Win32Trojan.Tdss - lässt sich nicht entfernen

Kuss80 · 28.07.2009, 16:16

Hallo allerseits!

Die letzten drei Tage habe ich nun damit verbracht, meinen Rechner zu bereinigen.
Leider blieb der gewünschte Erfolg aus, weshalb ich hoffe dass ihr mir weiterhelfen könnt.

Folgendes Problem liegt aktuell vor:

1. In Opera und Firefox werde ich auf andere Seiten weitergeleitet, als die unter google angegebenen. Zudem wird meine Oberfläche größer dargestellt wie bisher.

2. Meine Brennfunktion ist aktuell komplett lahmgelegt.
Kein Programm möchte einen meiner beiden Brenner erkennen!
Auch eine erneute Installation der Treiber brachte nichts.

3. spybot s&d lässt sich nicht mehr öffnen.

4. Bei einem Scan mit Ad-Aware (Intelligenter Scan) werden mir jedes mal folgende Punkte angezeigt:
- Win32Trojan.Tdss
- Cookies - Privacy Object

5. Kaspersky (Scan) zeigt an: Der Computer ist sicher

Es wäre toll, wenn mir jemand behilflich sein könnte, da ich liebend gerne eine Neuaufsetzung des Systems umgehen möchte.
Mit Veränderungen an der Registry bin ich vorsichtig und z.B. die Verwendung von ComboFix möchte ich nicht einfach mal so im Alleingang testen.

Welchen Schritt sollte ich zuerst machen?

Vorab möchte ich schon einmal für eure Mithilfe danken "Vielen Dank".

Es grüßt euch
Kuss80

john.doe · 28.07.2009, 16:31

Hallo und

Zitat:

Die letzten drei Tage habe ich nun damit verbracht, meinen Rechner zu bereinigen.

Hättest du die Zeit damit verbracht, den Rechner nach dieser http://www.trojaner-board.de/51262-a...sicherung.html neuinstalliert, dann wärst du jetzt schon fertig.

Solltest du noch immer Säuberung vorziehen, dann beginne mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Kuss80 · 28.07.2009, 21:18

Hallo Andreas (john.doe),

zuerst einmal vielen Dank für die schnelle Antwort.

Ich habe deine Anweisung befolgt, den CCleaner und anschließend ComboFix über das System laufen lassen.

Folgendes möchte ich dazu berichten:

1. Das Ausführen vom CCleaner hat alles wunderbar funktioniert, wie beschrieben.

2. Danach habe ich mich ComboFix gestartet.
Die ersten Schritte wurden abgearbeitet, wie sie in der Anleitung beschrieben sind.

Nach dem Bestätigen "Ja" zur Suche nach Malware, habe ich den BlueScreen mit dem Hinweis "Suche nach infizierten Dateien...." erhalten und erst einmal abgewartet.

Nun, nach ca. 3 1/2 bis 4 Std., nachdem sich immer noch nichts getan hat, habe ich diesen Prozess dann abgebrochen. Scheint mir als sei ComboFix eingefroren!?

PS. Eine ComboFix.txt wurde nicht erstellt unter C:\.

Bin mir jetzt nicht sicher, ob ich erneut die Schritte abarbeiten soll?

Nach einem Neustart hat Kaspersky sofort ausgeschlagen und die Malware Win32Trojan.Tdss angezeigt.
Zudem kam ein Hinweis auf C:\windows\system32\uacrjoqmurbul.dll, welche jedoch nur übersprungen werden konnte.

Die Oberfläche des Browers scheint mir wieder nie normale Größe zu haben, jedoch denke ich nicht das das System clean ist!

Was denkst du, soll einfach nochmals CCleaner und ComboFix testen?

Vielen Dank nochmals für die Hilfe und nen schönen Abend.

Gruß Kuss80

john.doe · 28.07.2009, 21:23

ComboFix ist zwar nicht durchgekommen, hat ihm aber das Genick gebrochen. Deshalb funktioniert Kaspersky wieder. CCleaner brauchst du nicht.

1.) Start => Ausführen => combofix /u => OK

2.) Lade dir ein neues ComboFix auf deinen Desktop und starte es nach obiger Anleitung.

ciao, andreas

Kuss80 · 28.07.2009, 21:30

Super Andreas,

ich werde noch einmal ComboFix neu auf den Desktop laden und drüberlaufen lassen.

Da ich um 4.30 Uhr bereits wieder aufstehen muss, werde ich jedoch erst morgen nach der Arbeit dazukommen. Das neue Ergebnis gibt es dann im Anschluss.

