|
Plagegeister aller Art und deren Bekämpfung: hilfe!trojan.win32.monder.cqbiWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.07.2009, 20:09 | #16 |
| hilfe!trojan.win32.monder.cqbi Poste zuerst die Logs von RSIT, anschließend Malwarebytes über alle Laufwerke laufen lassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.07.2009, 20:25 | #17 |
| hilfe!trojan.win32.monder.cqbi Logfile of random's system information tool 1.06 (written by random/random)
__________________Run by Saar Devil at 2009-07-25 21:14:27 Microsoft® Windows Vista™ Ultimate Service Pack 1 System drive C: has 3 GB (11%) free of 25 GB Total RAM: 2558 MB (66% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:14:38, on 25.07.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe E:\Fraps\fraps.exe C:\Windows\RtHDVCpl.exe C:\Windows\vsnp2std.exe C:\Windows\System32\CtHelper.exe E:\Program Files\zoneLINK\MultiCore Optimizer\MultiCoreOptimizer.exe E:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe C:\Program Files\Microsoft IntelliType Pro\itype.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\NOTEPAD.EXE C:\Users\Saar Devil\Desktop\RSIT.exe E:\Program Files\Trend Micro\HijackThis\Saar Devil.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [snp2std] C:\Windows\vsnp2std.exe O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "E:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe" /S O4 - HKLM\..\Run: [zoneLINK MultiCore Optimizer] "E:\Program Files\zoneLINK\MultiCore Optimizer\MultiCoreOptimizer.exe" -TRAY O4 - HKLM\..\Run: [BtTray] "E:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe" O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\r3hook.dll E:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe O23 - Service: BlueSoleilCS - Unknown owner - E:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe O23 - Service: BsHelpCS - Unknown owner - E:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c9c7f6b1d49f94) (gupdate1c9c7f6b1d49f94) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: lxbk_device - - C:\Windows\system32\lxbkcoms.exe O23 - Service: MySQL - Unknown owner - E:\mysql\bin\mysqld-nt.exe (file missing) O23 - Service: MySQL51 - Unknown owner - E:\Program.exe (file missing) O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe -- End of file - 6721 bytes ======Scheduled tasks folder====== C:\Windows\tasks\GoogleUpdateTaskMachineCore.job C:\Windows\tasks\GoogleUpdateTaskMachineUA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00C6482D-C502-44C8-8409-FCE54AD9C208}] SnagIt Toolbar Loader - E:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll [2008-09-22 66888] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - E:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-12-08 370296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-02-04 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-02-04 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - SnagIt - E:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll [2008-09-22 161096] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-02-13 4915200] "snp2std"=C:\Windows\vsnp2std.exe [2006-09-15 675840] "AsioReg"=REGSVR32 /S CTASIO.DLL [] "CTHelper"=C:\Windows\system32\CTHELPER.EXE [2007-04-09 19456] "CTxfiHlp"=C:\Windows\system32\CTXFIHLP.EXE [2007-04-09 19968] "NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2009-04-06 13752864] "RivaTunerStartupDaemon"=E:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe [2009-02-25 24576] "zoneLINK MultiCore Optimizer"=E:\Program Files\zoneLINK\MultiCore Optimizer\MultiCoreOptimizer.exe [2008-06-10 3685616] "BtTray"=E:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe [2009-07-07 258134] "itype"=C:\Program Files\Microsoft IntelliType Pro\itype.exe [2006-11-21 813912] "AVP"=E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920] "ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952] "WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="E:\PROGRA~1\KASPER~1\KASPER~1\r3hook.dll E:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\Windows\system32\klogon.dll [2008-02-08 219664] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=0 "ConsentPromptBehaviorUser"=0 "EnableLUA"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\System32\Notepad.exe %1 .js - open - C:\Windows\System32\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2009-07-25 