Norton findet Infostealer kann ihn aber nicht beheben

gerbasso · 18.06.2009, 17:19

Hallo Community,

gestern Abend ärgerte mich mein PC. Norton meldete mir den Fund von Infostealer Virus und gab mir zur Option melden und nochmal scannen. Mehr leider nicht. Als Risiko stuft er das Ding hoch ein. Als Info brint er noch ERASER Version 109.1.0.61; dateibasiert; Betroffen: 4 Dateien + Browser Cache.
Als Datei ist angegeben: globalroot/systemroot/system32/msivxlalktevdyvrvxtlwekdjoenoscrna.dll

Hab jetzt gemacht:
1.CCleaner
2.Malwarebaytes lies sich downloaden und installieren aber nicht ausführen (probiert mit2 Versionen: 1.37 und 1.36
3.HijackThis, geht nur mit dem Trick test.com

Hijack Logfile:

Code:

ATTFilter

C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.130.223:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.*.*;10.4.*.*;<local>
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{96C6E03A-637D-41A2-B78F-66A9D48BD477}: NameServer = 85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.9,85.255.112.24
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.9,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.9,85.255.112.24
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Installierte Programme:

7-Zip 4.57

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Reader 9.1 - Deutsch

Adobe Shockwave Player

ANSTOSS 3

Browser mouse 1.3

CCleaner (remove only)

Gangsters 2

HijackThis 2.0.2

ICQ6.5

Java(TM) 6 Update 13

K-Lite Codec Pack 4.8.0 (Corporate)

Medion keyboard 1.3

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.0

Microsoft .NET Framework 3.0 German Language Pack

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office Professional Edition 2003

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Mozilla Firefox (3.0.11)

MSXML 4.0 SP3 Parser

MSXML 6.0 Parser (KB925673)

Norton Internet Security

NVIDIA Drivers

PDFCreator

Sicherheitsupdate für Windows XP (KB923789)

VLC media player 0.9.9

Windows Communication Foundation

Windows Internet Explorer 8

Windows Media Format 11 runtime

Windows Media Player 11

Windows Media Player Firefox Plugin

Windows PowerShell(TM) 1.0

Windows Presentation Foundation

Windows Presentation Foundation Language Pack (DEU)

Windows Workflow Foundation

Windows Workflow Foundation DE Language Pack

XML Paper Specification Shared Components Language Pack 1.0

So und da ich nun mit Viren und deren Umgang so gar keine rechre ahnung habe, wende ich mich an Euch mit der Bitte um Ratschläge und Hilfe. Zumal Norton das ja alleine nicht geregelt bekommt.
Danke. :-)

john.doe · 18.06.2009, 17:47

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

gerbasso · 18.06.2009, 18:46

Code:

ATTFilter

ComboFix 09-06-17.04 - Administrator 18.06.2009 19:26.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.232 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
AV: Kaspersky Security Suite CBE 09 *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 09 *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSIVXserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-05-18 bis 2009-06-18  ))))))))))))))))))))))))))))))
.