Wünsche eine angenehme Nachtruhe.
Bis dann Kuss80

john.doe · 28.07.2009, 21:33

Gute Nacht,
andreas

Kuss80 · 30.07.2009, 20:16

Abend,

endlich hat es geklappt und ComboFix ist nicht eingefroren.

Hier die Infos aus der Logfile:

ComboFix 09-07-29.04 - *** 30.07.2009 21:00.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-30 ))))))))))))))))))))))))))))))
.

2009-07-30 18:55 . 2009-07-30 18:55 -------- d-s---w- C:\cofi
2009-07-29 18:59 . 2009-07-29 19:00 -------- d-----w- C:\rsit
2009-07-29 17:03 . 2009-07-29 17:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ImgBurn
2009-07-29 16:32 . 2009-07-29 16:32 -------- d-----w- c:\programme\ImgBurn
2009-07-28 15:40 . 2009-07-28 15:40 -------- d-----w- c:\programme\CCleaner
2009-07-27 20:39 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-27 20:27 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-07-27 20:20 . 2009-07-27 20:20 200480 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-27 20:18 . 2009-07-27 20:18 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-27 20:18 . 2009-07-08 17:28 2920112 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-07-27 20:17 . 2009-07-27 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-27 20:17 . 2009-07-27 20:17 -------- d-----w- c:\programme\Lavasoft
2009-07-27 20:16 . 2001-12-31 22:01 -------- d-----w- c:\windows\SxsCaPendDel
2009-07-26 22:02 . 2009-07-26 22:02 -------- d-----w- c:\programme\Astonsoft
2009-07-26 18:56 . 2009-03-02 13:02 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-07-26 18:47 . 2009-07-26 18:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-26 17:47 . 2009-07-26 17:47 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero
2009-07-24 13:23 . 2009-07-24 13:23 54784 ----a-w- c:\windows\system32\drivers\UACucyawspvus.sys
2009-07-22 17:03 . 2009-07-30 18:54 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Eraser
2009-07-22 17:02 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll
2009-07-22 17:02 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll
2009-07-22 17:02 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe
2009-07-22 17:02 . 2009-07-22 17:02 -------- d-----w- c:\programme\Eraser
2009-07-14 19:49 . 2009-07-14 19:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SolidDocuments
2009-07-14 19:48 . 2009-07-14 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SolidDocuments
2009-07-14 19:43 . 2009-07-14 19:59 -------- d-----w- c:\programme\PDF Password Remover v3.0
2009-07-14 19:37 . 2009-07-14 19:41 -------- d-----w- c:\programme\PDF Passwort Knacker 1
2009-07-14 19:37 . 2009-07-14 19:37 80896 ----a-w- c:\windows\cadkasdeinst01.exe
2009-07-14 19:12 . 2009-07-14 20:30 -------- d-----w- c:\programme\ElcomSoft
2009-07-14 12:43 . 2009-07-22 22:19 -------- d-----w- c:\dokumente und einstellungen\***\Bücher
2009-07-08 14:05 . 2009-07-08 14:05 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-30 18:53 . 2009-02-19 21:04 1089568 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-30 18:53 . 2009-02-19 21:04 7948 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-30 18:50 . 2001-12-31 23:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-30 16:27 . 2009-02-19 21:04 5644832 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-30 16:27 . 2009-02-19 21:04 48324 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-30 15:56 . 2007-07-05 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-29 14:26 . 2001-08-18 12:00 80928 ----a-w- c:\windows\system32\perfc007.dat
2009-07-29 14:26 . 2001-08-18 12:00 451970 ----a-w- c:\windows\system32\perfh007.dat
2009-07-28 20:33 . 2007-07-05 19:05 81216 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-27 15:00 . 2009-01-03 19:52 -------- d-----w- c:\programme\PokerStars
2009-07-27 15:00 . 2008-10-18 20:53 -------- d-----w- c:\programme\Enigma Software Group
2009-07-26 12:09 . 2007-07-10 15:33 -------- d-----w- c:\programme\mIRC
2009-07-22 12:28 . 2009-02-19 21:16 208616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-26 16:49 . 2001-08-18 12:00 672256 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2001-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2001-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-09 18:31 . 2009-06-09 18:31 -------- d-----w- c:\programme\HD Tune Pro
2009-06-08 19:29 . 2009-06-08 19:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-06-06 12:09 . 2009-06-06 12:09 -------- d-----w- c:\programme\DVDlabPro2
2009-06-03 19:09 . 2001-08-18 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-21 17:55 . 2009-02-19 21:05 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-21 17:55 . 2009-02-19 21:05 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-09 07:49 . 2008-09-29 17:27 353576 ----a-w- c:\windows\system32\msvcr71.dll
2009-05-09 07:48 . 2009-05-09 07:49 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2009-05-09 07:48 . 2008-09-29 17:27 505128 ----a-w- c:\windows\system32\msvcp71.dll
2009-05-08 15:41 . 2009-05-08 15:41 1915520 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-05-07 15:32 . 2001-08-18 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2009-05-05 19:56 . 2009-05-05 19:56 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLbx.DAT
2001-12-31 22:03 . 2009-07-08 14:05 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2008-10-01 03:53 . 2008-10-01 03:53 23 --sha-w- c:\windows\system32\becbbfe3_z.dll
2008-11-22 10:50 . 2007-11-25 15:05 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2009-06-10 334224]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="c:\programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe" [2006-07-30 121089]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-05-16 430080]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-22 208616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RemoteControl9"="c:\programme\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]
"PDVD9LanguageShortcut"="c:\programme\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Allzeit Atomzeit.lnk - c:\programme\Allzeit Atomzeit\Atomzeit.exe [2007-4-16 77824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="prestigeUI.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"=c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.07.2009 22:27 64160]
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [05.07.2007 19:26 97408]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1029456]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16.05.2008 17:12 102400]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [04.10.2008 08:56 11520]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\System32\PLCMPR5.SYS --> c:\windows\System32\PLCMPR5.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2009-07-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-TDSSpqlt.sys