21:11:50 ----D---- C:\rsit 2009-07-25 20:00:46 ----A---- C:\ComboFix.txt 2009-07-25 19:54:07 ----SHD---- C:\$RECYCLE.BIN 2009-07-25 19:52:01 ----D---- C:\Windows\temp 2009-07-25 18:18:05 ----D---- C:\Program Files\Microsoft IntelliType Pro 2009-07-25 17:15:52 ----A---- C:\Windows\zip.exe 2009-07-25 17:15:52 ----A---- C:\Windows\SWXCACLS.exe 2009-07-25 17:15:52 ----A---- C:\Windows\SWSC.exe 2009-07-25 17:15:52 ----A---- C:\Windows\SWREG.exe 2009-07-25 17:15:52 ----A---- C:\Windows\sed.exe 2009-07-25 17:15:52 ----A---- C:\Windows\PEV.exe 2009-07-25 17:15:52 ----A---- C:\Windows\NIRCMD.exe 2009-07-25 17:15:52 ----A---- C:\Windows\grep.exe 2009-07-25 17:15:28 ----D---- C:\Windows\ERDNT 2009-07-25 17:15:09 ----AD---- C:\Qoobox 2009-07-20 12:12:54 ----D---- C:\Program Files\TeamViewer 2009-07-09 08:28:18 ----D---- C:\Users\Saar Devil\AppData\Roaming\Malwarebytes 2009-07-09 08:28:10 ----D---- C:\ProgramData\Malwarebytes 2009-07-08 13:01:29 ----D---- C:\ProgramData\Spybot - Search & Destroy 2009-07-07 09:05:48 ----A---- C:\Windows\system32\SHORTCUT.INI 2009-07-07 09:05:28 ----A---- C:\Windows\system32\REMOTEDEVICE.INI 2009-07-07 08:59:51 ----A---- C:\Windows\system32\LOCALSERVICE.INI 2009-07-07 08:58:01 ----A---- C:\Windows\system32\LOCALDEVICE.INI 2009-07-07 08:55:36 ----A---- C:\Windows\system32\BSPRINT.INI 2009-07-02 21:37:25 ----D---- C:\ProgramData\Tages 2009-07-02 21:36:56 ----A---- C:\Windows\system32\d3dx10_41.dll 2009-07-02 21:36:56 ----A---- C:\Windows\system32\D3DCompiler_41.dll 2009-07-02 21:36:55 ----A---- C:\Windows\system32\XAudio2_4.dll 2009-07-02 21:36:55 ----A---- C:\Windows\system32\XAPOFX1_3.dll 2009-07-02 21:36:55 ----A---- C:\Windows\system32\xactengine3_4.dll 2009-07-02 21:36:55 ----A---- C:\Windows\system32\D3DX9_41.dll 2009-07-02 21:36:54 ----A---- C:\Windows\system32\X3DAudio1_6.dll 2009-07-02 21:36:54 ----A---- C:\Windows\system32\d3dx10_40.dll 2009-07-02 21:36:54 ----A---- C:\Windows\system32\D3DCompiler_40.dll 2009-07-02 21:36:53 ----A---- C:\Windows\system32\D3DX9_40.dll 2009-06-30 14:18:15 ----D---- C:\Program Files\Orban 2009-06-30 10:17:11 ----D---- C:\Users\Saar Devil\AppData\Roaming\Engelmann Media 2009-06-27 20:37:13 ----D---- C:\Program Files\Microsoft Windows 7 Upgrade Advisor ======List of files/folders modified in the last 1 months====== 2009-07-25 20:32:19 ----D---- C:\Windows 2009-07-25 20:10:21 ----D---- C:\Windows\System32 2009-07-25 20:10:21 ----D---- C:\Windows\inf 2009-07-25 20:10:21 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-07-25 20:05:26 ----AD---- C:\ProgramData\TEMP 2009-07-25 20:05:18 ----A---- C:\Windows\system32\bscs.ini 2009-07-25 20:00:49 ----D---- C:\Windows\system32\drivers 2009-07-25 20:00:49 ----D---- C:\Windows\system32\de-DE 2009-07-25 19:54:15 ----N---- C:\Windows\system.ini 2009-07-25 19:49:41 ----D---- C:\Windows\AppPatch 2009-07-25 19:49:39 ----D---- C:\Program Files\Common Files 2009-07-25 19:36:29 ----A---- C:\Windows\NeroDigital.ini 2009-07-25 18:18:39 ----D---- C:\Windows\system32\Tasks 2009-07-25 18:18:28 ----SHD---- C:\Windows\Installer 2009-07-25 18:18:28 ----D---- C:\Windows\system32\catroot 2009-07-25 18:18:05 ----RD---- C:\Program Files 2009-07-25 17:52:09 ----D---- C:\ProgramData\Kaspersky Lab 2009-07-25 17:07:07 ----D---- C:\Windows\Prefetch 2009-07-20 12:12:54 ----D---- C:\Program Files\TeamViewer3 2009-07-20 07:24:58 ----D---- C:\Program Files\Google 2009-07-20 07:23:25 ----D---- C:\ProgramData 2009-07-20 07:23:24 ----D---- C:\Windows\Tasks 2009-07-20 07:21:26 ----D---- C:\Program Files\TuneUp Utilities 2009 2009-07-20 07:16:42 ----A---- C:\Windows\Lexstat.ini 2009-07-20 07:09:53 ----D---- C:\Users\Saar Devil\AppData\Roaming\OpenOffice.org2 2009-07-09 08:22:43 ----HD---- C:\Program Files\InstallShield Installation Information 2009-07-09 08:22:16 ----D---- C:\Program Files\thriXXX 2009-07-08 21:09:27 ----D---- C:\ProgramData\Microsoft 2009-07-08 09:55:00 ----D---- C:\ProgramData\FLEXnet 2009-07-06 10:11:15 ----D---- C:\Users\Saar Devil\AppData\Roaming\Ubisoft 2009-07-06 09:55:18 ----RSD---- C:\Windows\assembly 2009-07-02 14:58:09 ----D---- C:\Program Files\Common Files\InstallShield 2009-07-02 10:07:45 ----SD---- C:\Windows\Downloaded Program Files 2009-07-02 10:04:29 ----D---- C:\Windows\winsxs 2009-06-30 14:19:12 ----D---- C:\Users\Saar Devil\AppData\Roaming\phonostar-Player 2009-06-28 10:00:07 ----D---- C:\Program Files\DEUTSCHLAND SPIELT ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys [2008-01-18 350720] R1 kl1;kl1; C:\Windows\system32\DRIVERS\kl1.sys [2007-10-31 110096] R1 KLIF;Kaspersky Lab Driver; C:\Windows\system32\DRIVERS\klif.sys [2008-12-07 147984] R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter; C:\Windows\system32\DRIVERS\klim6.sys [2007-10-16 20496] R1 vmm;Virtual Machine Monitor; \??