2009-06-18 17:25 . 2009-06-16 19:08	165240	----a-r-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IPSFFPlgn\components\IPSFFPl.dll
2009-06-18 15:56 . 2009-06-18 16:15	--------	d-----w-	c:\programme\Trend Micro
2009-06-18 15:37 . 2009-06-18 15:37	--------	d-----w-	c:\programme\CCleaner
2009-06-18 15:28 . 2009-06-16 19:08	876144	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\NAVEX15.SYS
2009-06-18 15:28 . 2009-06-16 19:08	89104	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\NAVENG.SYS
2009-06-18 15:28 . 2009-06-16 19:08	177520	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\NAVENG32.DLL
2009-06-18 15:28 . 2009-06-16 19:08	1181040	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\NAVEX32A.DLL
2009-06-18 15:28 . 2009-06-16 19:08	371248	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\EECTRL.SYS
2009-06-18 15:28 . 2009-06-16 19:08	101936	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\ERASER.SYS
2009-06-18 15:28 . 2009-06-16 19:08	259368	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\ECMSVR32.DLL
2009-06-18 15:28 . 2009-06-16 19:08	2414128	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090617.050\CCERASER.DLL
2009-06-17 16:05 . 2009-06-17 16:05	--------	d-----r-	c:\programme\Norton Support
2009-06-16 19:12 . 2009-06-16 19:08	396848	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090610.006\IDSviA64.sys
2009-06-16 19:12 . 2009-06-16 19:08	292912	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090610.006\IDSvix86.sys
2009-06-16 19:12 . 2009-06-16 19:08	276344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090610.006\IDSXpx86.sys
2009-06-16 19:12 . 2009-06-16 19:08	447864	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090610.006\IDSxpx86.dll
2009-06-16 19:12 . 2009-03-16 20:03	533880	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090610.006\Scxpx86.dll
2009-06-16 19:09 . 2009-06-16 19:08	554352	----a-r-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\components\coFFPlgn.dll
2009-06-16 19:09 . 2009-06-16 19:08	36400	----a-r-	c:\windows\system32\drivers\SymIM.sys
2009-06-16 19:09 . 2009-06-16 19:17	--------	d-----w-	c:\programme\Gemeinsame Dateien\Symantec Shared
2009-06-16 19:09 . 2009-06-16 19:09	60808	----a-w-	c:\windows\system32\S32EVNT1.DLL
2009-06-16 19:09 . 2009-06-16 19:09	124464	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
2009-06-16 19:09 . 2009-06-16 19:09	--------	d-----w-	c:\programme\Symantec
2009-06-16 19:08 . 2009-06-16 19:08	396848	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvia64.sys
2009-06-16 19:08 . 2009-06-16 19:08	292912	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvix86.sys
2009-06-16 19:08 . 2009-06-16 19:08	276344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSxpx86.sys
2009-06-16 19:08 . 2009-06-16 19:08	1290592	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\SyKnAppS.dll
2009-06-16 19:08 . 2009-06-16 19:08	136840	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\patch25.dll
2009-06-16 19:08 . 2009-06-16 19:08	447864	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\idsxpx86.dll
2009-06-16 19:08 . 2009-06-16 19:08	796016	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\CLT\cltLMSx.dll
2009-06-16 19:08 . 2009-06-16 19:08	--------	d-----w-	c:\programme\Norton Internet Security
2009-06-16 19:08 . 2009-06-16 19:08	--------	d-----w-	c:\programme\Windows Sidebar
2009-06-15 19:36 . 2009-06-15 19:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\mergeparts
2009-06-15 19:36 . 2009-06-15 19:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\deletepart
2009-06-15 19:36 . 2009-06-15 19:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\explauncher
2009-06-15 19:36 . 2009-06-15 19:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\launcher
2009-06-15 19:32 . 2009-06-15 19:48	--------	dc----w-	c:\windows\system32\DRVSTORE
2009-06-15 19:32 . 2009-04-08 15:59	40560	----a-w-	c:\windows\system32\drivers\hotcore3.sys
2009-06-15 19:31 . 2009-06-15 19:31	--------	d-----w-	c:\programme\Paragon Software
2009-06-15 16:52 . 2009-06-15 16:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-06-15 16:03 . 2009-06-15 16:50	--------	d-----w-	c:\windows\nview
2009-06-15 16:03 . 2007-06-28 16:43	356352	----a-w-	c:\windows\system32\nvudisp.exe
2009-06-15 16:00 . 2008-04-13 20:04	1897408	-c--a-w-	c:\windows\system32\dllcache\nv4_mini.sys
2009-06-15 16:00 . 2006-03-17 11:16	3655712	----a-w-	c:\windows\system32\drivers\nv4_mini.sys
2009-06-15 16:00 . 2008-04-14 05:52	4274816	-c--a-w-	c:\windows\system32\dllcache\nv4_disp.dll
2009-06-15 16:00 . 2006-03-17 11:16	3975040	----a-w-	c:\windows\system32\nv4_disp.dll
2009-06-14 14:17 . 2009-06-14 14:17	63600	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-14 14:12 . 2009-06-14 14:12	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Symantec
2009-06-14 14:03 . 2009-06-16 19:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-06-14 13:59 . 2009-06-14 13:59	--------	d-----w-	c:\windows\system32\drivers\NIS
2009-06-14 13:59 . 2009-06-14 13:59	--------	d-----w-	c:\programme\NortonInstaller
2009-06-14 12:29 . 2009-06-16 19:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-06-14 12:28 . 2009-06-14 12:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-06-13 16:49 . 2009-06-13 16:49	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2009-06-13 16:48 . 2009-06-13 16:48	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2009-06-13 16:38 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-06-13 10:56 . 2009-06-13 10:56	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2009-06-10 16:04 . 2009-06-10 16:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Dokumente
2009-06-07 12:37 . 2009-06-12 18:18	3831328	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-06-07 12:37 . 2009-06-12 18:18	172064	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2009-06-06 16:54 . 2009-06-06 16:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-06-06 16:40 . 2009-06-06 16:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-06-06 16:29 . 2009-06-16 17:07	--------	d-----w-	c:\windows\system32\NtmsData
2009-06-03 16:05 . 2009-06-03 16:05	--------	d-----w-	c:\windows\G2Runner
2009-06-03 16:01 . 2009-06-15 16:02	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2009-06-03 15:52 . 2009-06-03 15:52	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2009-06-03 13:59 . 2009-06-03 13:59	--------	d-----w-	c:\programme\uTorrent
2009-06-03 13:59 . 2009-06-14 13:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2009-06-03 13:27 . 2009-06-03 13:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2009-06-03 13:26 . 2009-06-03 13:26	--------	d-----w-	c:\programme\VideoLAN
2009-06-03 12:56 . 2009-06-10 16:19	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-06-03 12:56 . 2009-06-03 12:58	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2009-06-03 12:55 . 2009-06-03 12:58	--------	d-----w-	c:\programme\ICQ6.5
2009-06-03 12:08 . 2009-06-03 12:08	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2009-06-03 12:08 . 2009-06-03 12:08	0	----a-w-	c:\windows\nsreg.dat
2009-06-03 12:08 . 2009-06-03 12:08	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-06-03 12:07 . 2009-06-03 12:07	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2009-06-03 12:02 . 2009-06-03 12:02	--------	d-----w-	c:\programme\Medionkeyboard
2009-06-03 12:01 . 2009-06-03 12:01	--------	d-----w-	c:\programme\Browser mouse
2009-06-03 12:01 . 2003-09-16 22:22	54442	----a-r-	c:\windows\system32\drivers\LWBHMSYS.SYS

