Hallo , seid gestern abend habe ich mehrere VIren auf meinem PC die wahllos Programme abstürzen lassen und meine Browser verändert haben.. Google ich zum Beispiel nach Wikipedia , und drücke auf den Eintrag , öffnet sich ein neues Fenster und schickt mich auf eine seite die nichts damit zu tun hat.
Außerdem funktionieren mehrere Programme nicht mehr (vorallem Antiviren Programme) , ich habe Antivir durchlaufen lassen und habe per Logfile auswertung von HijackThis mehrere Viren erkennen und löschen können , dennoch sind nicht alle Probleme behoben , ich bin für jede Tipps und Hilfe dankbar , hier mein Logfile nach den Virenprogrammdurchläufen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:52, on 16.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\websrvx\websrvx.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://admin/proxy.pac
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {d76ab2a1-00f3-42bd-f434-00bbc39c8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ,C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awtuvUNH - C:\WINDOWS\
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\fujpunetbf.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 9090 bytes

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\websrvx\websrvx.exe
C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

websrvx.exe: http://www.prevx.com/filenames/X439997076255466111-X1/WEBSRVX.EXE.html

Wenn beide Files erkannt wurden:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuvUNH

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 
 
Files to delete:
C:\Programme\websrvx\websrvx.exe
C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll

Folders to delete:
C:\DOKUME~1\Jannis\LOKALE~1\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {d76ab2a1-00f3-42bd-f434-00bbc39c8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O20 - AppInit_DLLs: ,C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.d ll
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\WINDOWS\system32\gsf83iujid.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service aawserviceAlerter (aawserviceAlerter) - Unknown owner - C:\WINDOWS\TEMP\fujpunetbf.exe (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: websrvx - Unknown owner - C:\Programme\websrvx\websrvx.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
         

Danach noch bitte MAM und Gmer:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris

Der Folgende Teil ist iwie viel zu lang ich teile ihn deswegen , hoffe es ist nicht schlimm


GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-17 11:07:06
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code 8A2C32A6 ZwEnumerateKey
Code 8A2C25F6 ZwFlushInstructionCache
Code 8A2C34E5 IofCallDriver
Code 8A2736ED IofCompleteRequest
Code 8A2C0AFD ZwSaveKey
Code 8A2BCF0D ZwSaveKeyEx

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 5a52f23e.sys
Device \FileSystem\Ntfs \Ntfs 8A5A11F8
Device \Driver\Tcpip \Device\Ip 5a52f23e.sys
Device \Driver\Tcpip \Device\Tcp 5a52f23e.sys
Device \Driver\Tcpip \Device\Udp 5a52f23e.sys
Device \Driver\Tcpip \Device\RawIp 5a52f23e.sys

---- EOF - GMER 1.0.15 ----


Und hier der Scan von Gmer;

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-17 11:15:52
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

INT 0x62 ? 8A5A2BF8
INT 0x64 ? 8A0E4F00
INT 0x74 ? 8A0E4F00
INT 0x82 ? 8A5A2BF8
INT 0x84 ? 8A0E4F00
INT 0xB4 ? 8A5A2BF8
INT 0xB4 ? 8A5A2BF8
INT 0xB4 ? 8A0E4F00
INT 0xB4 ? 8A0E4F00
INT 0xB4 ? 8A5A2BF8

Code 8A2C32A6 ZwEnumerateKey
Code 8A2C25F6 ZwFlushInstructionCache
Code 8A2C34E5 IofCallDriver
Code 8A2736ED IofCompleteRequest
Code 8A2C0AFD ZwSaveKey
Code 8A2BCF0D ZwSaveKeyEx