\C:\Windows\system32\Drivers\vmm.sys [2008-02-12 232472] R2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys [2008-08-14 74720] R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [2009-07-02 281760] R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [2009-07-02 25888] R3 BT;Bluetooth PAN Network Adapter; C:\Windows\system32\DRIVERS\btnetdrv.sys [2007-03-05 18320] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-02-14 2061528] R3 KMWDFILTER;HIDUASDesc; C:\Windows\system32\DRIVERS\KMWDFILTER.sys [2008-10-09 17408] R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-04-07 9803968] R3 RivaTuner32;RivaTuner32; \??\E:\Program Files\RivaTuner v2.24\RivaTuner32.sys [2009-02-25 9088] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2008-01-25 106496] R3 SNP2STD;USB2.0 PC Camera (SNP2STD); C:\Windows\system32\DRIVERS\snp2sxp.sys [2006-11-08 12006784] R3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-18 73088] R3 VComm;Virtual Serial port driver; C:\Windows\system32\DRIVERS\VComm.sys [2007-03-05 34448] R3 VcommMgr;Bluetooth VComm Manager Service; C:\Windows\System32\Drivers\VcommMgr.sys [2007-03-05 44304] R3 VPCNetS2;Virtual Machine Network Services Driver; C:\Windows\system32\DRIVERS\VMNetSrv.sys [2008-02-05 59960] R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-18 83328] S3 afzci82y;afzci82y; C:\Windows\system32\drivers\afzci82y.sys [] S3 ALSysIO;ALSysIO; \??\C:\Users\SAARDE~1\AppData\Local\Temp\ALSysIO.sys [] S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\Windows\System32\Drivers\btcusb.sys [2007-06-24 38920] S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\Windows\system32\DRIVERS\BthEnum.sys [2008-12-07 19456] S3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-18 92160] S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2008-12-07 220160] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2008-12-07 29184] S3 catchme;catchme; \??\C:\Users\SAARDE~1\AppData\Local\Temp\catchme.sys [] S3 COMMONFX.DLL;COMMONFX.DLL; C:\Windows\system32\COMMONFX.DLL [2003-03-25 114688] S3 cpuz130;cpuz130; \??\C:\Users\SAARDE~1\AppData\Local\Temp\cpuz130\cpuz_x32.sys [] S3 CT20XUT.DLL;CT20XUT.DLL; C:\Windows\system32\CT20XUT.DLL [2007-04-12 164608] S3 ctac32k;Creative AC3 Software Decoder; C:\Windows\System32\drivers\ctac32k.sys [2003-03-25 134656] S3 ctaud2k;Creative Audio Driver (WDM); C:\Windows\system32\drivers\ctaud2k.sys [2003-04-11 502160] S3 CTAUDFX.DLL;CTAUDFX.DLL; C:\Windows\system32\CTAUDFX.DLL [2003-04-11 446464] S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\Windows\System32\drivers\ctdvda2k.sys [2007-04-10 347128] S3 CTEAPSFX.DLL;CTEAPSFX.DLL; C:\Windows\system32\CTEAPSFX.DLL [2007-04-12 168192] S3 CTEDSPFX.DLL;CTEDSPFX.DLL; C:\Windows\system32\CTEDSPFX.DLL [2007-04-12 280320] S3 CTEDSPIO.DLL;CTEDSPIO.DLL; C:\Windows\system32\CTEDSPIO.DLL [2007-04-12 128768] S3 CTEDSPSY.DLL;CTEDSPSY.DLL; C:\Windows\system32\CTEDSPSY.DLL [2007-04-12 323328] S3 CTERFXFX.DLL;CTERFXFX.DLL; C:\Windows\system32\CTERFXFX.DLL [2007-04-12 94976] S3 CTEXFIFX.DLL;CTEXFIFX.DLL; C:\Windows\system32\CTEXFIFX.DLL [2007-04-12 1317632] S3 CTHWIUT.DLL;CTHWIUT.DLL; C:\Windows\system32\CTHWIUT.DLL [2007-04-12 66816] S3 ctprxy2k;Creative Proxy Driver; C:\Windows\System32\drivers\ctprxy2k.sys [2003-03-25 6144] S3 CTSBLFX.DLL;CTSBLFX.DLL; C:\Windows\system32\CTSBLFX.DLL [2003-04-11 598016] S3 ctsfm2k;Creative SoundFont Management Device Driver; C:\Windows\System32\drivers\ctsfm2k.sys [2003-03-25 135696] S3 drhard;DRHARD; \??\C:\Windows\system32\DRIVERS\DRHARD.SYS [2005-12-01 23600] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-18 5632] S3 emupia;E-mu Plug-in Architecture Driver; C:\Windows\System32\drivers\emupia2k.sys [2003-03-25 144736] S3 ENTECH;ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.sys [2008-09-17 27672] S3 ET5Drv;ET5Drv; \??\C:\Windows\system32\Drivers\ET5Drv.sys [2007-10-11 30008] S3 gdrv;gdrv; \??