hier der neue
In der Datei 'C:\programme\outlook express\xp14.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dialer.144691' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Zitat:

kann das sein das der trojaner neue viren lädt xD???
eben schon ein neuen gefunden

Ja, die heißen genauso, wie sie arbeiten: Trojan.Downloader.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Zitat:

MSIE: Internet Explorer v6.00 SP1(6.00.2800.1106)

Rufe den Taskmanager mit [Strg][Alt][Entf] auf => Klick auf Taskmanager => Karte Prozesse => Suche WindowsUpdate.exe => Mausklick rechts => Prozess beenden

Lasse die Datei

Zitat:

C:\WINDOWS\System32\WindowsMsgEx\WindowsUpdate.exe

bei virustotal.com auswerten oder lade sie hoch und schicke mir den Link.

ciao, andreas

hier das malewarebytes log

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2479
Windows 5.1.2600 Service Pack 1

22.07.2009 20:39:40
mbam-log-2009-07-22 (20-39-36).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 224538
Laufzeit: 1 hour(s), 53 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Generic Host Process for Win32 Services (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Bifrost (Backdoor.Bifrose) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\WindowsMsgEx\WindowsUpdate.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\win32\svchost.exe (Backdoor.Bifrose) -> No action taken.

Datei checked:
Datei WindowsUpdate.exe empfangen 2009.07.22 18:34:20 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/41 (2.44%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.22 -
AhnLab-V3 5.0.0.2 2009.07.22 -
AntiVir 7.9.0.222 2009.07.22 -
Antiy-AVL 2.0.3.7 2009.07.22 -
Authentium 5.1.2.4 2009.07.22 -
Avast 4.8.1335.0 2009.07.22 -
AVG 8.5.0.387 2009.07.22 -
BitDefender 7.2 2009.07.22 -
CAT-QuickHeal 10.00 2009.07.22 -
ClamAV 0.94.1 2009.07.22 -
Comodo 1733 2009.07.22 -
DrWeb 5.0.0.12182 2009.07.22 -
eSafe 7.0.17.0 2009.07.21 -
eTrust-Vet 31.6.6634 2009.07.22 -
F-Prot 4.4.4.56 2009.07.22 -
F-Secure 8.0.14470.0 2009.07.22 -
Fortinet 3.120.0.0 2009.07.22 -
GData 19 2009.07.22 -
Ikarus T3.1.1.64.0 2009.07.22 -
Jiangmin 11.0.800 2009.07.22 -
K7AntiVirus 7.10.799 2009.07.22 -
Kaspersky 7.0.0.125 2009.07.22 -
McAfee 5684 2009.07.22 -
McAfee+Artemis 5684 2009.07.22 -
McAfee-GW-Edition 6.8.5 2009.07.22 -
Microsoft 1.4903 2009.07.22 -
NOD32 4267 2009.07.22 -
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.22 -
Panda 10.0.0.14 2009.07.22 -
PCTools 4.4.2.0 2009.07.22 -
Prevx 3.0 2009.07.22 -
Rising 21.39.24.00 2009.07.22 -
Sophos 4.43.0 2009.07.22 Mal/GamePSW-C
Sunbelt 3.2.1858.2 2009.07.21 -
Symantec 1.4.4.12 2009.07.22 -
TheHacker 6.3.4.3.372 2009.07.21 -
TrendMicro 8.950.0.1094 2009.07.22 -
VBA32 3.12.10.8 2009.07.22 -
ViRobot 2009.7.22.1847 2009.07.22 -
VirusBuster 4.6.5.0 2009.07.22 -
weitere Informationen
File size: 73729 bytes
MD5...: 4456aea8dfde1edfc05d7fa85780ba54
SHA1..: 190967915cb31dd2ec6256662a464c577a48411a
SHA256: 09f3073e334661f75e5e0ae0bf4afe0ee50448be29a983d69cd0a4321f1f9c63
ssdeep: 384:mXI2oVXstkGV7RGhVUxbCR4jV/AB9a6kH/W1xq3UZU9w1xq3UZU9kw:etkU7
LFW4pAB9EfUZU9qZU9/
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x224b
timedatestamp.....: 0x4853c0e8 (Sat Jun 14 13:00:24 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x176b 0x2000 5.02 dedc57697fa7b9189a307eb7d11812be
.rdata 0x3000 0x10ca 0x2000 3.42 86b5561120136059778b8cb23148df2e
.data 0x5000 0x4d4 0x1000 0.14 736e8bcc590ada821603a677ad2d0ab6
.rsrc 0x6000 0xbe0c 0xc000 4.37 ea973c4df23b679d7749055891235243