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\an0bhm57.default\
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-07-30 21:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1860)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-07-30 21:09
ComboFix-quarantined-files.txt 2009-07-30 19:09

Vor Suchlauf: 5.512.224.768 Bytes frei
Nach Suchlauf: 5.490.393.088 Bytes frei

218 --- E O F --- 2009-07-30 02:54

Bin schon voller Spannung wie es weiter geht.

Gruß Kuss80

john.doe · 30.07.2009, 20:52

1.) Lade die Datei

Code:

ATTFilter

c:\windows\system32\drivers\UACucyawspvus.sys

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Die wird an 39 AVP/AMP-Hersteller geschickt, damit sie in Zukunft erkannt wird.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Edit: Kaspersky sieht nicht gut aus. Die hängen bei den TDSS-Varianten immer zurück.

Code:

ATTFilter

Datei UACucyawspvus.sys empfangen 2009.07.30 20:13:07 (UTC)
Status:    Beendet 
Ergebnis: 13/41 (31.71%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.07.30	Trojan.WinNT.Alureon!IK
AhnLab-V3	5.0.0.2	2009.07.30	-
AntiVir	7.9.0.236	2009.07.30	TR/Agent.54784.7
Antiy-AVL	2.0.3.7	2009.07.30	-
Authentium	5.1.2.4	2009.07.30	-
Avast	4.8.1335.0	2009.07.30	Win32:Alureon-CJ
AVG	8.5.0.387	2009.07.30	Crypt.FWO
BitDefender	7.2	2009.07.30	-
CAT-QuickHeal	10.00	2009.07.30	-
ClamAV	0.94.1	2009.07.30	-
Comodo	1813	2009.07.30	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.07.30	-
eSafe	7.0.17.0	2009.07.30	-
eTrust-Vet	31.6.6648	2009.07.30	-
F-Prot	4.4.4.56	2009.07.30	-
F-Secure	8.0.14470.0	2009.07.30	-
Fortinet	3.120.0.0	2009.07.30	-
GData	19	2009.07.30	Win32:Alureon-CJ 
Ikarus	T3.1.1.64.0	2009.07.30	Trojan.WinNT.Alureon
Jiangmin	11.0.800	2009.07.30	-
K7AntiVirus	7.10.806	2009.07.30	-
Kaspersky	7.0.0.125	2009.07.30	-
McAfee	5692	2009.07.29	-
McAfee+Artemis	5692	2009.07.29	Artemis!97E7F36DC066
McAfee-GW-Edition	6.8.5	2009.07.30	Heuristic.LooksLike.Trojan.TDss.A
Microsoft	1.4903	2009.07.30	Trojan:WinNT/Alureon.D
NOD32	4292	2009.07.30	a variant of Win32/Olmarik.JR
Norman	6.01.09	2009.07.30	-
nProtect	2009.1.8.0	2009.07.30	-
Panda	10.0.0.14	2009.07.30	-
PCTools	4.4.2.0	2009.07.29	-
Prevx	3.0	2009.07.30	Medium Risk Malware
Rising	21.40.34.00	2009.07.30	-
Sophos	4.44.0	2009.07.30	-
Sunbelt	3.2.1858.2	2009.07.30	Bulk Trojan
Symantec	1.4.4.12	2009.07.30	-
TheHacker	6.3.4.3.374	2009.07.30	-
TrendMicro	8.950.0.1094	2009.07.30	-
VBA32	3.12.10.9	2009.07.30	-
ViRobot	2009.7.30.1861	2009.07.30	-
VirusBuster	4.6.5.0	2009.07.30	-
weitere Informationen
File size: 54784 bytes
MD5...: 97e7f36dc0663dc6be09c7bcf5aff384
SHA1..: 80ca1b4ce2d46d87889769b0b67eff16ed61e18f
SHA256: 6107bbde0e4b760e504d7acc111ea528bba99f18b3bee0614e1f09aa49060ce3
ssdeep: 1536:x2mDFXWsvHPwguxdy+5iqIuez/ZK4xRZx:4mDFFHUdy+50z/ZTl
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.5%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x263f
timedatestamp.....: 0x4a5cbcd9 (Tue Jul 14 17:14:01 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3280 0x3400 6.43 2c0b1721a437cb7e6fa2008c1affb4be
.rdata 0x5000 0x15ac 0x1600 4.52 e8f00c769e3aa18fc8b592149b63103f
.data 0x7000 0x4404 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.ytr 0xc000 0x7000 0x6800 7.99 bc8212c51637b5450510782de2676319
.zasoc 0x13000 0x2000 0x2000 7.56 70ba3e003d18c5792f4700bf060c212c