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-16 19:09 . 2009-06-16 19:09	805	----a-w-	c:\windows\system32\drivers\SYMEVENT.INF
2009-06-16 19:09 . 2009-06-16 19:09	7386	----a-w-	c:\windows\system32\drivers\SYMEVENT.CAT
2009-06-14 18:54 . 2009-05-27 14:17	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-12 18:18 . 2009-06-07 12:37	34156	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-06-12 18:18 . 2009-06-07 12:37	1668	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2009-06-03 13:06 . 2001-08-18 14:00	78642	----a-w-	c:\windows\system32\perfc007.dat
2009-06-03 13:06 . 2001-08-18 14:00	445516	----a-w-	c:\windows\system32\perfh007.dat
2009-05-27 16:07 . 2009-05-27 15:40	--------	d-----w-	c:\programme\Microsoft Works
2009-05-27 15:38 . 2009-05-27 15:38	--------	d-----w-	c:\programme\Microsoft.NET
2009-05-27 15:11 . 2009-05-27 15:11	--------	d-----w-	c:\programme\K-Lite Codec Pack
2009-05-27 15:11 . 2009-05-27 15:10	--------	d-----w-	c:\programme\PDFCreator
2009-05-27 15:10 . 2009-05-27 15:10	--------	d-----w-	c:\programme\Sysinternals
2009-05-27 15:10 . 2009-05-27 15:10	--------	d-----w-	c:\programme\DVD-Player
2009-05-27 15:10 . 2009-05-27 15:10	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-05-27 15:10 . 2009-05-27 15:10	--------	d-----w-	c:\programme\Java
2009-05-27 15:09 . 2009-05-27 15:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-05-27 15:08 . 2009-05-27 15:08	--------	d-----w-	c:\programme\7-Zip
2009-05-27 14:57 . 2009-05-27 14:57	--------	d-----w-	c:\programme\MSXML 4.0
2009-05-27 14:46 . 2009-05-27 14:46	--------	d-----w-	c:\programme\MSBuild
2009-05-27 14:46 . 2009-05-27 14:46	64200	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-27 14:40 . 2009-05-27 14:40	--------	d-----w-	c:\programme\Reference Assemblies
2009-05-27 14:34 . 2009-05-27 14:34	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-05-27 14:19 . 2009-05-27 14:19	--------	d-----w-	c:\programme\microsoft frontpage
2009-05-27 14:16 . 2009-05-27 14:16	--------	d-----w-	c:\programme\Online-Dienste
2009-05-27 14:15 . 2009-05-27 14:15	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2009-05-27 14:13 . 2009-05-27 14:13	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2009-04-28 13:17 . 2009-04-28 13:17	499712	--s-a-w-	c:\windows\system32\msvcp71.dll
2009-04-08 15:59 . 2009-04-08 15:59	4248848	----a-w-	c:\windows\system32\qtp-mt334.dll
2009-04-08 15:59 . 2009-04-08 15:59	248592	----a-w-	c:\windows\system32\prgiso.dll
2009-04-02 13:21 . 2009-05-27 15:11	84480	----a-w-	c:\windows\system32\ff_vfw.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FLMMEDIONMOUSE"="c:\programme\Browser mouse\1.3\mouse32a.exe" [2009-06-03 356352]
"FLMK08KB"="c:\programme\Medionkeyboard\1.3\MMKEYBD.EXE" [2009-06-03 202752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-17 7561216]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-04-29 208896]
"SW20"="c:\windows\system32\sw20.exe" [2006-04-04 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-04-04 69632]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-17 86016]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-03-17 1519616]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
xx_Sonstiges.cmd [2008-7-17 206]
Zip_1start.cmd [2007-12-18 109]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@="FSFilter Activity Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1005000.086\SymEFA.sys [16.06.2009 21:08 310320]
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NIS\1005000.086\BHDrvx86.sys [16.06.2009 21:08 258608]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1005000.086\cchpx86.sys [16.06.2009 21:08 482352]
R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090610.006\IDSXpx86.sys [16.06.2009 21:12 276344]
R2 Norton Internet Security;Norton Internet Security;c:\programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe [16.06.2009 21:08 115560]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [16.06.2009 21:13 101936]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = 192.168.130.223:80
uInternet Settings,ProxyOverride = localhost;192.168.*.*;10.4.*.*;<local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-18 19:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.5.0.134\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-117609710-854245398-554794915-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,db,2e,7c,5a,ca,52,bc,4e,af,e7,d5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,db,2e,7c,5a,ca,52,bc,4e,af,e7,d5,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2009-06-18 19:37
ComboFix-quarantined-files.txt  2009-06-18 17:37

Vor Suchlauf: 7.105.204.224 Bytes frei
Nach Suchlauf: 7.094.132.736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

213

Hoffe ich habe der Anleitung richtig Folge geleistet und alles gemacht.