( 6 imports )
> WININET.dll: InternetCloseHandle, FtpPutFileA, InternetConnectA, InternetOpenA
> KERNEL32.dll: QueryPerformanceCounter, CreateThread, TerminateThread, Sleep, GetModuleHandleW, GetModuleFileNameA, GetSystemDirectoryA, CreateDirectoryA, CopyFileA, GetTickCount, TerminateProcess, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime
> USER32.dll: FindWindowA, GetAsyncKeyState, DefWindowProcW, KillTimer, EndPaint, BeginPaint, CreateWindowExW, RegisterClassExW, DispatchMessageW, TranslateMessage, GetMessageW, SetTimer, PostQuitMessage
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA
> MSVCP80.dll: __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@Z, __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@ABV10@PBD@Z, __$_9DU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z
> MSVCR80.dll: __p__commode, __p__fmode, __set_app_type, _crt_debugger_hook, _except_handler4_common, __CxxFrameHandler3, _controlfp_s, _invoke_watson, __3@YAXPAX@Z, fopen, fputs, fclose, fputc, atoi, __2@YAPAXI@Z, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Bifrost ist auch ein RAT, der scheint euer komplettes Netzwerk gekapert zu haben. Den Rechner kannst du auch Neuaufsetzen.

Lade die Datei bitte hoch und schicke mir den Link. Die Antivirenprogramme erkennen den nicht, ich werde die Datei an die AVP-Hersteller schicken, damit sie die in Zukunft erkennen.

Du hast noch einen dritten Rechner erwähnt, den werden wir als nächstes kontrollieren. Erstelle zuerst die RSIT-Logs.

ciao, andreas

scheiße müssen wir den rechner wirklich neu aufsetzen geht das nicht anders?

Wir können es versuchen, aber das wird mindestens 3 Tage dauern, eher länger. Lasse erstmal alle Funde von Malwarebytes löschen, nachdem du die Datei hochgeladen hast.

Deine Eltern sollen sich vorher aber das hier durchlesen: http://en.wikipedia.org/wiki/Bifrost_(trojan_horse)

ciao, andreas

Oh ne der 3 PC is nich so wichtig der is sau alt da is garnix drauf den kann ich neu aufsetzen oder müssen wir da noch was entfernen?

Nein, wenn du den sowieso neuaufsetzt, dann brauchen wir daran nichts zu machen.

Der Rechner deiner Eltern macht mir wirklich Sorgen, der ist total veraltet, die Software ist nicht gepflegt, das ist ein RAT drauf und deine Eltern betreiben Onlinebanking. Bitte sprich mit deinen Eltern und erkläre ihn die Situation. Der sollte wirklich dringendst neuaufgesetzt werden.

ciao, andreas

Scheiße so blöd wie ich war seh ich grad das ich die dateien schon gelöscht hab???
Scheiße is das schlimm?
Aber irg. wie hatt der 3. PC noch keine Viren????
Muss ich dann den 3 PC auch neu aufsetzen?

Zitat:

Scheiße is das schlimm?

Die kannst du aus der Quarantäne von Malwarebytes wiederherstellen.

Zitat:

Aber irg. wie hatt der 3. PC noch keine Viren?

Jetzt komme ich so langsam durcheinander mit den ganzen Rechnern. Der 3. war der mit Windows98? Ob da was ist kann ich sehen, wenn du die RSIT-Logs postest.

ciao, andreas

Sorry ne der 1 war meiner der 2 war der meiner Eltern und der 3 ist ein weiterer alter XPler der 98 war garnich im Netzwerk