\C:\Windows\gdrv.sys [2008-12-06 16608] S3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\Windows\System32\drivers\ha10kx2k.sys [2003-04-03 850880] S3 hap16v2k;Creative P16V HAL Driver; C:\Windows\System32\drivers\hap16v2k.sys [2003-04-01 142752] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-18 8192] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-18 5888] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-18 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-18 6016] S3 netr73;Hercules Wireless USB Dongle Driver for Vista; C:\Windows\system32\DRIVERS\netr73.sys [2007-01-31 256000] S3 ossrv;Creative OS Services Driver; C:\Windows\system32\drivers\ctoss2k.sys [2003-03-25 190176] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2008-01-18 49664] S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-18 35328] S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AVP;Kaspersky Security Suite CBE; E:\Program Files\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184] R2 BlueSoleilCS;BlueSoleilCS; E:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2009-07-07 1155180] R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2008-01-19 21504] R2 lxbk_device;lxbk_device; C:\Windows\system32\lxbkcoms.exe [2008-02-19 537256] R2 MySQL51;MySQL51; E:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt --defaults-file=E:\Program Files\MySQL\MySQL Server 5.0\my.ini MySQL51 [] R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-04-06 211488] R2 O&O Defrag;O&O Defrag; C:\Windows\system32\oodag.exe [2005-03-21 225280] R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2008-12-07 66872] R2 TeamViewer4;TeamViewer 4; C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe [2009-06-25 185640] R3 BsHelpCS;BsHelpCS; E:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe [2007-08-17 57447] S2 gupdate1c9c7f6b1d49f94;Google Update Service (gupdate1c9c7f6b1d49f94); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-04-28 133104] S2 MySQL;MySQL; E:\mysql\bin\mysqld-nt.exe MySQL [] S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2008-01-19 21504] S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe [2008-01-19 523776] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-04-19 655624] S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 183280] S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632] S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2007-05-16 271920] S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-19 21504] S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe [2008-01-19 917504] S4 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888] S4 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-19 21504] -----------------EOF----------------- So melde mich denn morgen mit dem log von malware |
25.07.2009, 20:31 | #18 |
| hilfe!trojan.win32.monder.cqbi Die info.txt fehlt noch.
__________________Start => Ausführen => c:\rsit\info.txt => OK ciao, andreas
__________________ |
25.07.2009, 21:26 | #19 |
| hilfe!trojan.win32.monder.cqbi info.txt logfile of random's system information tool 1.06 2009-07-25 21:12:26 ======Uninstall list====== -->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\Windows\UNNeroShowTime.exe /UNINSTALL -->C:\Windows\UNNeroVision.exe /UNINSTALL -->E:\Program Files\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL -->MsiExec /X{DD1865F0-AD73-40FB-B23E-1822E02396FF} 7 Wonders II-->"C:\Program Files\OXXOGames\GPlayer\\MyInstall.exe" ScriptUInst "C:\Program Files\OXXOGames\GPlayer\Install\\Game_7Wonders2Trial.log" 7-Zip 4.62-->"E:\Program Files\7-Zip\Uninstall.exe" Achterbahn-Simulator 2009 (entfernen)-->"e:\spiele\Achterbahn-Simulator 2009\uninstall.EXE" Adobe Anchor Service CS4-->MsiExec.exe /I{1618734A-3957-4ADD-8199-F973763109A8} Adobe Bridge CS4-->MsiExec.exe /I{83877DB1-8B77-45BC-AB43-2BAC22E093E0} Adobe CMaps CS4-->MsiExec.exe /I{94D398EB-D2FD-4FD1-B8C4-592635E8A191} Adobe Color - Photoshop Specific CS4-->MsiExec.exe /I{3D2C9DE6-9ADE-4252-A241-E43723B0CE02} Adobe Color EU Recommended Settings CS4-->MsiExec.exe /I{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1} Adobe Color JA Extra Settings CS4-->MsiExec.exe /I{0D6013AB-A0C7-41DC-973C-E93129C9A29F} Adobe Color NA Extra Settings CS4-->MsiExec.exe /I{098A2A49-7CF3-4F08-A38D-FB879117152A} Adobe Color Video Profiles CS CS4-->MsiExec.exe /I{63C24A08-70F3-4C8E-B9FB-9F21A903801D} Adobe