( 3 imports ) 
> USBPORT.SYS: USBPORT_RegisterUSBPortDriver, USBPORT_GetHciMn
> HAL.DLL: KfLowerIrql, HalProcessorIdle, KeRaiseIrql
> NTOSKRNL.EXE: ZwCreateFile, ZwTerminateProcess, isspace

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=38CA04F800143FB7D64A006D4A669F0012066101' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=38CA04F800143FB7D64A006D4A669F0012066101</a>

Kuss80 · 31.07.2009, 14:45

Hallo Andreas und Co.,

hier nun die Infos des Panda Active Scan:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-31 15:17:49
PROTECTIONS: 1
MALWARE: 29
SUSPECTS: 5
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00039703 Application/Pskill.A HackTools No 0 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[pskill.exe]
00055522 Eicar.Mod Virus No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[eicar.html]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@247realmedia[1].txt
00145466 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145466 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@servedby.advertising[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@offeroptimizer[1].txt]
00145745 Cookie/OfferOptimizer TrackingCookie No 0 Yes No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a\***a\Cookies\***a@offeroptimizer[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adverserve[1].txt
00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00147051 Cookie/Exit-ad TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@exit-ad[1].txt]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@com[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@azjmp[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@ad.yieldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Cookies\***@adtech[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00169190 Cookie/Advertising TrackingCookie No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\Cookies\***a@advertising[1].txt]
00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No E:\von_Sonstiges\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No C:\Dokumente und Einstellungen\***\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00198221 Joke/Metro Jokes No 0 No No D:\*** Sicherung\Eigene Dateien\***a Dateien\***a.rar[***a\My E-Mails\Fwd_u-bahn.eml][u-bahn.exe]
00252092 Exploit/WinampPLS HackTools No 0 Yes No D:\Filesharing\mIRC\Incoming_files\downloads\Jay-Z-The.Black.Remixes.tar
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
00475627 Bck/Bifrose.BHN Virus/Trojan No 1 Yes No C:\WindowBlinds\V 6.01 german\Patcher.exe
00571380 Trj/PWSteal.EE Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
00590315 Rootkit/Agent.LNB HackTools No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\drivers\cevunfd.sys.vir]
00889180 Generic Backdoor Virus/Trojan No 0 No No E:\von_Sonstiges\Software\Sicherheit\Kaspery AV\Version 4.5.0.48\Setup\data1.cab[klif.sys]
01650218 Generic Malware Virus/Trojan No 0 Yes No E:\von_Sonstiges\Software\Accessdiver\ad4103.exe
01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Delete Temp Files.exe]
01905311 Trj/Rizalof.RV Virus/Trojan No 1 No No E:\Software\Utilities\FlyakiteOSX Transformer\FlyakiteOSXv2.exe[Remove FlyakiteOSX Folder.exe]
02918065 Generic Worm Virus/Worm No 0 Yes No E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_X2_v12.0\CR-PSP12.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UAChymvbkrbox.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACnufsevjhkl.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\UACucyawspvus.sys
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACytlgvruvoy.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe
03738741 Generic Malware Virus/Trojan No 0 No No D:\Software\Windows\DownloadManager\Cryptload\CryptLoad_1.1.5.rar[ocr\netload.in\asmCaptcha\test.exe]
03738741 Generic Malware Virus/Trojan No 0 Yes No C:\Downloads\cryptload\ocr\netload.in\asmCaptcha\test.exe
03899034 Generic Malware Virus/Trojan No 0 Yes No E:\System Volume Information\_restore{F2336E24-BC15-4D06-9B4F-8974CC7ADDC9}\RP205\A0036319.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 6
;===================================================================================================================================================== ============================== 6
No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\install.exe.vir] 6
No C:\Qoobox.part1.rar[Qoobox\Quarantine\C\WINDOWS\system32\UACtqfuiqppjd.dll.vir] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\usercashcom.dll] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xeem.dll] 6
No D:\Software\Windows\DownloadManager\654.rar[654\MSD 0.654\Plugins\YCPlugins\xvidznet.dll] 6
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 6
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