Logfile of random's system information tool 1.06 (written by random/random)
Run by Besitzer at 2009-07-05 21:17:42
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 15 GB (78%) free of 19 GB
Total RAM: 127 MB (9% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:07, on 05.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Besitzer.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2274 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Sinus 1054 data WLAN Manager.lnk - C:\WINDOWS\Installer\{BC09EF51-99D1-4044-ABCB-D14839E38D79}\NewShortcut2.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Dokumente und Einstellungen\Besitzer\Desktop\Debbo v3.5\Debbo V3.5.exe"="C:\Dokumente und Einstellungen\Besitzer\Desktop\Debbo v3.5\Debbo V3.5.exe:*:Enabledebbo V3.5"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-07-05 21:17:42 ----D---- C:\rsit
2009-07-05 18:01:47 ----D---- C:\WINDOWS\LastGood
2009-07-05 17:59:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-07-05 17:59:13 ----D---- C:\Programme\Avira
2009-07-04 13:51:05 ----D---- C:\xxx
2009-07-03 23:04:10 ----A---- C:\WINDOWS\ntbtlog.txt
2009-06-29 03:01:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-06-29 03:01:18 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-06-29 03:00:56 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-06-16 11:15:58 ----D---- C:\Programme\Evrsoft First Page 2006

======List of files/folders modified in the last 1 months======

2009-07-05 21:17:47 ----D---- C:\WINDOWS\Prefetch
2009-07-05 20:53:37 ----D---- C:\Programme\Mozilla Firefox
2009-07-05 18:07:12 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-05 18:02:08 ----D---- C:\WINDOWS\system32\drivers
2009-07-05 18:02:07 ----HD---- C:\WINDOWS\inf
2009-07-05 18:01:47 ----D---- C:\WINDOWS
2009-07-05 17:59:13 ----RD---- C:\Programme
2009-07-05 17:57:30 ----SHD---- C:\WINDOWS\Installer
2009-07-05 17:57:27 ----D---- C:\WINDOWS\WinSxS
2009-07-05 17:40:26 ----D---- C:\WINDOWS\system32
2009-07-05 17:40:26 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-03 23:03:10 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-03 17:48:21 ----SD---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft
2009-06-29 03:01:37 ----HD---- C:\WINDOWS\$hf_mig$
2009-06-29 03:01:27 ----A---- C:\WINDOWS\imsins.BAK
2009-06-29 03:01:22 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-06-16 16:53:48 ----A---- C:\WINDOWS\system32\t2embed.dll
2009-06-16 16:53:48 ----A---- C:\WINDOWS\system32\fontsub.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\p3.sys [2004-08-04 46592]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2009-01-20 15781]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 327168]
R3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
R3 es1969;ESS 1969-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 72192]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
R3 PRISM_A02;Sinus 1054 data; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2004-05-20 379456]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-01-21 25280]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089]

-----------------EOF-----------------

info.txt logfile of random's system information tool 1.06 2009-07-05 21:18:14

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Evrsoft First Page 2006-->"C:\Programme\Evrsoft First Page 2006\unins000.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sinus 1054 data-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{BC09EF51-99D1-4044-ABCB-D14839E38D79}
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: RÖHRIG
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 5
Source Name: Service Control Manager
Time Written: 20090625152240.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: RÖHRIG
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 4
Source Name: Service Control Manager
Time Written: 20090625152240.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: RÖHRIG
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 3
Source Name: Service Control Manager
Time Written: 20090625152240.000000+120
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090625152215.000000+120
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090625152215.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090119232011.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090119232005.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090119170156.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090119170055.000000+060
Event Type: Informationen
User:

Computer Name: RÖHRIG
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090119170053.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"T-Sinus1054data_dir"=C:\Programme\DT\Sinus 1054 data\

-----------------EOF-----------------

So ich geh dann auch mal ein bissl. fern schaun und vil. mein PC neuaufsetzen...
Danke nochmal morgen werde ich dir die Datei per PM schicken
cya
und dicksten dank hau rein andreas

Das ist der einzige saubere Rechner, den ihr noch habt. Wenn deine Eltern Onlinebanking machen möchten, dann erstmal von dem. Von dem kannst du auch alle Kennwörter ändern.

1.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
         

=> Fix checked

2.) Lade dir:

• Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
• Downloaddetails: Windows Internet Explorer 8 für Windows XP

Packe die am besten auf einem Memorystick, du wirst sie bei allen 3 Rechnern brauchen. Stelle erst wieder die Verbindung zum Internet her, nachdem du SP3 installiert hast. Besuche umgehend mit dem MSIE das Microsoftupdate und führe alle Updates durch.

3.) Installiere beide Pakete schonmal auf dem 3. Rechner.

ciao, andreas