengr.exe"= TCP:c:\program files\gmx\gmx multimessenger\messengr.exe:GMX MultiMessenger
"TCP Query User{FA52555C-C441-45E0-B36E-000DD4C01250}c:\\program files\\trillian\\trillian.exe"= Disabled:UDP:c:\program files\trillian\trillian.exe:Trillian
"UDP Query User{5985731F-3FCD-4AF1-B628-589458F1EEAE}c:\\program files\\trillian\\trillian.exe"= Disabled:TCP:c:\program files\trillian\trillian.exe:Trillian
"TCP Query User{C10DDC41-F195-4F64-8C1F-E2A1CC668171}d:\\icq6.5\\icq.exe"= UDP:d:\icq6.5\icq.exe:ICQ Library
"UDP Query User{2C35997F-30DB-4E4E-B679-C52863F9F035}d:\\icq6.5\\icq.exe"= TCP:d:\icq6.5\icq.exe:ICQ Library
"TCP Query User{2946E59C-6876-400B-BC4E-333A3E8764BD}c:\\program files\\activision\\call of duty - world at war\\codwaw.unpacked.exe"= UDP:c:\program files\activision\call of duty - world at war\codwaw.unpacked.exe:Call of Duty(R): World at War Campaign/Coop
"UDP Query User{D50C3052-BCCE-4E14-8EC0-AB3ECBB2E047}c:\\program files\\activision\\call of duty - world at war\\codwaw.unpacked.exe"= TCP:c:\program files\activision\call of duty - world at war\codwaw.unpacked.exe:Call of Duty(R): World at War Campaign/Coop
"TCP Query User{0EB3D148-B8BE-4CC1-9035-B0D8808240A2}c:\\program files\\left 4 dead\\left4dead.exe"= UDP:c:\program files\left 4 dead\left4dead.exe:left4dead
"UDP Query User{29D5D24D-4E88-41A9-B598-88A57A2E1CE5}c:\\program files\\left 4 dead\\left4dead.exe"= TCP:c:\program files\left 4 dead\left4dead.exe:left4dead
"TCP Query User{2043AD30-A207-43F0-BFFA-640507FFF540}c:\\users\\MAX\\appdata\\local\\temp\\blizzard launcher temporary - 9d46e3a0\\launcher.exe"= UDP:c:\users\MAX\appdata\local\temp\blizzard launcher temporary - 9d46e3a0\launcher.exe:launcher.exe
"UDP Query User{86EDF7F6-A5F0-4E91-8DCE-71D50432A050}c:\\users\\MAX\\appdata\\local\\temp\\blizzard launcher temporary - 9d46e3a0\\launcher.exe"= TCP:c:\users\MAX\appdata\local\temp\blizzard launcher temporary - 9d46e3a0\launcher.exe:launcher.exe
"{916456FF-1CAF-4D4F-9C55-18C3651F40BC}"= UDP:c:\program files\DNA\btdna.exe

NA (TCP-In)
"{8D05A619-0E77-4A9C-AE95-5075A1B19F65}"= TCP:c:\program files\DNA\btdna.exe