CSI CS4-->MsiExec.exe /I{0F723FC1-7606-4867-866C-CE80AD292DAF} Adobe Default Language CS4-->MsiExec.exe /I{C52E3EC1-048C-45E1-8D53-10B0C6509683} Adobe Device Central CS4-->MsiExec.exe /I{67F0E67A-8E93-4C2C-B29D-47C48262738A} Adobe Drive CS4-->MsiExec.exe /I{16E16F01-2E2D-4248-A42F-76261C147B6C} Adobe ExtendScript Toolkit CS4-->MsiExec.exe /I{F8EF2B3F-C345-4F20-8FE4-791A20333CD5} Adobe Extension Manager CS4-->MsiExec.exe /I{054EFA56-2AC1-48F4-A883-0AB89874B972} Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Fonts All-->MsiExec.exe /I{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794} Adobe Linguistics CS4-->MsiExec.exe /I{931AB7EA-3656-4BB7-864D-022B09E3DD67} Adobe Output Module-->MsiExec.exe /I{BB4E33EC-8181-4685-96F7-8554293DEC6A} Adobe PDF Library Files CS4-->MsiExec.exe /I{F93C84A6-0DC6-42AF-89FA-776F7C377353} Adobe Photoshop CS4 Support-->MsiExec.exe /I{63E5CDBF-8214-4F03-84F8-CD3CE48639AD} Adobe Photoshop CS4-->C:\Program Files\Common Files\Adobe\Installers\faf656ef605427ee2f42989c3ad31b8\Setup.exe --uninstall=1 Adobe Photoshop CS4-->MsiExec.exe /I{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494} Adobe Photoshop CS4-->MsiExec.exe /I{E4848436-0345-47E2-B648-8B522FCDA623} Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Adobe Search for Help-->MsiExec.exe /I{F0E64E2E-3A60-40D8-A55D-92F6831875DA} Adobe Service Manager Extension-->MsiExec.exe /I{4943EFF5-229F-435D-BEA9-BE3CAEA783A7} Adobe Setup-->MsiExec.exe /I{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23} Adobe Type Support CS4-->MsiExec.exe /I{820D3F45-F6EE-4AAF-81EF-CE21FF21D230} Adobe Update Manager CS4-->MsiExec.exe /I{05308C4E-7285-4066-BAE3-6B50DA6ED755} Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF} Adobe XMP Panels CS4-->MsiExec.exe /I{3A4E8896-C2E7-4084-A4A4-B8FD1894E739} AdobeColorCommonSetCMYK-->MsiExec.exe /I{68243FF8-83CA-466B-B2B8-9F99DA5479C4} AdobeColorCommonSetRGB-->MsiExec.exe /I{16E6D2C1-7C90-4309-8EC4-D2212690AAA4} AIM-->C:\Program Files\AIM6\uninst.exe Ashampoo Burning Studio 6 FREE-->"E:\Program Files\Ashampoo\Ashampoo Burning Studio 6 FREE\unins000.exe" Bluesoleil 5.0.5.178-->MsiExec.exe /X{1E726A53-78E9-47DE-B3D9-4165CBC9ABBF} Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} Burnout(TM) Paradise The Ultimate Box-->MsiExec.exe /X{9A996B6A-846E-4A89-B9C4-17546B7BE49F} CCleaner (remove only)-->"E:\Program Files\CCleaner\uninst.exe" Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E} Connect-->MsiExec.exe /I{B29AD377-CC12-490A-A480-1452337C618D} Der Pate® II-->MsiExec.exe /X{A1416622-0DDE-45B5-B06C-DFC3ED94C53B} DEUTSCHLAND SPIELT GAME CENTER-->"C:\Program Files\OXXOGames\GPlayer\\MyInstall.exe" UInstAllGPAndDS Die verrückte Strandparty-->"C:\Program Files\OXXOGames\GPlayer\\MyInstall.exe" ScriptUInst "C:\Program Files\OXXOGames\GPlayer\Install\\Game_DieVerrueckteStrandpartyTrial.log" Dr. Hardware 2009 9.9.2d-->"E:\Program Files\Dr. Hardware 2009\unins000.exe" EA Download Manager-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{EF7E931D-DC84-471B-8DB6-A83358095474} /l1031 EasyTune5Pro-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Gigabyte\ET5Pro\Uninst.isu" -c"C:\Program Files\Gigabyte\ET5Pro\uninstdrv.dll" EVEREST Ultimate Edition v4.20-->"E:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe" Fraps-->"E:\Fraps\uninstall.exe" FreeCommander 2008.06c-->"E:\Program Files\FreeCommander\unins000.exe" Futuremark SystemInfo-->"C:\Program Files\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe" -runfromtemp -l0x0009 -removeonly Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466} Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Hercules WiFi Station-->C:\Program Files\InstallShield Installation Information\{DECE22F4-EEDD-4615-BC56-2F4827FAD64B}\setup.exe -runfromtemp -l0x0007 -removeonly HijackThis 2.0.2-->"E:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly In 80 Rätseln um die Welt-->"C:\Program Files\OXXOGames\GPlayer\\MyInstall.exe" ScriptUInst "C:\Program Files\OXXOGames\GPlayer\Install\\Game_WorldMosaicsCD.log" Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3} Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF} Kaspersky Security Suite CBE-->MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF} kuler-->MsiExec.exe /I{098727E1-775A-4450-B573-3F441F1CA243} Lexmark X1100 Series-->C:\Program Files\Lexmark X1100 