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A0 5 Bytes JMP 8A2C34EA
.text ntkrnlpa.exe!IofCompleteRequest 804EF230 5 Bytes JMP 8A2736F2
.text ntkrnlpa.exe!ZwSaveKey 80500D38 5 Bytes JMP 8A2C0B02
.text ntkrnlpa.exe!ZwSaveKeyEx 80500D4C 5 Bytes JMP 8A2BCF12
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B5642 5 Bytes JMP 8A2C25FA
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622DBE 5 Bytes JMP 8A2C32AA
? spai.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B944D62C 5 Bytes JMP 8A0E44E0
? C:\WINDOWS\System32\drivers\5a52f23e.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[340] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00E3000A
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 13509A58
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 135082BC
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 13508164
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 13509858
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetQueryDataAvailable 441FADF5 5 Bytes JMP 13509648
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetOpenA 441FC865 5 Bytes JMP 13508114
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 13508C5C
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!HttpSendRequestW 44210825 5 Bytes JMP 13509058
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetReadFileExW 44212AAA 5 Bytes JMP 13509A08
.text C:\WINDOWS\Explorer.EXE[340] WININET.dll!InternetReadFileExA 44212AE2 5 Bytes JMP 135099B8
.text C:\WINDOWS\Explorer.EXE[340] SHELL32.dll!SHFileOperationW 7E71FDEE 5 Bytes JMP 01261102 C:\Programme\Unlocker\UnlockerHook.dll
.text C:\WINDOWS\system32\spoolsv.exe[408] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00DA000A
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[496] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018A000A
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[496] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018B000A
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[504] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01A1000A
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[504] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A2000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[540] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018C000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe[540] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018D000A
.text C:\WINDOWS\system32\winlogon.exe[844] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00A0000A
.text C:\WINDOWS\system32\winlogon.exe[844] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00A1000A
.text C:\WINDOWS\system32\services.exe[892] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B3000A
.text C:\WINDOWS\system32\lsass.exe[904] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B3000A
.text C:\WINDOWS\ehome\ehtray.exe[976] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0175000A
.text C:\WINDOWS\ehome\ehtray.exe[976] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0176000A
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[984] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018F000A
.text C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[984] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0190000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1076] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F3000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1076] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F4000A
.text C:\Programme\Unlocker\UnlockerAssistant.exe[1160] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018D000A
.text C:\Programme\Unlocker\UnlockerAssistant.exe[1160] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018E000A
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1312] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018D000A
.text C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe[1312] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018E000A
.text C:\WINDOWS\RTHDCPL.EXE[1332] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes JMP 0293000A
.text C:\WINDOWS\RTHDCPL.EXE[1332] ntdll.dll!LdrLoadDll + 4 7C9261CE 1 Byte [86]
.text C:\WINDOWS\RTHDCPL.EXE[1332] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0294000A
.text C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe[1376] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0199000A
.text C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe[1376] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 019A000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1412] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01A8000A
.text C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe[1412] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A9000A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[1584] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C1000A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[1584] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C2000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1600] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00F3000A
.text C:\WINDOWS\system32\Ati2evxx.exe[1600] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00F4000A
.text C:\Programme\Skype\Phone\Skype.exe[1620] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 02DE000A
.text C:\WINDOWS\system32\ctfmon.exe[1720] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 017B000A
.text C:\WINDOWS\system32\ctfmon.exe[1720] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 017C000A
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[1752] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01A8000A
.text C:\Programme\Spybot - Search & Destroy\TeaTimer.exe[1752] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A9000A
.text C:\Programme\DAEMON Tools Lite\daemon.exe[1784] ntdll.dll!LdrLoadDll 7C9261CA 3 Bytes JMP 0193000A
.text C:\Programme\DAEMON Tools Lite\daemon.exe[1784] ntdll.dll!LdrLoadDll + 4 7C9261CE 1 Byte [85]
.text C:\Programme\DAEMON Tools Lite\daemon.exe[1784] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0194000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1904] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 014A000A
.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1904] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1920] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 011D000A
.text C:\Programme\Lavasoft\Ad-Aware\aawservice.exe[1920] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 011E000A
.text C:\programme\steam\steam.exe[1932] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01A1000A
.text C:\Programme\ICQ6.5\ICQ.exe[2036] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01AA000A
.text C:\Dokumente und Einstellungen\Jannis\Desktop\0qpliu8s.exe[2112] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0196000A
.text C:\Dokumente und Einstellungen\Jannis\Desktop\0qpliu8s.exe[2112] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0197000A
.text C:\WINDOWS\system32\NOTEPAD.EXE[2204] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 017B000A
.text C:\WINDOWS\system32\NOTEPAD.EXE[2204] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 017C000A
.text C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe[2400] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00C5000A
.text C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe[2400] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C6000A
.text C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe[2628] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 0141000A
.text C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe[2628] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0142000A
.text C:\WINDOWS\system32\PnkBstrA.exe[2644] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00C5000A
.text C:\Programme\Windows Media Player\wmplayer.exe[2804] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 0174000A