Zwei Sachen:

Erstens bin ich mir nicht sicher ob Norton die ganze Zeit aus war, ich hab es zwar ausgeschalten und das Symbol in der Taskleiste war weg aber beim Neustart kam kurz die Virusmeldung wieder.
Zweitens: Am Ende von combofix kam beim .log erstellen zweimal die Fehlermelung: RegRuns00 kann nicht exportiert werden: Fehler beim öffnen der Datei. Mögliche Ursache ein Datenträger- oder Dateisystemfahler. Hab ich mit Okay bestätigt und im dritten Anlauf kam die log Datei

Warte auf weitere Anweisungen.

john.doe · 18.06.2009, 18:58

Hast du dir NIS freiwillig installiert? Zahlst du auch noch etwas dafür?

Kaspersky ist da auch noch drauf. Warum?

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Diesmal das HJT-Log bitte vollständig posten.

ciao, andreas

gerbasso · 18.06.2009, 19:12

"Für alle Neuen" wird gleich in angriff genommen.

Kaspersky ist deinstalliert. Hat mich auch gerade sehr stutzig gemacht. Weis nicht ob ich da auch wie für Norton so ein removal tool brauche...?

Tja und weil mich kaspersky ziemlich nervte, sehr ressourcen fressend, hab ich norton ausprobiert, weil wir das auch im büro haben. ist im moment nur eine testversion, hab ich seit drei tagen. weis noch nicht ob ich dafür dann löhnen werde aber wohl eher nicht, nachdem es mich jetzt hängen lassen hat.

p.s: was meinst mit hijack diesmal bitte vollständig posten? hab ich beim ersten post was vergessen? ruhig kritisieren, man ist ja lernfähig

john.doe · 18.06.2009, 19:19

Zitat:

"Für alle Neuen" wird gleich in angriff genommen.

Zwei Minuten hast du noch.

Zitat:

Weis nicht ob ich da auch wie für Norton so ein removal tool brauche...?

Download und Ausführung des Norton-Entfernungsprogramms

Zitat:

weis noch nicht ob ich dafür dann löhnen werde aber wohl eher nicht, nachdem es mich jetzt hängen lassen hat.

Mit dem, das du da drauf hattest, kommt noch kein Antivirenprogramm klar.

Zitat:

was meinst mit hijack diesmal bitte vollständig posten?

So sieht es richtig aus => http://www.trojaner-board.de/441989-post9.html
In der ersten Zeile steht Logfile in der letzten End of file.

ciao, andreas

gerbasso · 18.06.2009, 19:56

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2304
Windows 5.1.2600 Service Pack 3

18.06.2009 20:53:11
mbam-log-2009-06-18 (20-53-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 117450
Laufzeit: 29 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\HDQuality (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.9,85.255.112.24 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{96c6e03a-637d-41a2-b78f-66a9d48bd477}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.24 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> Quarantined and deleted successfully.

john.doe · 18.06.2009, 20:02

Umleitung in die Ukraine auch noch.

Ändere alle deine Kennwörter von einem sauberen Rechner aus. Falls du Onlinebanking machst, informiere deine Bank.

ciao, andreas

gerbasso · 18.06.2009, 20:07

HIJACK

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:11, on 18.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.130.223:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.*.*;10.4.*.*;<local>
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4583 bytes

Software

7-Zip 4.57

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Reader 9.1 - Deutsch

Adobe Shockwave Player

ANSTOSS 3

Browser mouse 1.3

CCleaner (remove only)

Gangsters 2

HijackThis 2.0.2

ICQ6.5

Java(TM) 6 Update 13

K-Lite Codec Pack 4.8.0 (Corporate)

Malwarebytes' Anti-Malware

Medion keyboard 1.3

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.0

Microsoft .NET Framework 3.0 German Language Pack

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office Professional Edition 2003

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Mozilla Firefox (3.0.11)

MSXML 4.0 SP3 Parser

MSXML 6.0 Parser (KB925673)

Norton Internet Security

NVIDIA Drivers

PDFCreator

Sicherheitsupdate für Windows XP (KB923789)

VLC media player 0.9.9

Windows Communication Foundation

Windows Internet Explorer 8

Windows Media Format 11 runtime

Windows Media Player 11

Windows Media Player Firefox Plugin

Windows PowerShell(TM) 1.0

Windows Presentation Foundation

Windows Presentation Foundation Language Pack (DEU)

Windows Workflow Foundation

Windows Workflow Foundation DE Language Pack

XML Paper Specification Shared Components Language Pack 1.0

gerbasso · 18.06.2009, 20:12

hijeijeijeija... du machst mir j angst... was du aus den zahlen so rausliest. na dann wird sich morgen meine bank bedanken... ein glück, dass ich von diesem rechner aus noch keine tans eingegeben habe (fürs überweisen) sondern nur zugangsnummer und passwort für kontostandabfrage. dürfte also nichts passiert sein.

schliesse noch einen norton scan an...

john.doe · 18.06.2009, 20:34

Zitat:

schliesse noch einen norton scan an...