Series\Install\x86\Uninst.exe Malwarebytes' Anti-Malware-->"E:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929} Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501} Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6} Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft Virtual PC 2007 SP1-->MsiExec.exe /X{AD483998-2E9A-4405-83FF-6E503AF49CBB} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4} Mozilla Firefox (3.0.12)-->E:\Program Files\Mozilla Firefox\uninstall\helper.exe Mp3tag v2.40-->E:\Program Files\Mp3tag\Mp3tagUninstall.EXE MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} My Video Downloader-->"C:\Windows\My Video Downloader\uninstall.exe" "/U:E:\Program Files\My Video Downloader\Uninstall\uninstall.xml" MySQL Server 5.0-->MsiExec.exe /I{EFAC5A3B-4AEC-4F06-9BF9-099CF298CC12} Need for Speed™ Undercover-->MsiExec.exe /X{E6D22FE1-AB5F-42CA-9480-6F70B96DDD88} Nero 7 Premium-->MsiExec.exe /X{A20A58C4-6784-4B4B-86CC-94E2E3671031} neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI NVIDIA PhysX-->MsiExec.exe /X{DD1865F0-AD73-40FB-B23E-1822E02396FF} O&O Defrag Professional Edition-->MsiExec.exe /I{53480370-6CA2-47EC-BC05-02B4B9271C31} Ocean Ball-->"C:\Program Files\DEUTSCHLAND SPIELT\Ocean Ball\unins000.exe" OpenAL-->"C:\Program Files\OpenAL\oalinst.exe" /U OpenOffice.org 2.3-->MsiExec.exe /I{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5} Orban/Coding Technologies AAC/aacPlus Player Plugin™ 1.0-->"C:\Program Files\Orban\AAC-aacPlus Plugin\unins000.exe" PDF Settings CS4-->MsiExec.exe /I{35D94F92-1D3A-43C5-8605-EA268B1A7BD9} phonostar-Player Version 2.01.4-->"e:\Program Files\phonostar\unins000.exe" Photoshop Camera Raw-->MsiExec.exe /I{CC75AB5C-2110-4A7F-AF52-708680D22FE8} Picasa 3-->"E:\Program Files\Picasa2\Uninstall.exe" Puzzle Quest Galactrix-->"C:\Windows\Puzzle Quest Galactrix\uninstall.exe" "/U:E:\spiele\Puzzle Quest Galactrix\Uninstall\uninstall.xml" QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68} Race Driver 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0297C87B-CC40-446F-865A-031B4FC0CF22}\setup.exe" -l0x7 -removeonly RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\SETUP.EXE -runfromtemp -l0x0007 -removeonly Realtek High Definition Audio Driver-->RtlUpd.exe -r -m RivaTuner v2.24-->"E:\Program Files\RivaTuner v2.24\uninstall.exe" Rockstar Games Social Club-->"C:\Program Files\InstallShield Installation Information\{08B3869E-D282-424C-9AFC-870E04A4BA14}\setup.exe" -runfromtemp -l0x0007 -removeonly Runes of Magic-->"E:\spiele\Runes of Magic\unins000.exe" Safari-->MsiExec.exe /I{C5C649A8-1D21-4C83-9B08-7B3752E580F4} Schatzinsel-->"C:\Program Files\DEUTSCHLAND SPIELT\Schatzinsel\unins000.exe" SimpleScreenshot 1.30-->C:\Windows\SSSUn.EXE /UnInst:"C:\Windows\SimpleScreenshot_Uninstall.in" SIW version 2009-03-17-->"E:\Program Files\SIW\unins000.exe" SnagIt 9-->MsiExec.exe /I{ADDD6985-3A28-44D0-A1BA-FDD19A820491} Spirit of Wandering-->"C:\Program Files\OXXOGames\GPlayer\\MyInstall.exe" ScriptUInst "C:\Program Files\OXXOGames\GPlayer\Install\\Game_SpiritOfWanderingTrial.log" Suite Shared Configuration CS4-->MsiExec.exe /I{842B4B72-9E8F-4962-B3C1-1C422A5C4434} System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe SYSTEM_INFO B07.1219.01-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CC4914EF-6618-4949-A1CF-BD4917A00221}\Setup.exe" -l0x9 -removeonly TeamSpeak 2 RC2-->"E:\Program Files\Teamspeak2_RC2\unins000.exe" TeamViewer 4-->C:\Program Files\TeamViewer\Version4\uninstall.exe Techno4ever Player-->E:\Program Files\T4E\Player\T4E_Uninstaller.exe teXXas-->"E:\Program Files\teXXas\Uninstall.exe" "E:\Program Files\teXXas\install.log" Trust Webcam 14830-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{75438C0E-9925-412E-AD85-D0E71C6CE2ED}\Setup.exe" -l0x7 -u Ultimate Extras sounds from Microsoft® Tinker™-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound2.inf,Uninstall VideoLAN VLC media player 0.8.6d-->E:\Program Files\VideoLAN\VLC\uninstall.exe Viewpoint Media Player-->C:\Program Files\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u Windows 7 Upgrade Advisor Beta-->MsiExec.exe /I{4394DC3A-5DAC-4C80-A86E-FF462D0AD653} Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4} Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6} Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52} Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19} Windows