.text C:\WINDOWS\system32\svchost.exe[2860] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 006B000A
.text C:\WINDOWS\ehome\mcrdsvc.exe[3004] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00AC000A
.text C:\Programme\Skype\Plugin Manager\skypePM.exe[3476] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01AD000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 01E1000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 01E4000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!connect 71A1406A 5 Bytes JMP 016F1C20
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!send 71A1428A 5 Bytes JMP 016F1C00
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!gethostbyname 71A14FD4 5 Bytes JMP 1350A9AC
.text C:\Programme\Mozilla Firefox\firefox.exe[3884] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 016F1DE0
.text C:\Dokumente und Einstellungen\Jannis\Desktop\mbam-setup.exe[4040] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 018B000A
.text C:\Dokumente und Einstellungen\Jannis\Desktop\mbam-setup.exe[4040] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 018C000A
.text C:\WINDOWS\System32\alg.exe[4092] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 00B5000A
.text C:\WINDOWS\System32\alg.exe[4092] ntdll.dll!LdrUnloadDll 7C92718B 5 Bytes JMP 00B6000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spai.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spai.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spai.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spai.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spai.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 5a52f23e.sys
Device \FileSystem\Ntfs \Ntfs 8A5A11F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{2A94106D-4DFB-4664-BFC9-B43570C64661} 8A1B24D8
Device \Driver\usbstor \Device\0000008e 8A0BB500
Device \Driver\usbstor \Device\0000008e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Tcpip \Device\Ip 5a52f23e.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A2472F8
Device \Driver\usbuhci \Device\USBPDO-1 8A2472F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A6121F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A6121F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A6121F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A6121F8
Device \Driver\usbuhci \Device\USBPDO-2 8A2472F8
Device \Driver\usbuhci \Device\USBPDO-3 8A2472F8
Device \Driver\usbehci \Device\USBPDO-4 8A161500
Device \Driver\Tcpip \Device\Tcp 5a52f23e.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5A31F8
Device \Driver\PCI_PNP7498 \Device\00000059 spai.sys
Device \Driver\Cdrom \Device\CdRom0 8A0881F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A1B24D8
Device \Driver\usbstor \Device\00000091 8A0BB500
Device \Driver\usbstor \Device\00000091 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetbiosSmb 8A1B24D8
Device \Driver\usbstor \Device\00000092 8A0BB500
Device \Driver\usbstor \Device\00000092 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000093 8A0BB500
Device \Driver\usbstor \Device\00000093 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000094 8A0BB500
Device \Driver\usbstor \Device\00000094 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbstor \Device\00000095 8A0BB500
Device \Driver\usbstor \Device\00000095 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Tcpip \Device\Udp 5a52f23e.sys
Device \Driver\Tcpip \Device\RawIp 5a52f23e.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{A6B44794-9904-4E34-8AF5-F59A15246235} 8A1B24D8
Device \Driver\usbuhci \Device\USBFDO-0 8A2472F8
Device \Driver\usbuhci \Device\USBFDO-1 8A2472F8
Device \Driver\usbuhci \Device\USBFDO-2 8A2472F8
Device \Driver\Tcpip \Device\IPMULTICAST 5a52f23e.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A29B500
Device \Driver\usbuhci \Device\USBFDO-3 8A2472F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A29B500
Device \Driver\Ftdisk \Device\FtControl 8A5A31F8
Device \Driver\usbehci \Device\USBFDO-4 8A161500
Device \Driver\sptd \Device\1582588748 spai.sys
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target3Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target3Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target1Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target1Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target2Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target2Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target0Lun0 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\afpwd287 \Device\Scsi\afpwd2871 8A2751F8
Device \Driver\afpwd287 \Device\Scsi\afpwd2871 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 8A0C1500
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [340] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [408] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE [496] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Logitech\SetPoint\SetPoint.exe [504] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [540] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [844] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [892] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [904] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\ehome\ehtray.exe [976] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [984] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\Ati2evxx.exe [1076] 0x10000000
Library \\?\globalroot\systemroot\system32\UACcjrudnyquuhrtysom.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1104] 0x03270000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1104] 0x00EA0000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Unlocker\UnlockerAssistant.exe [1160] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1224] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [1312] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\RTHDCPL.EXE [1332] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe [1376] 0x00A20000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [1412] 0x00A00000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1444] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1540] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\wbem\wmiapsrv.exe [1584] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\Ati2evxx.exe [1600] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Skype\Phone\Skype.exe [1620] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [1720] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [1752] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\DAEMON Tools Lite\daemon.exe [1784] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1820] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [1904] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Lavasoft\Ad-Aware\aawservice.exe [1920] 0x00E40000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\programme\steam\steam.exe [1932] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\ICQ6.5\ICQ.exe [2036] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\Jannis\Desktop\0qpliu8s.exe [2112] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\NOTEPAD.EXE [2204] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe [2400] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe [2628] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\PnkBstrA.exe [2644] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Windows Media Player\wmplayer.exe [2804] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2860] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\ehome\mcrdsvc.exe [3004] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Skype\Plugin Manager\skypePM.exe [3476] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3884] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\Jannis\Desktop\mbam-setup.exe [4040] 0x10000000
Library \\?\globalroot\systemroot\system32\hjgruiaboymtql.dll (*** hidden *** ) @ C:\WINDOWS\System32\alg.exe [4092] 0x10000000