NA (UDP-In)
"TCP Query User{51821DBF-E85E-4BCF-8015-4D7873B7AE6E}c:\\program files\\bittorrent\\bittorrent.exe"= UDP:c:\program files\bittorrent\bittorrent.exe:BitTorrent
"UDP Query User{E17D94CB-F3DD-4415-AE17-6655D9C471E4}c:\\program files\\bittorrent\\bittorrent.exe"= TCP:c:\program files\bittorrent\bittorrent.exe:BitTorrent
"TCP Query User{C206EB62-DFF1-464D-A6B6-F1B566453611}c:\\users\\alucard\\program files\\dna\\btdna.exe"= UDP:c:\users\MAX\program files\dna\btdna.exe:btdna.exe
"UDP Query User{C8F17607-7BC3-48C6-A3A6-D4719DA9D007}c:\\users\\alucard\\program files\\dna\\btdna.exe"= TCP:c:\users\MAX\program files\dna\btdna.exe:btdna.exe
"TCP Query User{DA772D42-3B8B-450A-8909-C1907B7B4B32}c:\\program files\\opera\\opera.exe"= UDP:c:\program files\opera\opera.exe:Opera Internet Browser
"UDP Query User{134C1919-6570-4B00-BDAD-F5E6C5D3F5B0}c:\\program files\\opera\\opera.exe"= TCP:c:\program files\opera\opera.exe:Opera Internet Browser
"TCP Query User{8F13F884-C67A-4A35-B05E-B1D099A4BF97}c:\\users\\MAX\\appdata\\local\\temp\\blizzard launcher temporary - afb9dc18\\launcher.exe"= UDP:c:\users\MAX\appdata\local\temp\blizzard launcher temporary - afb9dc18\launcher.exe:launcher.exe
"UDP Query User{E3E2701F-8641-41C5-9DB2-F85459884A6D}c:\\users\\MAX\\appdata\\local\\temp\\blizzard launcher temporary - afb9dc18\\launcher.exe"= TCP:c:\users\MAX\appdata\local\temp\blizzard launcher temporary - afb9dc18\launcher.exe:launcher.exe
"TCP Query User{8EA9F6A0-F8A9-406B-9C18-B31376EC3D9B}c:\\program files\\vuze\\azureus.exe"= UDP:c:\program files\vuze\azureus.exe:Azureus
"UDP Query User{4926AAA2-DD5C-471F-9A59-B0C545147C9A}c:\\program files\\vuze\\azureus.exe"= TCP:c:\program files\vuze\azureus.exe:Azureus
"TCP Query User{A8067403-D65B-469E-B07E-9CFD65AAD8FA}d:\\world of warcraft\\launcher.exe"= UDP:d:\world of warcraft\launcher.exe:Blizzard Launcher
"UDP Query User{68C5B48F-67B2-4E91-833D-CC78D75636D9}d:\\world of warcraft\\launcher.exe"= TCP:d:\world of warcraft\launcher.exe:Blizzard Launcher

R0 AvgRkx86;avgrkx86.sys;c:\windows\System32\drivers\avgrkx86.sys [13.06.2008 00:06 12552]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [02.06.2008 21:41 327688]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [24.10.2008 08:32 108552]
R2 a2AntiDialer;a-squared Anti-Dialer Service;c:\program files\a-squared Anti-Dialer\a2service.exe [11.06.2008 20:34 425080]
R2 AAV UpdateService;AAV UpdateService;c:\program files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 acedrv11;acedrv11;c:\windows\System32\drivers\ACEDRV11.sys [23.01.2008 10:19 501560]
R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [09.01.2009 10:52 906520]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [09.01.2009 10:52 298776]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [16.06.2009 17:30 1527900]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\System32\drivers\npf.sys [06.11.2007 22:22 34064]
S3 PSI;PSI;c:\windows\System32\drivers\psi_mf.sys [24.03.2009 13:03 7808]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-06-20 c:\windows\Tasks\User_Feed_Synchronization-{14A97E71-6865-42C5-9CA6-DF07F71973DF}.job
- c:\windows\system32\msfeedssync.exe [2009-06-18 11:31]
.
.
------- Zusätzlicher Suchlauf -------
.
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-21 14:33
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2335038868-1735721012-585069593-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:31,e8,77,02,d5,a5,7c,b5,78,4a,83,6c,eb,6a,0e,cd,51,36,f7,cf,49,03,6a,
cf,a4,a0,7a,83,f0,85,1b,4b,74,fa,c9,38,ed,1a,0c,0f,7e,6b,61,47,d6,75,f0,af,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-2335038868-1735721012-585069593-1000\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:6d,8c,f2,2f,82,65,eb,f6,7a,2f,0d,7f,68,aa,1d,e8,d0,0c,a0,b5,97,
ef,25,41,08,4a,33,c2,78,5b,92,7c,c6,02,a6,2b,39,c1,0c,2a,15,c6,80,6f,1f,34,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
Zeit der Fertigstellung: 2009-06-21 14:33
ComboFix-quarantined-files.txt 2009-06-21 12:33