So, und nun mach ich mal an PrevXCSI ran.

Grüße Kuss80

Kuss80 · 29.07.2009, 18:57

Abend allerseits!

Habe jetzt, wie von Andreas geschrieben, ComboFix noch einmal ausgeführt.

Hmmm, diesmal sah das Ganze besser aus, jedoch ist isses erneut eingefroren.
Es kam bis zur Meldung "Starte Windows neu ... Bitte warten".

Inzwischen habe ich bemerkt, dass meine Brennfunktion wieder funktioniert.
Außerdem kann ich wieder Spybot verwenden.

Es liegt somit wohl eine Verbesserung im System vor, jedoch habe ich immer noch Speksis, dass der Rechner weitgehend clean ist!

Was meints du andreas erneut ComboFix auf den Desktop laden und laufen lassen?
Hätte gerne die log-Datei um sie euch zur Verfügung zu stellen.

Gruß
Kuss80

john.doe · 29.07.2009, 19:03

Zitat:

Es liegt somit wohl eine Verbesserung im System vor, jedoch habe ich immer noch Speksis, dass der Rechner weitgehend clean ist!

Ist er auch nicht, da bist du noch meilenweit von entfernt.

Zitat:

Was meints du andreas erneut ComboFix auf den Desktop laden und laufen lassen?

Einfach die Anleitung Schritt für Schritt abarbeiten.

Ich muss irgendein Log sehen. Versuchen wir es anders.

1.) Deaktiviere den Wächter von Kaspersky.

2.) Packe den Ordner C:\qoobox mit Zip oder Rar, lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Kaspersky.

4.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html

ciao, andreas

Kuss80 · 29.07.2009, 20:32

So Andreas, hier nun die logs von RSIT:

1. log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-07-29 20:59:56
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 5 GB (13%) free of 39 GB
Total RAM: 1023 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:19, on 29.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Vortex Prestige\Classes\data\prog\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 6292 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - StylerToolBar - C:\Programme\Vortex Prestige\Classes\data\prog\Styler\TB\StylerTB.dll [2006-05-02 102400]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"=C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe [2006-07-30 121089]
"WD Drive Manager"=C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe [2008-05-16 430080]
"CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe [2007-05-15 644696]
"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-04-04 1603152]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-22 208616]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"RemoteControl9"=C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe [2009-02-16 87336]
"PDVD9LanguageShortcut"=C:\Programme\CyberLink\PowerDVD9\Language\Language.exe [2008-10-13 50472]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Eraser"=C:\Programme\Eraser\Eraser.exe [2009-06-10 334224]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [2008-12-03 2356088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowBlinds]
C:\Dokumente und Einstellungen\All Users\Dokumente\Stardock\WindowBlinds\WBInstall32.exe []

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
Allzeit Atomzeit.lnk - C:\Programme\Allzeit Atomzeit\Atomzeit.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-03-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSpqlt.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSpqlt.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"ForceClassicControlPanel"=1
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC"
"C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Programme\FlashGet\flashget.exe"="C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Infogrames\Grand Prix 4\GP4.exe"="C:\Programme\Infogrames\Grand Prix 4\GP4.exe:*