---- EOF - GMER 1.0.15 ----

Hi,

!ACHTUNG!
Du hast einen aktiven Rootkit auf dem Rechner, Internet stark einschränken,
ich muss das Gmer-Log noch durchsehen...

Gmer hat das Teil nicht als Rootkit klassifiziert, Avenger schon...
Daher basteln wir uns aus beiden Teilen was zusammen...

Ich hoffe wir bekommen Ihn ohne Probleme runter, das Rootkit hängt sich lt. Gmer in alle
laufenden Prozesse und verhindert so den Start von für sich "unangenehmen" Anwendungen (z.B. MAM)...

Ich hoffe es geht gut, sonst bleibt nur Neuaufsetzen...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
a6nbgx3m

Files to delete:
C:\windows\system32\hjgruiaboymtql.dll
C:\windows\system32\UACcjrudnyquuhrtysom.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach bitte sofort MAM installieren (eventuell auf test.com umbennenen) und ein neues HJ-Log...
Alle Logs posten, auch falls Avira das schreien anfängt...

chris

Hi,

prüfe auch noch das hier (virustotal.com) (Dank handball10):
C:\WINDOWS\system32\drivers\smss.exe

(Wobei das Konstrukt schon auf was unerfreuliches hindeutet... ;o)...

Daher im Avengerscript noch folgende Zeilen aufnehmen:

Unter Files to delete

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\smss.exe
         

Falls Du MAM ans rennen bringt, sollte aber auch das genügen... (wobei das Teil auch den Start von Sicherheitsprodukten verhindert)...

chris

Also Habe die erste Datei Hochladen , können , die zweite hat wohl Adaware (was gestern plötzlich wieder funktionierte ) noch gelöscht

Datei a258080b001c13c7324000c36e665000ad8694fe.EXE empfangen 2009.07.17 01:09:28 (UTC)
Status: Beendet
Ergebnis: 16/40 (40.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.17 Trojan.Win32.Koobface!IK
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.220 2009.07.17 BDS/Backdoor.Gen
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.17 -
Avast 4.8.1335.0 2009.07.16 -
AVG 8.5.0.387 2009.07.16 -
BitDefender 7.2 2009.07.17 Generic.Malware.Fdld.44895330
CAT-QuickHeal 10.00 2009.07.16 Win32.Backdoor.Phdet.gen!A.3
ClamAV 0.94.1 2009.07.17 -
Comodo 1670 2009.07.17 -
DrWeb 5.0.0.12182 2009.07.17 -
eSafe 7.0.17.0 2009.07.16 Suspicious File
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.17 -
F-Secure 8.0.14470.0 2009.07.16 Net-Worm:W32/Koobface.gen!F
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.17 -
Ikarus T3.1.1.64.0 2009.07.17 Trojan.Win32.Koobface
Jiangmin 11.0.800 2009.07.16 -
K7AntiVirus 7.10.794 2009.07.16 -
McAfee 5678 2009.07.16 W32/Koobface.worm
McAfee+Artemis 5678 2009.07.16 W32/Koobface.worm
McAfee-GW-Edition 6.8.5 2009.07.17 Heuristic.LooksLike.Win32.Agent2.B
Microsoft 1.4803 2009.07.17 Trojan:Win32/Koobface.gen!B
NOD32 4251 2009.07.16 probably a variant of Win32/TrojanProxy.Small.NCJ
Norman 2009.07.16 -
nProtect 2009.1.8.0 2009.07.16 -
Panda 10.0.0.14 2009.07.16 Suspicious file
PCTools 4.4.2.0 2009.07.16 -
Prevx 3.0 2009.07.17 -
Rising 21.38.34.00 2009.07.16 -
Sophos 4.43.0 2009.07.17 Mal/TinyDL-T
Sunbelt 3.2.1858.2 2009.07.16 -
Symantec 1.4.4.12 2009.07.17 Suspicious.MH690.A
TheHacker 6.3.4.3.369 2009.07.16 -
TrendMicro 8.950.0.1094 2009.07.16 PAK_Generic.001
VBA32 3.12.10.8 2009.07.16 -
ViRobot 2009.7.16.1839 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.16 -
weitere Informationen
File size: 12800 bytes
MD5 : d74beda6e598d849b747d8ad0537f707
SHA1 : def40a47438b6da3c3549d9033eff12d720119a7
SHA256: ee942c9b1df4929e42847b3d0300828e3edc5d3966ae1c59354dc5dd6b2484c1
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8800
timedatestamp.....: 0x4A5EFDA9 (Thu Jul 16 12:15:05 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x3000 0x2A00 7.84 e9170b538aba7c5c6b888b501164f598
UPX2 0x9000 0x1000 0x400 2.89 d74405875e88fe17429844b9ff4143fc

( 9 imports )

> advapi32.dll: SetServiceStatus
> iphlpapi.dll: IcmpSendEcho
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> msvcp60.dll: _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB
> msvcrt.dll: exit
> ole32.dll: CoInitialize
> oleaut32.dll: -
> user32.dll: PeekMessageA
> ws2_32.dll: -

( 0 exports )
TrID : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ssdeep: 192:vPXPzOdr49i293QxngkU6Tc6Hzz1h7UqFyfMM+ilvMjNp05inRuB:vPXKdrwL9mgTEDzTLQD+dRq5iA
PEiD : -
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
packers (F-Prot): UPX
RDS : NSRL Reference Data Set

Hier kommt der Avenger Logfile
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "a6nbgx3m" found!
Start Type: 3 (Manual)

Rootkit scan completed.

File "C:\Programme\websrvx\websrvx.exe" deleted successfully.

Error: file "C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll" not found!
Deletion of file "C:\DOKUME~1\Jannis\LOKALE~1\Temp\38556711638mmx.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\DOKUME~1\Jannis\LOKALE~1\Tem" not found!
Deletion of folder "C:\DOKUME~1\Jannis\LOKALE~1\Tem" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtuvUNH" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


Das Anti Malware programm ließ sich nicht installieren , wenn ich auf den setup drücke passiert nichts :/ ?

HKU\.DEFAULT 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-19 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-19_classes 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-20 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-20_classes 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-21-839522115-884357618-682003330-1003 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\s-1-5-21-839522115-884357618-682003330-1003_classes 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKU\S-1-5-18 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\HARDWARE 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SAM 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SECURITY 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SOFTWARE 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
HKLM\SYSTEM 1.1.1601 02:00 0 bytes Error dumping hive: Das System kann die angegebene Datei nicht finden.
C: 1.1.1601 02:00 0 bytes Error mounting volume

Malwarebytes ist zwar installiert trotz mehrfacher umbenennung krieg ich es nicht zum laufen , combofix ebenso , trotz umbennenung springt es nicht an

Hi,

bin wieder kurz da...
Denke dass wir ohne CD so nicht weiterkommen...
Hast Du combofix bereits im Downloaddialog umbennant, nach z.B. test.com...?