Vor Suchlauf: 19 Verzeichnis(se), 136.000.155.648 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 135.976.525.824 Bytes frei

233 --- E O F --- 2009-06-18 16:30

Haben denn diese ganzen Programme bisher was gefunden bzw entfernt? Ich finde es schon erschreckend wieviele Programme und Dienste der hier auflistet von denen ich dachte ich hätte sie schon lange von meinem Pc verbannt.Peinlich,Peinlich.....

john.doe · 21.06.2009, 15:04

Wie gehst du ins Internet? Benötigst du einen Antidialer?

Zitat:

Haben denn diese ganzen Programme bisher was gefunden bzw entfernt?

Doch, einiges.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickFinder Scheduler"=-
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{50686FE0-8F0F-45DC-9EB0-95B9820BBCA4}d:\\emule\\emule.exe"=-
"UDP Query User{0985FBCF-B080-48A0-8711-4413FCA50B64}d:\\emule\\emule.exe"=-
"TCP Query User{BBFFE259-64FD-463B-86F8-75B742190692}d:\\icq6\\icq.exe"=-
"UDP Query User{51717D69-EB2D-4E95-B17F-87ED8A8EBFA2}d:\\icq6\\icq.exe"=-
"TCP Query User{85C9E92D-9010-499B-8FF0-14C302C4D350}c:\\users\\MAX\\emule\\emule.exe"=-
"UDP Query User{37740903-0881-426E-B594-F6F396B331B8}c:\\users\\alucard\\emule\\emule.exe"=-
"TCP Query User{8315CCA8-8CDC-4770-BED2-A5A35D4B2D38}c:\\program files\\gmx\\gmx multimessenger\\messengr.exe"=-
"UDP Query User{A336AEE3-FD3F-43D9-9C98-540C0A0DF007}c:\\program files\\gmx\\gmx multimessenger\\messengr.exe"=-
"TCP Query User{FA52555C-C441-45E0-B36E-000DD4C01250}c:\\program files\\trillian\\trillian.exe"=-
"UDP Query User{5985731F-3FCD-4AF1-B628-589458F1EEAE}c:\\program files\\trillian\\trillian.exe"=-
"{916456FF-1CAF-4D4F-9C55-18C3651F40BC}"=-
"{8D05A619-0E77-4A9C-AE95-5075A1B19F65}"=-
"TCP Query User{51821DBF-E85E-4BCF-8015-4D7873B7AE6E}c:\\program files\\bittorrent\\bittorrent.exe"=-
"UDP Query User{E17D94CB-F3DD-4415-AE17-6655D9C471E4}c:\\program files\\bittorrent\\bittorrent.exe"=-
"TCP Query User{C206EB62-DFF1-464D-A6B6-F1B566453611}c:\\users\\alucard\\program files\\dna\\btdna.exe"=-
"UDP Query User{C8F17607-7BC3-48C6-A3A6-D4719DA9D007}c:\\users\\alucard\\program files\\dna\\btdna.exe"=-
"TCP Query User{8EA9F6A0-F8A9-406B-9C18-B31376EC3D9B}c:\\program files\\vuze\\azureus.exe"=-
"UDP Query User{4926AAA2-DD5C-471F-9A59-B0C545147C9A}c:\\program files\\vuze\\azureus.exe"=-

File::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

Folder::
C:\rsit
c:\users\MAX\AppData\Roaming\Azureus
c:\programdata\Spybot - Search & Destroy

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Verdacht auf üblen trojaner über Adopeseitenscript

Log-Analyse und Auswertung: Verdacht auf üblen trojaner über Adopeseitenscript