Deinstalliere Norton. Die Dateien scannen wir zum Schluss mit dem Online-Kasper, Prevx und Avira.

ciao, andreas

gerbasso · 18.06.2009, 20:40

hi andreas,

also was auch immer so diese ganzen "zauberprogramme" so bewirkt haben, sie scheinen optimal angeschlagen zu haben... auf einmal seh ich in der datenträgerverwaltung meine festplatten wieder, norton geht geht der erweiterter schutz nach ca. 15min nicht mehr aus und er hört nach 3000 dateien nicht mehr auf zu scannen... ist jetzt schon bei 3000...
ich weis gar nicht wie ich meinen dank in worte fassen kann... hatte schon die angst, das alles aufs plätten hinausläuft... wahnsinn. einfach nur danke.
wenn du irgendwann im süden deutschlands unterwegs bist, weisst du wo immer ein kühles blondes auf dich wartet

eine frage noch: hab so bissl rausgelesen das norton wohl nicht so das ware ist, was ist denn zu empfehlen? und was mach ich mit den gezogenen programmen zur hilfe... alle wieder löschen und bei evtl. künftigen problemen wieder melden oder einfach da lassen und sogar manches regelmässig laufen lassen?

so ich sag erstmal nachti,
morgen der tag ist wieder lang.
gruss sebastian

edit: ist verstanden. melde mich morgen wieder, wenn norton vollständig deinstalliert ist. bdd.

john.doe · 18.06.2009, 21:23

Da glaubt wieder jemand, wir seien schon fertig, nur weil die Symptome verschwunden sind.

Mein Fehler, ich habe dich nicht explizit darauf hingewiesen, das Neuaufsetzen immer der schnellere und sicherere Weg ist.

Nachdem Norton und Kaspersky vollständig deinstalliert sind, machst du folgendes:

1.) Download und Ausführung des Norton-Entfernungsprogramms

2.) Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
SymEFA
BHDrvx86
ccHP
IDSxpx86
Norton Internet Security
EraserUtilRebootDrv

RegLockDel::
[HKEY_USERS\S-1-5-21-117609710-854245398-554794915-500\Software\Microsoft\Internet Explorer\User Preferences]

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\uTorrent\\uTorrent.exe"=-

File::
c:\windows\system32\drivers\SymIM.sys
c:\windows\system32\drivers\SYMEVENT.SYS
c:\windows\system32\S32EVNT1.DLL
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox2.dat
c:\windows\system32\drivers\SYMEVENT.INF
c:\windows\system32\drivers\SYMEVENT.CAT
c:\windows\system32\drivers\fidbox.idx
c:\windows\system32\drivers\fidbox2.idx
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

Folder::
c:\programme\Online-Dienste
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
c:\programme\uTorrent
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
c:\programme\Norton Support
c:\programme\Symantec
c:\programme\Norton Internet Security
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Symantec
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
c:\windows\system32\drivers\NIS
c:\programme\NortonInstaller
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

gerbasso · 19.06.2009, 16:32

info.txt logfile of random's system information tool 1.06 2009-06-19 17:22:00

======Uninstall list======

-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.57-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->MsiExec.exe /X{922E8525-AC7E-4294-ACAA-43712D4423C0}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe Shockwave Player-->MsiExec.exe /X{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}
ANSTOSS 3-->"D:\ANSTOSS 3\unins000.exe"
Browser mouse 1.3-->C:\Programme\Browser mouse\1.3\uninst00.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Gangsters 2-->D:\Gangsters2\Autorun.exe /Uninstall
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
K-Lite Codec Pack 4.8.0 (Corporate)-->"C:\Programme\K-Lite Codec Pack\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Medion keyboard 1.3-->C:\Programme\Medionkeyboard\1.3\uninst00.exe
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 German Language Pack-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP3 Parser-->MsiExec.exe /I{196467F1-C11F-4F76-858B-5812ADC83B94}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows PowerShell(TM) 1.0-->"C:\WINDOWS\$NtUninstallKB926140-v5$\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======Security center information======

AV: Kaspersky Security Suite CBE 09 (disabled)
FW: Kaspersky Security Suite CBE 09 (disabled)

======System event log======

Computer Name: BBW-4B5CD4CF093
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 394
Source Name: EventLog
Time Written: 20090604141839.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 393
Source Name: EventLog
Time Written: 20090604141839.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 392
Source Name: EventLog
Time Written: 20090604131525.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 4226
Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Record Number: 391
Source Name: Tcpip
Time Written: 20090604121730.000000+120
Event Type: Warnung
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 4226
Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Record Number: 390
Source Name: Tcpip
Time Written: 20090604120309.000000+120
Event Type: Warnung
User:

=====Application event log=====

Computer Name: BBW-4B5CD4CF093
Event Code: 4104
Message: Der Microsoft Distributed Transaction Coordinator-Dienst wurde erfolgreich installiert.
Record Number: 5
Source Name: MSDTC
Time Written: 20090527161335.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090527161332.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090527161329.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090527161227.000000+120
Event Type: Informationen
User:

Computer Name: BBW-4B5CD4CF093
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090527161158.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Sysinternals
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 4 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0402
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.PSC1
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

gerbasso · 19.06.2009, 16:34

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2009-06-19 17:21:55
Microsoft Windows XP Professional Service Pack 3
System drive C: has 7 GB (37%) free of 18 GB
Total RAM: 511 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:21:58, on 19.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.130.223:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.*.*;10.4.*.*;<local>
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3991 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-05-27 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-05-27 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FLMMEDIONMOUSE"=C:\Programme\Browser mouse\1.3\mouse32a.exe [2009-06-03 356352]
"FLMK08KB"=C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE [2009-06-03 202752]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-03-17 7561216]
"nwiz"=nwiz.exe /install []
"WinSys2"=C:\WINDOWS\system32\winsys2.exe [2006-04-29 208896]
"SW20"=C:\WINDOWS\system32\sw20.exe [2006-04-04 208896]
"SW24"=C:\WINDOWS\system32\sw24.exe [2006-04-04 69632]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-03-17 86016]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SymEFA.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoAutoTrayNotify"=
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 3 months======

2009-06-19 17:21:55 ----D---- C:\rsit
2009-06-19 17:01:46 ----D---- C:\WINDOWS\ie8updates
2009-06-19 17:01:33 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-06-19 17:01:24 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-06-19 17:01:17 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-06-19 17:01:12 ----A---- C:\WINDOWS\imsins.BAK
2009-06-19 17:01:06 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-06-19 16:52:53 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-06-18 21:02:00 ----HD---- C:\WINDOWS\PIF
2009-06-18 20:19:32 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-06-18 20:19:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-18 20:19:23 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-06-18 20:14:51 ----SHD---- C:\RECYCLER
2009-06-18 19:37:53 ----A---- C:\ComboFix.txt
2009-06-18 19:20:10 ----A---- C:\Boot.bak
2009-06-18 19:20:06 ----RASHD---- C:\cmdcons
2009-06-18 19:17:58 ----A---- C:\WINDOWS\zip.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\SWSC.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\SWREG.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\sed.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\PEV.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\NIRCMD.exe
2009-06-18 19:17:58 ----A---- C:\WINDOWS\grep.exe
2009-06-18 19:17:49 ----D---- C:\WINDOWS\ERDNT
2009-06-18 19:17:44 ----D---- C:\Qoobox
2009-06-18 17:56:34 ----D---- C:\Programme\Trend Micro
2009-06-18 17:37:44 ----D---- C:\Programme\CCleaner
2009-06-15 21:48:15 ----D---- C:\WINDOWS\system32\appmgmt
2009-06-15 21:36:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mergeparts
2009-06-15 21:36:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\deletepart
2009-06-15 21:36:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\explauncher
2009-06-15 21:36:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\launcher
2009-06-15 21:34:31 ----D---- C:\WINDOWS\Minidump
2009-06-15 21:32:59 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-06-15 21:31:51 ----D---- C:\Programme\Paragon Software
2009-06-15 18:52:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-06-15 18:06:37 ----A---- C:\WINDOWS\msicpl.ini
2009-06-15 18:03:18 ----D---- C:\WINDOWS\nview
2009-06-15 18:03:18 ----A---- C:\WINDOWS\system32\nvudisp.exe
2009-06-15 18:02:44 ----RA---- C:\WINDOWS\system32\MadCHook.dll
2009-06-15 18:02:43 ----RA---- C:\WINDOWS\system32\smdll.dll
2009-06-15 18:02:40 ----RA---- C:\WINDOWS\system32\sysinfo.dll
2009-06-15 18:02:40 ----RA---- C:\WINDOWS\system32\HookShield.dll
2009-06-15 18:02:40 ----RA---- C:\WINDOWS\system32\HookMAp.dll
2009-06-15 18:02:40 ----RA---- C:\WINDOWS\system32\Auxiliary.dll
2009-06-15 18:02:39 ----RA---- C:\WINDOWS\system32\WinSys2.exe
2009-06-15 18:02:39 ----RA---- C:\WINDOWS\system32\WinSys.exe
2009-06-15 18:02:38 ----RA---- C:\WINDOWS\system32\sw24.exe
2009-06-15 18:02:38 ----RA---- C:\WINDOWS\system32\sw20.exe
2009-06-15 18:02:38 ----RA---- C:\WINDOWS\system32\Nvgpio.dll
2009-06-15 18:02:37 ----RA---- C:\WINDOWS\system32\msicpl.dll
2009-06-15 18:02:18 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-06-15 18:02:10 ----A---- C:\WINDOWS\system32\NVUNINST.EXE
2009-06-15 18:00:22 ----A---- C:\WINDOWS\system32\nv4_disp.dll
2009-06-14 16:03:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2009-06-14 14:29:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