Probieren wir mal noch Avira-Antirootkit:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

Ps.: Schauen wir mal, was RSIT meint:

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

So, das Teil scheint jetzt öfter aufzutauchen und ist nur sehr schwer mit Boardmitteln zu fassen (d.h. bis jetzt nur "zufällig")...
Da hat sich einer sehr viel Gedanken gemacht...

hab combofix mehrmals umbenannt , werds weiter versuchen...
Bei avira anti rootkit öffnet sich ein fenster das meint die anwendungskonfigurationen seien falsch ich solle es neu installieren
hier der log txt von RSIT
Logfile of random's system information tool 1.06 (written by random/random)
Run by Jannis at 2009-07-17 22:51:11
Microsoft Windows XP Professional Service Pack 2
System drive C: has 93 GB (31%) free of 305 GB
Total RAM: 2046 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:51:15, on 17.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Dokumente und Einstellungen\Jannis\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Jannis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://admin/proxy.pac
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\smss.exe
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

und hier der info txt.

info.txt logfile of random's system information tool 1.06 2009-07-17 22:51:17

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->MsiExec.exe /X{7B4AB13C-1A5C-4BC5-ABA6-762F8198444C}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1.0.2-->"C:\programme\unins000.exe"
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 6.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-000000000001}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Advertisement Service-->C:\WINDOWS\system32\net.net Uninstall
AGEIA PhysX v6.10.05-->MsiExec.exe /X{582876EC-A178-44D4-9823-C10D6C62EAFF}
AGEIA PhysX v7.11.13-->MsiExec.exe /X{95FC26FB-19FD-4A96-BBB1-B1062E8648F5}
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Audacity 1.2.6-->"C:\Programme\Audacity\unins001.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Barbarian Invasion-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FD69C8CB-6964-432C-98AB-A5A09ED50EEA}\setup.exe" -l0x9
Battlefield 2(TM)-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}\setup.exe" -l0x7 -removeonly
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{8CC990CD-87C8-475C-AC32-8A7984E2FCFA}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{14574B7F-75D1-4718-B7F2-EBF6E2862A35}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{199E6632-EB28-4F73-AECB-3E192EB92D18}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{25724802-CC14-4B90-9F3B-3D6955EE27B1}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{50193078-F553-4EBA-AA77-64C9FAA12F98}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{51D718D1-DA81-4FAD-919F-5C1CE3C33379}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{66F78C51-D108-4F0C-A93C-1CBE74CE338F}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{80D03817-7943-4839-8E96-B9F924C5E67D}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{97E5205F-EA4F-438F-B211-F1846419F1C1}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{99A7722D-9ACB-43F3-A222-ABC7133F159E}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{BA801B94-C28D-46EE-B806-E1E021A3D519}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{D4D244D1-05E0-4D24-86A2-B2433C435671}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{EAF636A9-F664-4703-A659-85A894DA264F}
Company of Heroes - Opposing Fronts-->"C:\Programme\THQ\Company of Heroes\\Uninstall_German.exe"
DawnOfWar-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{362D5167-9716-44BE-89FD-BF9EB6EF814B}
Day of Defeat: Source-->"C:\Programme\Steam\steam.exe" steam://uninstall/300
DEVIL MAY CRY 4-->MsiExec.exe /I{D4E5A687-797D-44B1-8F96-4FD7A24166A9}
DFÜ-Speed-->"C:\Programme\DFÜ-Speed\Uninstall DFÜ-Speed.exe"
Die Sims 2: Open For Business-->C:\Programme\EA GAMES\Die Sims 2 Open For Business\EAUninstall.exe
Die Sims 2-->C:\Programme\EA GAMES\Die Sims 2\EAUninstall.exe
Die*Sims™*3-->"C:\Programme\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\Sims3Setup.exe" -runfromtemp -l0x0007 -removeonly
Digital Camera Driver-->C:\PROGRA~1\DIGITA~1\UNWISE.EXE C:\PROGRA~1\DIGITA~1\INSTALL.LOG
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DivX-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
Doomsday-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{69464949-AD9C-4C98-933F-C32FFC86F3C8}\setup.exe" -l0x7
Empire Earth II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DF315348-721C-40B8-BAE2-58C6C7D935A2}\setup.exe" -l0x7 -removeonly
Empire: Total War - Dahomey Amazons Unit-->"C:\Programme\Steam\steam.exe" steam://uninstall/10601
Empire: Total War - Special Forces Unit-->"C:\Programme\Steam\steam.exe" steam://uninstall/10600
Empire: Total War-->"C:\Programme\Steam\steam.exe" steam://uninstall/10500
Europa Universalis III-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{59C80C5E-8C92-40FF-B910-2BB5C7281F61}\setup.exe" -l0x9
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
FotoWorks-->"C:\Programme\FotoWorks\unins000.exe"
GameCenter-->C:\Programme\Cyanide\GameCenter\uninstall.exe
Hamachi 1.0.3.0-->C:\Programme\Hamachi\uninstall.exe
Hearts of Iron 2 Doomsday Armageddon Patch 1.1-->"C:\Programme\Paradox Interactive\Doomsday\Doomsday\unins000.exe"
Heroes of Might and Magic V-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{20071984-5EB1-4881-8EDB-082532ACEC6D}\Setup.exe" -l0x7
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Imperial Glory-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FCC8C70-66B9-420D-942C-2C2A8441C744}\Setup.exe" -l0x7 -removeonly
In Nomine 3.1-->"C:\Programme\Paradox Interactive\Europa Universalis III\unins000.exe"
Infernal-->C:\Programme\Playlogic\Infernal\uninstall.exe
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
KhalInstallWrapper-->MsiExec.exe /I{56918C0C-0D87-4CA6-92BF-4975A43AC719}
Little Fighter 2 version 2.0-->C:\Programme\LittleFighter2\LF2_v2.0\uninst.exe
Logitech Registration-->MsiExec.exe /I{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}
Logitech SetPoint-->C:\Programme\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe -runfromtemp -l0x0007 -removeonly
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Medieval II - Retrofit Mod version 1.0-->"C:\Programme\SEGA\Medieval II Total War\mods\retrofit\unins000.exe"
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5 Language Pack - DEU-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack - deu-->MsiExec.exe /I{1545207E-C6F3-31D7-9918-BDBB65075FBF}
Microsoft .NET Framework 3.5-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5\setup.exe
Microsoft .NET Framework 3.5-->MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
MobMap 2.01-->"C:\Programme\MobMapUpdater\unins000.exe"
Modern Day Scenario 2 1.5-->C:\Programme\Paradox Interactive\Modern Day Scenario 2\uninst.exe
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
Multiwinia Demo-->"C:\Programme\Steam\steam.exe" steam://uninstall/1540
NavyFIELD Europe (DE)-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B63321ED-94B1-4933-BC31-AED50BFF5961}\setup.exe" -l0x7 -removeonly
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA nTune-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF} /l1031
Pinnacle MediaCenter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA}\Setup.exe" -l0x7
PowerISO-->"C:\Programme\PowerISO\uninstall.exe"
ProtectDisc Driver, Version 11-->C:\Programme\ProtectDisc Driver Installer\uninstall_v11.exe
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Rome - Total War(TM)-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{A642BB6B-CA1D-4142-8DD4-318C3F3DC834}
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338)-->"C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB947864)-->"C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sid Meier's Civilization 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}\setup.exe" -l0x7 -removeonly
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SPORE™-->"C:\Programme\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -runfromtemp -l0x0007 -removeonly