Live Fotogalerie-->MsiExec.exe /X{119B7481-0216-40D2-A5CC-C3E1F461ECC1} Windows Live Mail-->MsiExec.exe /I{5A166C0B-9557-4364-A057-F946D674E6AC} Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4} Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4} Windows Live Writer-->MsiExec.exe /X{81821BF8-DA20-4F8C-AA87-F70A274828D4} Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238} Windows-Soundschemas-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall WinRAR-->E:\Program Files\WinRAR\uninstall.exe XMedia Recode 2.1.1.1-->E:\Program Files\XMedia Recode\uninst.exe Yahoo! Install Manager-->C:\Windows\system32\regsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL Yahoo! Messenger-->E:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U E:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG zoneLINK MultiCore Optimizer 1.00-->"E:\Program Files\zoneLINK\MultiCore Optimizer\unins000.exe" Zuma Deluxe-->"C:\Program Files\DEUTSCHLAND SPIELT\Zuma Deluxe\unins000.exe" =====HijackThis Backups===== O4 - HKCU\..\Policies\Explorer\Run: [rsaci] C:\Windows\System32\rsaci.exe [2009-07-08] O4 - HKLM\..\Policies\Explorer\Run: [rsaci] C:\Windows\System32\rsaci.exe [2009-07-08] ======Security center information====== AV: Kaspersky Security Suite CBE (disabled) FW: Kaspersky Security Suite CBE (disabled) AS: Windows-Defender AS: Kaspersky Security Suite CBE (disabled) ======System event log====== Computer Name: Devils Event Code: 7036 Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt". Record Number: 77011 Source Name: Service Control Manager Time Written: 20090725180746.000000-000 Event Type: Informationen User: Computer Name: Devils Event Code: 7036 Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt". Record Number: 77012 Source Name: Service Control Manager Time Written: 20090725180747.000000-000 Event Type: Informationen User: Computer Name: Devils Event Code: 7036 Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet". Record Number: 77013 Source Name: Service Control Manager Time Written: 20090725180748.000000-000 Event Type: Informationen User: Computer Name: Devils Event Code: 537 Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden. Record Number: 77014 Source Name: Microsoft-Windows-TBS Time Written: 20090725180745.904055-000 Event Type: Informationen User: NT-AUTORITÄT\LOKALER DIENST Computer Name: Devils Event Code: 7036 Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet". Record Number: 77015 Source Name: Service Control Manager Time Written: 20090725182215.000000-000 Event Type: Informationen User: =====Application event log===== Computer Name: Devils Event Code: 1 Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet. Record Number: 8391 Source Name: Microsoft-Windows-CertificateServicesClient Time Written: 20090725180614.333744-000 Event Type: Informationen User: Devils\Saar Devil Computer Name: Devils Event Code: 1 Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet. Record Number: 8392 Source Name: Microsoft-Windows-CertificateServicesClient Time Written: 20090725180621.158503-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: Devils Event Code: 1 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 8393 Source Name: SecurityCenter Time Written: 20090725180746.000000-000 Event Type: Informationen User: Computer Name: Devils Event Code: 1001 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help". Record Number: 8394 Source Name: Microsoft-Windows-LoadPerf Time Written: 20090725181021.000000-000 Event Type: Informationen User: Computer Name: Devils Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind. Record Number: 8395 Source Name: Microsoft-Windows-LoadPerf Time Written: 20090725181021.000000-000 Event Type: Informationen User: =====Security event log===== Computer Name: Devils Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 15994 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090725191221.606190-000 Event Type: Überwachung gescheitert User: Computer Name: Devils Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 15995 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090725191221.649156-000 Event Type: Überwachung gescheitert User: Computer Name: Devils Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 15996 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090725191221.697981-000 