2009-06-14 14:28:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-06-10 18:45:48 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-06-10 18:45:48 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-06-10 18:45:47 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-06-10 18:45:47 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-06-10 18:45:47 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-06-10 18:45:47 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-06-10 18:45:46 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-06-10 18:45:46 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-06-10 18:45:46 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-06-10 18:45:44 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-06-10 18:45:44 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-06-10 18:45:44 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-06-10 18:45:43 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-06-10 18:45:43 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-06-10 18:45:43 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-06-10 18:45:42 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-06-10 18:45:42 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-06-10 18:45:42 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-06-10 18:45:41 ----A---- C:\WINDOWS\system32\xinput1_3.dll
2009-06-10 18:45:41 ----A---- C:\WINDOWS\system32\xactengine2_7.dll
2009-06-10 18:45:40 ----A---- C:\WINDOWS\system32\d3dx10_33.dll
2009-06-10 18:45:40 ----A---- C:\WINDOWS\system32\D3DCompiler_33.dll
2009-06-10 18:45:39 ----A---- C:\WINDOWS\system32\d3dx9_33.dll
2009-06-10 18:45:38 ----A---- C:\WINDOWS\system32\xactengine2_6.dll
2009-06-10 18:45:38 ----A---- C:\WINDOWS\system32\xactengine2_5.dll
2009-06-10 18:45:37 ----A---- C:\WINDOWS\system32\xactengine2_4.dll
2009-06-10 18:45:37 ----A---- C:\WINDOWS\system32\x3daudio1_1.dll
2009-06-10 18:45:37 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-06-10 18:45:37 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2009-06-10 18:45:36 ----A---- C:\WINDOWS\system32\xinput1_2.dll
2009-06-10 18:45:36 ----A---- C:\WINDOWS\system32\xactengine2_3.dll
2009-06-10 18:45:36 ----A---- C:\WINDOWS\system32\xactengine2_2.dll
2009-06-10 18:45:35 ----A---- C:\WINDOWS\system32\xinput1_1.dll
2009-06-10 18:45:35 ----A---- C:\WINDOWS\system32\xactengine2_1.dll
2009-06-10 18:45:25 ----A---- C:\WINDOWS\system32\d3dx9_30.dll
2009-06-10 18:45:24 ----A---- C:\WINDOWS\system32\xactengine2_0.dll
2009-06-10 18:45:24 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll
2009-06-10 18:45:24 ----A---- C:\WINDOWS\system32\d3dx9_29.dll
2009-06-10 18:45:23 ----RA---- C:\WINDOWS\system32\d3dx9_28.dll
2009-06-10 18:45:22 ----RA---- C:\WINDOWS\system32\d3dx9_27.dll
2009-06-10 18:45:22 ----A---- C:\WINDOWS\system32\xinput9_1_0.dll
2009-06-10 18:45:21 ----A---- C:\WINDOWS\system32\d3dx9_26.dll
2009-06-10 18:45:21 ----A---- C:\WINDOWS\system32\d3dx9_25.dll
2009-06-10 18:45:20 ----A---- C:\WINDOWS\system32\d3dx9_24.dll
2009-06-10 18:45:03 ----D---- C:\WINDOWS\Logs
2009-06-06 18:54:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-06-06 18:40:19 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-06-06 18:29:02 ----D---- C:\WINDOWS\system32\NtmsData
2009-06-03 18:05:06 ----D---- C:\WINDOWS\G2Runner
2009-06-03 18:01:33 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-06-03 15:59:04 ----D---- C:\Programme\uTorrent
2009-06-03 15:59:01 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2009-06-03 15:27:18 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2009-06-03 15:26:02 ----D---- C:\Programme\VideoLAN
2009-06-03 14:56:59 ----HD---- C:\Programme\InstallShield Installation Information
2009-06-03 14:56:44 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2009-06-03 14:55:40 ----D---- C:\Programme\ICQ6.5
2009-06-03 14:08:26 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
2009-06-03 14:08:19 ----D---- C:\Programme\Mozilla Firefox
2009-06-03 14:07:30 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2009-06-03 14:02:10 ----D---- C:\Programme\Medionkeyboard
2009-06-03 14:01:57 ----D---- C:\Programme\Browser mouse
2009-05-27 18:06:04 ----RASH---- C:\boot.ini
2009-05-27 17:58:56 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-27 17:58:56 ----RSD---- C:\WINDOWS\Fonts
2009-05-27 17:58:56 ----RD---- C:\WINDOWS\Web
2009-05-27 17:58:56 ----D---- C:\WINDOWS\WinSxS
2009-05-27 17:58:56 ----D---- C:\WINDOWS\twain_32
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Temp
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\wins
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\wbem
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\usmt
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\spool
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\ShellExt
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\Setup
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\ras
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\oobe
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\npp
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\mui
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\inetsrv
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\IME
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\icsxml
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\ias
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\export
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\drivers
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\dhcp
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\de-de
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\de