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMBalloonTip"=
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\EA GAMES\Battlefield 2\BF2.exe"="C:\Programme\EA GAMES\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2"
"C:\Programme\World of Warcraft\BackgroundDownloader.exe"="C:\Programme\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\Programme\LimeWire\LimeWire.exe"="C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\setup.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\setup.exe:*:Enabled:Installationsprogramm für Kaspersky Internet Security 2009"
"C:\Programme\Warcraft III\war3.exe"="C:\Programme\Warcraft III\war3.exe:*:Enabled:Warcraft III"
"C:\Programme\Steam\SteamApps\soultaker08\day of defeat source\hl2.exe"="C:\Programme\Steam\SteamApps\soultaker08\day of defeat source\hl2.exe:*:Enabled:hl2"
"C:\Programme\THQ\Company of Heroes\RelicCOH.exe"="C:\Programme\THQ\Company of Heroes\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts"
"C:\Programme\Paradox Interactive\Doomsday\HoI2.exe"="C:\Programme\Paradox Interactive\Doomsday\HoI2.exe:*:Enabled:Hearts of Iron 2"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"="C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"C:\Games\Worms Armageddon - New Edition\WA.exe"="C:\Games\Worms Armageddon - New Edition\WA.exe:*:Enabled:Worms Armageddon"
"C:\Programme\Steam\SteamApps\common\multiwinia\multiwinia.exe"="C:\Programme\Steam\SteamApps\common\multiwinia\multiwinia.exe:*:Enabled:Multiwini a Demo"
"C:\Dokumente und Einstellungen\Jannis\Desktop\Call of Duty - World at War\CoDWaW.exe"="C:\Dokumente und Einstellungen\Jannis\Desktop\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R): World at War Campaign/Coop"
"C:\Programme\Pinnacle\MediaCenter\PMC.exe"="C:\Programme\Pinnacle\MediaCenter\PMC.exe:LocalSubNet:Enabled:Pmc.exe"
"C:\Programme\Pinnacle\MediaCenter\PSST.exe"="C:\Programme\Pinnacle\MediaCenter\PSST.exe:LocalSubNet:Enabled:PSST.exe"
"C:\Programme\Pinnacle\MediaCenter\PMSInstallInit.exe"="C:\Programme\Pinnacle\MediaCenter\PMSInstallInit.exe:LocalSubNet:Enabled:PMSInstallInit.ex e"
"C:\Programme\Pinnacle\MediaCenter\PMC.Tvtv.Wizard.exe"="C:\Programme\Pinnacle\MediaCenter\PMC.Tvtv.Wizard.exe:LocalSubNet:Enabled:PMC.Tvtv.Wizard.exe "
"C:\Dokumente und Einstellungen\Jannis\Desktop\Call of Duty - World at War\CoDWaWmp.exe"="C:\Dokumente und Einstellungen\Jannis\Desktop\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R): World at War Multiplayer"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\THQ\Dawn of War\W40k.exe"="C:\Programme\THQ\Dawn of War\W40k.exe:*:Enabled:W40K"
"C:\Programme\LucasArts\Star Wars Empire at War\GameData\sweaw.exe"="C:\Programme\LucasArts\Star Wars Empire at War\GameData\sweaw.exe:*:Enabled:Star Wars: Empire at War"
"C:\Programme\LucasArts\Star Wars Empire at War Forces of Corruption\swfoc.exe"="C:\Programme\LucasArts\Star Wars Empire at War Forces of Corruption\swfoc.exe:*:Enabled:Star Wars(R): Empire at War(TM): Forces of Corruption(TM)"
"C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"="C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe:LocalSubNetisabled:PMCService"
"C:\Programme\Steam\SteamApps\common\empire total war\Empire.exe"="C:\Programme\Steam\SteamApps\common\empire total war\Empire.exe:*:Enabled:Empire: Total War"
"C:\Programme\LucasArts\Star Wars Jedi Knight Jedi Academy\GameData\jamp.exe"="C:\Programme\LucasArts\Star Wars Jedi Knight Jedi Academy\GameData\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======List of files/folders created in the last 1 months======