isabled:GP4"
"C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*

isabled:svchost"
"C:\Programme\Nero\Nero MediaHome 4\NMMediaServerService.exe"="C:\Programme\Nero\Nero MediaHome 4\NMMediaServerService.exe:*:Enabled:Nero MediaHome 4"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-07-29 20:59:56 ----D---- C:\rsit
2009-07-29 19:32:22 ----D---- C:\WINDOWS\temp
2009-07-29 19:25:42 ----SD---- C:\cofi
2009-07-29 19:25:40 ----A---- C:\WINDOWS\system32\CF5793.exe
2009-07-29 19:03:59 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ImgBurn
2009-07-29 18:32:46 ----D---- C:\Programme\ImgBurn
2009-07-28 18:14:47 ----A---- C:\Boot.bak
2009-07-28 18:14:37 ----RASHD---- C:\cmdcons
2009-07-28 18:12:10 ----A---- C:\WINDOWS\zip.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\SWSC.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\SWREG.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\sed.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\PEV.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\NIRCMD.exe
2009-07-28 18:12:10 ----A---- C:\WINDOWS\grep.exe
2009-07-28 18:11:58 ----D---- C:\WINDOWS\ERDNT
2009-07-28 18:11:55 ----A---- C:\WINDOWS\system32\CF4092.exe
2009-07-28 18:11:48 ----D---- C:\Qoobox
2009-07-28 17:40:12 ----D---- C:\Programme\CCleaner
2009-07-27 22:39:57 ----A---- C:\WINDOWS\system32\lsdelete.exe
2009-07-27 22:18:13 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-07-27 22:17:44 ----D---- C:\Programme\Lavasoft
2009-07-27 22:17:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-27 22:16:49 ----D---- C:\WINDOWS\SxsCaPendDel
2009-07-27 00:02:18 ----D---- C:\Programme\Astonsoft
2009-07-26 20:56:19 ----A---- C:\WINDOWS\system32\GdiPlus.dll
2009-07-26 20:47:29 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe_Limited
2009-07-22 19:02:29 ----A---- C:\WINDOWS\system32\Erasext.dll
2009-07-22 19:02:29 ----A---- C:\WINDOWS\system32\Eraserl.exe
2009-07-22 19:02:29 ----A---- C:\WINDOWS\system32\Eraser.dll
2009-07-22 19:02:28 ----D---- C:\Programme\Eraser
2009-07-15 22:19:13 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 22:19:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 22:16:57 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-14 21:53:19 ----A---- C:\WINDOWS\ConverterCore.INI
2009-07-14 21:49:37 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SolidDocuments
2009-07-14 21:48:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SolidDocuments
2009-07-14 21:45:29 ----A---- C:\WINDOWS\winDecrypt.INI
2009-07-14 21:44:30 ----A---- C:\WINDOWS\system32\BASSMOD.dll
2009-07-14 21:43:52 ----D---- C:\Programme\PDF Password Remover v3.0
2009-07-14 21:37:55 ----D---- C:\Programme\PDF Passwort Knacker 1
2009-07-14 21:37:55 ----A---- C:\WINDOWS\cadkasdeinst01.exe
2009-07-14 21:12:58 ----D---- C:\Programme\ElcomSoft
2009-07-08 16:05:14 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla
2009-07-08 16:04:58 ----D---- C:\Programme\Mozilla Firefox