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\config
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\3com_dmi
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\3076
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\2052
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1054
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1042
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1041
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1037
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1033
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1031
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1028
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32\1025
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system32
2009-05-27 17:58:56 ----D---- C:\WINDOWS\system
2009-05-27 17:58:56 ----D---- C:\WINDOWS\security
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Resources
2009-05-27 17:58:56 ----D---- C:\WINDOWS\repair
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Provisioning
2009-05-27 17:58:56 ----D---- C:\WINDOWS\PeerNet
2009-05-27 17:58:56 ----D---- C:\WINDOWS\pchealth
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Network Diagnostic
2009-05-27 17:58:56 ----D---- C:\WINDOWS\mui
2009-05-27 17:58:56 ----D---- C:\WINDOWS\msapps
2009-05-27 17:58:56 ----D---- C:\WINDOWS\msagent
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Media
2009-05-27 17:58:56 ----D---- C:\WINDOWS\L2Schemas
2009-05-27 17:58:56 ----D---- C:\WINDOWS\java
2009-05-27 17:58:56 ----D---- C:\WINDOWS\inf
2009-05-27 17:58:56 ----D---- C:\WINDOWS\ime
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Help
2009-05-27 17:58:56 ----D---- C:\WINDOWS\ehome
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Driver Cache
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Debug
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Cursors
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Connection Wizard
2009-05-27 17:58:56 ----D---- C:\WINDOWS\Config
2009-05-27 17:58:56 ----D---- C:\WINDOWS\AppPatch
2009-05-27 17:58:56 ----D---- C:\WINDOWS\addins
2009-05-27 17:58:56 ----D---- C:\WINDOWS
2009-05-27 17:43:32 ----A---- C:\WINDOWS\ODBC.INI
2009-05-27 17:43:22 ----A---- C:\WINDOWS\system32\mdimon.dll
2009-05-27 17:40:59 ----D---- C:\Programme\Gemeinsame Dateien\DESIGNER
2009-05-27 17:40:52 ----D---- C:\Programme\Microsoft Works
2009-05-27 17:40:43 ----D---- C:\Programme\Microsoft Visual Studio
2009-05-27 17:40:26 ----D---- C:\WINDOWS\SHELLNEW
2009-05-27 17:38:06 ----D---- C:\Programme\Microsoft.NET
2009-05-27 17:38:06 ----D---- C:\Programme\Microsoft Office
2009-05-27 17:18:33 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-05-27 17:11:46 ----A---- C:\WINDOWS\system32\h323log.txt
2009-05-27 17:11:35 ----A---- C:\WINDOWS\system32\unrar.dll
2009-05-27 17:11:34 ----A---- C:\WINDOWS\system32\yv12vfw.dll
2009-05-27 17:11:33 ----A---- C:\WINDOWS\system32\xvidvfw.dll
2009-05-27 17:11:33 ----A---- C:\WINDOWS\system32\xvidcore.dll
2009-05-27 17:11:33 ----A---- C:\WINDOWS\system32\ff_vfw.dll.manifest
2009-05-27 17:11:32 ----A---- C:\WINDOWS\system32\ff_vfw.dll
2009-05-27 17:11:31 ----D---- C:\Programme\K-Lite Codec Pack
2009-05-27 17:11:01 ----A---- C:\WINDOWS\system32\pdfcmnnt.dll
2009-05-27 17:10:58 ----A---- C:\WINDOWS\system32\VB6DE.DLL
2009-05-27 17:10:58 ----A---- C:\WINDOWS\system32\MSCMCDE.DLL
2009-05-27 17:10:58 ----A---- C:\WINDOWS\system32\MSCC2DE.DLL
2009-05-27 17:10:57 ----D---- C:\Programme\PDFCreator
2009-05-27 17:10:57 ----A---- C:\WINDOWS\system32\MSMPIDE.DLL
2009-05-27 17:10:47 ----D---- C:\Programme\Sysinternals
2009-05-27 17:10:45 ----D---- C:\Programme\DVD-Player
2009-05-27 17:10:39 ----A---- C:\WINDOWS\system32\javaws.exe
2009-05-27 17:10:39 ----A---- C:\WINDOWS\system32\javaw.exe
2009-05-27 17:10:39 ----A---- C:\WINDOWS\system32\java.exe
2009-05-27 17:10:39 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-05-27 17:10:21 ----D---- C:\Programme\Java
2009-05-27 17:10:21 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2009-05-27 17:10:21 ----A---- C:\WINDOWS\system32\ati3duag.dll
2009-05-27 17:10:20 ----A---- C:\WINDOWS\system32\ati3d1ag.dll
2009-05-27 17:10:20 ----A---- C:\WINDOWS\system32\ati2dvag.dll
2009-05-27 17:10:20 ----A---- C:\WINDOWS\system32\ati2cqag.dll
2009-05-27 17:10:14 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
2009-05-27 17:09:59 ----A---- C:\WINDOWS\system32\ksuser.dll
2009-05-27 17:09:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-05-27 17:09:31 ----A---- C:\WINDOWS\system32\usbui.dll
2009-05-27 17:09:19 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-05-27 17:09:19 ----D---- C:\Programme\Adobe
2009-05-27 17:08:55 ----D---- C:\Programme\7-Zip
2009-05-27 17:08:48 ----D---- C:\WINDOWS\system32\Adobe
2009-05-27 17:08:48 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
2009-05-27 17:08:48 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
2009-05-27 17:08:03 ----SHD---- C:\WINDOWS\Installer
2009-05-27 17:08:03 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-05-27 17:08:02 ----D---- C:\Programme\Gemeinsame Dateien\ODBC
2009-05-27 17:08:02 ----A---- C:\WINDOWS\ODBCINST.INI
2009-05-27 17:07:58 ----D---- C:\Programme\Gemeinsame Dateien\SpeechEngines
2009-05-27 17:07:57 ----RD---- C:\Programme
2009-05-27 17:07:57 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-05-27 17:07:57 ----D---- C:\Programme\Gemeinsame Dateien