2009-07-18 23:51:28 ----SHD---- C:\RECYCLER
2009-07-18 23:42:05 ----D---- C:\Dokumente und Einstellungen\Jannis\Anwendungsdaten\Malwarebytes
2009-07-17 23:45:04 ----A---- C:\ComboFix.txt
2009-07-17 23:07:30 ----A---- C:\Boot.bak
2009-07-17 23:07:24 ----RASHD---- C:\cmdcons
2009-07-17 23:01:42 ----A---- C:\WINDOWS\zip.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\SWSC.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\SWREG.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\sed.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\PEV.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\NIRCMD.exe
2009-07-17 23:01:42 ----A---- C:\WINDOWS\grep.exe
2009-07-17 23:01:21 ----SD---- C:\test.com
2009-07-17 22:54:51 ----D---- C:\WINDOWS\ERDNT
2009-07-17 22:54:33 ----D---- C:\Qoobox
2009-07-17 22:51:11 ----D---- C:\rsit
2009-07-17 15:48:07 ----A---- C:\WINDOWS\system32\RootkitReveal.txt
2009-07-17 15:21:21 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-17 15:21:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-13 23:39:53 ----A---- C:\WINDOWS\vsnpstd.exe
2009-07-13 23:39:53 ----A---- C:\WINDOWS\system32\dsnpstd.dll
2009-07-13 23:39:53 ----A---- C:\WINDOWS\snpstd.ini
2009-07-13 23:39:46 ----D---- C:\Programme\Gemeinsame Dateien\snpstd
2009-07-13 23:39:46 ----A---- C:\WINDOWS\usnpstd.exe
2009-07-13 23:39:46 ----A---- C:\WINDOWS\system32\vsnpstd.dll
2009-07-13 23:39:46 ----A---- C:\WINDOWS\system32\rsnpstd.dll
2009-07-13 23:39:46 ----A---- C:\WINDOWS\system32\csnpstd.dll
2009-07-06 13:46:01 ----D---- C:\Programme\Microsoft WSE

======List of files/folders modified in the last 1 months======

2009-07-19 06:57:50 ----D---- C:\WINDOWS\Prefetch
2009-07-19 06:57:49 ----D---- C:\Dokumente und Einstellungen\Jannis\Anwendungsdaten\uTorrent
2009-07-19 06:57:44 ----D---- C:\Programme\Mozilla Firefox
2009-07-19 06:57:31 ----D---- C:\Dokumente und Einstellungen\Jannis\Anwendungsdaten\Skype
2009-07-19 06:56:11 ----D---- C:\Programme\Steam
2009-07-19 06:56:10 ----D---- C:\WINDOWS\Temp
2009-07-19 06:01:03 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-19 05:58:05 ----RD---- C:\Programme
2009-07-19 05:58:05 ----D---- C:\WINDOWS\system32\drivers
2009-07-19 05:56:40 ----SD---- C:\WINDOWS\Tasks
2009-07-19 05:56:40 ----D---- C:\WINDOWS\system32
2009-07-19 00:08:47 ----D---- C:\Dokumente und Einstellungen\Jannis\Anwendungsdaten\skypePM
2009-07-17 23:44:18 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-17 23:44:05 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-17 23:38:08 ----D---- C:\WINDOWS
2009-07-17 23:38:08 ----A---- C:\WINDOWS\system.ini
2009-07-17 23:35:25 ----D---- C:\WINDOWS\system32\config
2009-07-17 23:34:46 ----SHD---- C:\WINDOWS\Installer
2009-07-17 23:31:28 ----D---- C:\WINDOWS\AppPatch
2009-07-17 23:31:23 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-17 23:07:31 ----RASH---- C:\boot.ini
2009-07-17 18:46:01 ----D---- C:\Dokumente und Einstellungen\Jannis\Anwendungsdaten\U3
2009-07-17 17:24:57 ----D---- C:\Programme\LittleFighter2
2009-07-16 23:27:11 ----D---- C:\Programme\SUPERAntiSpyware
2009-07-16 01:15:24 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-13 23:44:43 ----A---- C:\WINDOWS\win.ini
2009-07-13 23:39:59 ----HD---- C:\WINDOWS\inf
2009-07-13 23:39:42 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-13 23:38:51 ----D---- C:\WINDOWS\twain_32
2009-07-10 08:46:13 ----D---- C:\Programme\Warcraft III
2009-07-07 18:07:50 ----D---- C:\Programme\SEGA
2009-07-06 13:46:01 ----D---- C:\Config.Msi
2009-07-06 13:37:10 ----D---- C:\Programme\Electronic Arts
2009-07-04 11:42:07 ----D---- C:\Program Files
2009-07-01 13:44:18 ----D---- C:\Programme\Paradox Interactive
2009-06-23 19:26:39 ----D---- C:\WINDOWS\Help
2009-06-22 19:23:39 ----A---- C:\checkrun.txt