======List of files/folders modified in the last 1 months======

2009-07-29 20:23:22 ----D---- C:\Downloads
2009-07-29 19:46:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-29 19:46:52 ----AD---- C:\WINDOWS
2009-07-29 19:32:16 ----D---- C:\WINDOWS\system32
2009-07-29 19:32:13 ----D---- C:\WINDOWS\system32\drivers
2009-07-29 19:32:10 ----SHD---- C:\WINDOWS\Installer
2009-07-29 19:30:47 ----D---- C:\WINDOWS\AppPatch
2009-07-29 19:30:43 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-29 19:26:29 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-29 19:26:08 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-29 19:23:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-29 19:23:21 ----D---- C:\WINDOWS\Minidump
2009-07-29 18:32:46 ----RD---- C:\Programme
2009-07-29 16:26:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-28 18:14:47 ----RASH---- C:\boot.ini
2009-07-28 18:12:08 ----D---- C:\WINDOWS\system32\Restore
2009-07-28 17:44:24 ----D---- C:\WINDOWS\Debug
2009-07-28 17:28:48 ----D---- C:\WINDOWS\Microsoft.NET
2009-07-28 17:28:38 ----RSD---- C:\WINDOWS\assembly
2009-07-27 22:27:56 ----HD---- C:\WINDOWS\inf
2009-07-27 22:27:48 ----SD---- C:\WINDOWS\Tasks
2009-07-27 22:27:12 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-07-27 22:19:49 ----D---- C:\WINDOWS\system32\XPSViewer
2009-07-27 22:19:45 ----D---- C:\WINDOWS\system32\en-us
2009-07-27 22:19:37 ----RSD---- C:\WINDOWS\Fonts
2009-07-27 22:19:00 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-27 22:12:37 ----D---- C:\WINDOWS\WinSxS
2009-07-27 17:50:19 ----A---- C:\WINDOWS\system32\regsvr32.exe.log
2009-07-27 17:00:53 ----D---- C:\Programme\PokerStars
2009-07-27 17:00:37 ----D---- C:\Programme\Enigma Software Group
2009-07-26 22:40:10 ----A---- C:\WINDOWS\system32\MsiExec.exe.log
2009-07-26 20:59:46 ----A---- C:\WINDOWS\Irremote.ini
2009-07-26 19:38:25 ----SHD---- C:\System Volume Information
2009-07-26 19:37:35 ----A---- C:\WINDOWS\win.ini
2009-07-26 19:37:35 ----A---- C:\WINDOWS\system.ini
2009-07-26 18:52:06 ----D---- C:\WINDOWS\Prefetch
2009-07-26 14:09:50 ----D---- C:\Programme\mIRC
2009-07-25 11:16:10 ----SHD---- C:\RECYCLER
2009-07-22 18:18:53 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2009-07-22 18:18:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-07-15 22:19:11 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2007-07-18 33408]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-02-19 226832]
R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys []
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver; C:\WINDOWS\system32\plcndis5.sys [2004-05-17 17280]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]
R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2004-05-25 48640]
R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2004-05-25 396032]
R3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys [2008-04-18 39488]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 WDC_SAM;WD SCSI Pass Thru driver; C:\WINDOWS\system32\DRIVERS\wdcsam.sys [2008-05-16 11520]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter; C:\WINDOWS\System32\DRIVERS\yukonwxp.sys [2003-10-02 174336]
S3 aathpx20;aathpx20; C:\WINDOWS\system32\drivers\aathpx20.sys []
S3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-09-20 99648]
S3 catchme;catchme; \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\catchme.sys []
S3 nv4;nv4; C:\WINDOWS\System32\DRIVERS\nv4.sys [2001-08-17 731648]
S3 NVENET;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENET.sys [2004-01-29 93764]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\System32\PLCMPR5.SYS []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2006-11-06 28672]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; C:\WINDOWS\system32\IoctlSvc.exe [2006-12-19 81920]
R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2007-06-05 177704]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service; C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [2008-05-16 102400]
S2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-22 208616]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-07-03 1029456]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-10-08 68096]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-09-28 654848]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 IJPLMSVC;PIXMA Extended Survey Program; C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe []
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Kuss80 · 29.07.2009, 20:33