Event Type: Überwachung gescheitert User: Computer Name: Devils Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 15997 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090725191221.740947-000 Event Type: Überwachung gescheitert User: Computer Name: Devils Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys Record Number: 15998 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090725191221.786842-000 Event Type: Überwachung gescheitert User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\QuickTime\QTSystem "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel "PROCESSOR_REVISION"=0f06 "NUMBER_OF_PROCESSORS"=2 "RGSCLauncher"=E:\spiele\Rockstar Games\Rockstar Games Social Club "RGSC"=E:\spiele\Rockstar Games\Rockstar Games Social Club\1_0_0_0 "CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- und den malware hinterher: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2397 Windows 6.0.6001 Service Pack 1 25.07.2009 22:15:05 mbam-log-2009-07-25 (22-15-05).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 271575 Laufzeit: 42 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
25.07.2009, 21:34 | #20 | |
| hilfe!trojan.win32.monder.cqbiZitat:
Hat Kaspersky zugeschlagen? Hat er Funde vermeldet? Wie lange war dieser Eintrag drin? Lies dir das hier erstmal durch => http://www.trojaner-board.de/75618-2...unbekannt.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.07.2009, 22:03 | #21 |
| hilfe!trojan.win32.monder.cqbi der kasper hat immerwieder angeschlagen mit der trojan.win32.monder.cqbi und gelöscht. da ich es nicht weg bekam schrieb ich hierrein. Benutze seitdem nur mein Win7 rc aber von ner anderen platte die sauber ist. Habe Vista heute angeklemmt zwecks behebung. sieht es so schlimm aus mit meinem Vista Sys? Wenn was meinst du ich bekomm es sys gereinigt oder lieber platt machen??? wenn platt machen wie sieht es aus mit daten sichern (speicherstände und eigene dateien ....) kann ich die ohne probs sichern oder wäre wäre es besser in den sauren apfel zu beisen und weg ohne sichern |
25.07.2009, 22:09 | #22 |
| hilfe!trojan.win32.monder.cqbi Du hattest zwei Probleme. Das eine war der Rootkit, davon hat dich ComboFix befreit, den hat Kaspersky auch immer gemeldet und konnte ihn nicht löschen. Normalerweise lädt der sehr viel nach, aber danach sieht es bei dir nicht aus. Das zweite viel schlimmere Problem ist das RAT. Denn es muss aktiv gewesen sein, du hast den Eintrag zweimal gefixt. Die Datei war nicht mehr da, also hat Kaspersky sie wohl irgendwann gelöscht. Die Frage ist jetzt, was ist in der Zwischenzeit passiert. Hat der Botmaster Zugriff auf deinen Rechner gehabt oder nicht? Und wenn ja, was hat er gemacht? Das Festzustellen ist sehr zeitintensiv. Empfehlen würde ich dir auf jeden Fall die Neuinstallation. Du kannst jetzt in aller Ruhe alles Sichern, denn beide Schädlinge sind nicht mehr da. Wir können auch bereinigen, aber das wird wirklich eine sehr lange Prozedur und lohnt den Aufwand eigentlich nicht. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.07.2009, 22:14 | #23 |
| hilfe!trojan.win32.monder.cqbi also ich werde wohl es sys neu aufsetzen Wenn ich die daten sichere, ist es wohl besser wenn ich die netzverbindung kappe das der zugriff aufn rechner nichtmehr stattfinden kann in der zeit. Sollte ich vorsichtshalber alle pw´s ändern von allen email accounts und so oder? |
25.07.2009, 22:20 | #24 | |||
| hilfe!trojan.win32.monder.cqbiZitat:
Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.07.2009, 22:23 | #25 |
| hilfe!trojan.win32.monder.cqbi ok dann sag ich mal Merci für die Hilfe hier und das thema kann denn geschlossen werden. Ändere dann sämtliche Passwörter gleich von Win7 und setze es sys morgen neu auf. |
25.07.2009, 22:25 | #26 |
| hilfe!trojan.win32.monder.cqbi Halte dich an diese Anleitung => http://www.trojaner-board.de/51262-a...sicherung.html Beachte vor allem den Abschnitt "Für die Zukunft" damit dir das nicht nochmal passiert. => http://www.trojaner-board.de/75622-d...ittierung.html Du bist entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu hilfe!trojan.win32.monder.cqbi |
audiogerät, auf einmal, c:\windows, c:\windows\temp, datei, dateiname, dateinamen, heute, hilfe!, kein ton, lösch, löscht, meldung, nicht sicher, pcneustart, schonmal, script, temp, troja, trojaner, windows, windows\temp, zusammenhang |