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-27 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-10 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-10 14848]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 SCDEmu;SCDEmu; C:\WINDOWS\system32\drivers\SCDEmu.sys [2008-07-07 56108]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 acedrv11;acedrv11; \??\C:\WINDOWS\system32\drivers\acedrv11.sys []
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2008-08-17 271360]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2008-08-17 18048]
R3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i; C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 882688]
R3 ASAPIW2k;ASAPIW2K; C:\WINDOWS\system32\drivers\ASAPIW2k.sys [2005-05-26 11264]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-02-04 3488768]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-07-02 89600]
R3 FETND5BV;VIA Rhine-Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2005-11-16 42496]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-05-30 25280]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-08-10 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2007-04-11 34832]
R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2007-04-11 36112]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-10 12288]
R3 NVR0Dev;NVR0Dev; \??\C:\WINDOWS\nvoclock.sys []
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-10 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-10 57600]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-10 20480]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 a7llneg6;a7llneg6; C:\WINDOWS\system32\drivers\a7llneg6.sys []
S3 AF15BDA;AF9015 BDA Filter; C:\WINDOWS\System32\Drivers\AF15BDA.sys [2006-09-28 283776]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-10 60800]
S3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\Jannis\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys []
S3 MHNDRV;MHN-Treiber; C:\WINDOWS\system32\DRIVERS\mhndrv.sys [2004-08-10 11008]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-10 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-10 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-10 61824]
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2004-08-10 40320]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 32512]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-02-18 6308224]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\PROGRA~1\T-DSLS~1\PCANDIS5.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-10 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-10 15360]
S3 TNPacket;T-Systems Nova Packet Capture Driver; \??\C:\Programme\T-DSL SpeedManager\TNPACKET.SYS []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 ijibwpty;ijibwpty; \??\C:\WINDOWS\system32\drivers\yfslcgrghdabtg.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\aawservice.exe [2008-06-03 611664]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-02-04 602112]
R2 McrdSvc;Media Center Extender Service; C:\WINDOWS\ehome\mcrdsvc.exe [2005-08-05 99328]
R2 nTuneService;nTune Service; C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe [2007-09-04 131072]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-04-18 66872]
S2 aawserviceAlerter;Lavasoft Ad-Aware Service aawserviceAlerter; C:\WINDOWS\TEMP\fujpunetbf.exe service []
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-02-03 593920]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-02-18 163908]
S3 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 MHN;MHN; C:\WINDOWS\System32\svchost.exe [2004-08-10 14336]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe [2005-08-02 86016]
S3 TSMService;TSMService; C:\Programme\T-DSL SpeedManager\tsmsvc.exe [2005-06-22 147456]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-08-03 38912]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-10 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]
S4 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

-----------------EOF-----------------

so das sind die beiden logs die ich bekommen hab , also combofix scheint auch alle unter quoobox oder so ähnlich gespeichert zu haben (einem extra ordner)

fehlt nur noch die systemwiederherstellung zu löschen

So alles befolgt, Firewall sind die ports zu , die logs hab ich dir hochgeladen und die systemwiederherstellung hab ich auch bearbeitet , wenn noch was ist sag bescheid meister , bin ersma trainieren

Hi,

zwei Sachen noch, es existiert ein seltsamer Treiber und einen Eintrag müssen wir noch aus den Services schmeißen, den Rest hat MAM miterledigt...

Folgendes File bei Virustotal überprüfen lassen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\a7llneg6.sys
         

falls es erkannt wird unter Driver:: im CF-Script folgende Zeile aufnehmen:
a7llneg6

Combofix scripten:
Den folgenden Text in den Editor (Start -> Zubehör -> Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen.
Gib an "Alle Dateien" - Speichern:

Code: Alles auswählenAufklappen

ATTFilter

Killall::
Driver::
ijibwpty
         

Jetzt solltest Du diese Datei auf Deinem Desktop finden, mit der Maus anklicken (rechte Taste gedrückt halten) und per drag-and-drop auf das Combofix-Icon fallen lassen. Der sollte nun starten und das Script abarbeiten; Poste danach das Log von Combofix.
Damit wird noch ein Rest vom Rootkit entfernt... (wenn die oben angegebene Datei nicht auch dazu gehört)...

Falls CF meint er wäre outdatet (wird täglich neu zusammengebaut), dann CF entfernen (Start->Ausführen->combofix /u und neu installieren...

chris