2. info.txt

info.txt logfile of random's system information tool 1.06 2009-07-29 21:00:23

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee Foto-Manager 2009-->MsiExec.exe /I{300578F9-9EFF-4B93-9AB1-C0E5707EF463}
Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7
Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{29F05234-DCBB-4FE0-88DC-5160C9250312}
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe Setup-->MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
AFPL Ghostscript 8.54-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\gs8.54\uninstal.txt"
AFPL Ghostscript Fonts-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\fonts\uninstal.txt"
Allzeit Atomzeit 2.00-->C:\Programme\Allzeit Atomzeit\uninstall.exe
AnyDVD-->"C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD"
AviSynth 2.5-->"C:\Programme\AviSynth 2.5\Uninstall.exe"
Canon iP4500 series Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP4500 series\UNINST.EXE
Canon iP4500 series-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series /L0x0007
Canon My Printer-->C:\Programme\Canon\MyPrinter\uninst.exe uninst.ini
Canon Utilities Easy-PhotoPrint EX-->C:\Programme\Canon\Easy-PhotoPrint EX\uninst.exe uninst.ini
Canon Utilities Solution Menu-->C:\Programme\Canon\SolutionMenu\uninst.exe uninst.ini
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
CIB pdf Plug-in 1.3.25-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{62A5F5BC-CDAC-4F44-A2A9-C30A1BCBCA6B}\setup.exe" -l0x7 -uninst
CircleSurround II Plugin for Windows Media Player-->MsiExec.exe /I{135BFFD7-D9C1-4374-B18C-BEB64FC7851C}
Corel Paint Shop Pro Photo X2-->MsiExec.exe /X{64E72FB1-2343-4977-B4A8-262CD53D0BD3}
Creation Master 07 Ultimate Version-->"C:\Programme\Fifa Master\Creation Master 07\unins000.exe"
CyberLink PowerDVD 9-->"C:\Programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall
CyberLink PowerDVD 9-->"C:\Programme\InstallShield Installation Information\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\setup.exe" /z-uninstall
devolo MicroLink dLAN Konfigurations-Assistent-->C:\Programme\devolo\setup.exe /remove:dlanconf
devolo MicroLink EasyClean-->C:\Programme\devolo\setup.exe /remove:easyclean
devolo MicroLink Informer-->C:\Programme\devolo\setup.exe /remove:dslmon
DFX 8 for Windows Media Player-->MsiExec.exe /I{ad8d7882-5bc4-43a5-b54c-e96a4995ead9}
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DivxToDVD 1.99.11-->"C:\Programme\vso\DivxToDVD\unins000.exe"
DVD-lab PRO 2.51-->"C:\Programme\DVDlabPro2\unins000.exe"
EA SPORTS online 2007-->C:\Programme\EA SPORTS\EA SPORTS online\EASOUNInstaller.exe
Eraser 5.8.7-->"C:\Programme\Eraser\unins000.exe"
FIFA 07-->C:\Programme\EA SPORTS\FIFA 07\EAUninstall.exe
FlashGet 1.9.6.1073-->C:\Programme\FlashGet\uninst.exe
FLV Player 2.0, build 24-->C:\Programme\FLV Player\uninst.exe
Furnplan now! by hülsta 8.0-->C:\PROGRA~1\FURNPL~1\UNWISE.EXE C:\PROGRA~1\FURNPL~1\INSTALL.LOG
HD Tune Pro 3.50-->"C:\Programme\HD Tune Pro\unins000.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ImgBurn-->"C:\Programme\ImgBurn\uninstall.exe"
IsoBuster 2.1-->"C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
jv16 PowerTools 2008-->"C:\Programme\jv16 PowerTools 2008\unins000.exe"
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
MAGIX Foto Manager 2007 (D)-->C:\Programme\MAGIX\Foto_Manager_2007\instslct.exe
MAGIX Music Manager 2006 (D)-->C:\Programme\MAGIX\Music_Manager_2006\instslct.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{527BBE2F-1FED-3D8B-91CB-4DB0F838E69E}
mIRC-->"C:\Programme\mIRC\mirc.exe" -uninstall
Mozilla Firefox (3.5.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mp3tag v2.43-->C:\Programme\Mp3tag\Mp3tagUninstall.EXE
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
NeroLiveGadget-->MsiExec.exe /X{9e9fdde6-2c26-492a-85a0-05646b3f2795}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
NvMixer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D7A6C517-11F2-419F-B5BB-27772B939698}\Setup.exe" -uninstall
Opera 9.62-->MsiExec.exe /X{D9226EB1-C528-48AC-B423-BD9240E1F60B}
PDF Blender-->C:\Programme\PDF Blender\uninstall.exe
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PIXMA Extended Survey Program-->C:\Programme\Canon\IJPLM\SETUP.EXE -R
Prestige 1.0-->"C:\Programme\Vortex Prestige\unins000.exe"
Real Alternative 1.9.0-->"C:\Programme\Real Alternative\unins000.exe"
Roland Garros 2000-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Cryo Interactive\Roland Garros 2000\Uninst.isu"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
SopCast 3.0.3-->C:\Programme\SopCast\uninst.exe
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins001.exe"
TVUPlayer 2.3.2.19-->C:\Programme\TVUPlayer\uninst.exe
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 0.9.9-->C:\Programme\VideoLAN\VLC\uninstall.exe
WD Diagnostics-->MsiExec.exe /X{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}
WD Drive Manager (x86)-->MsiExec.exe /X{E934E2A2-BE3B-4C1A-A3D9-753FFB2B38B4}
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
Xvid 1.1.3 final uninstall-->"C:\Programme\Xvid\unins000.exe"

=====HijackThis Backups=====

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) [2009-07-25]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: Kaspersky Internet Security (disabled)
FW: Kaspersky Internet Security (disabled)

======System event log======

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet.

Record Number: 52962
Source Name: Service Control Manager
Time Written: 20090726195950.000000+120
Event Type: Informationen
User: ***\***

Computer Name: ***
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Record Number: 52961
Source Name: Service Control Manager
Time Written: 20090726195950.000000+120
Event Type: Fehler
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet".

Record Number: 52960
Source Name: Service Control Manager
Time Written: 20090726195950.000000+120
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet.

Record Number: 52959
Source Name: Service Control Manager
Time Written: 20090726195950.000000+120
Event Type: Informationen
User: ***\***

Computer Name: ***
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Record Number: 52958
Source Name: Service Control Manager
Time Written: 20090726195950.000000+120
Event Type: Fehler
User:

=====Application event log=====

Computer Name: ***
Event Code: 1004
Message: Erkennung von Produkt "{90110407-6000-11D3-8CFE-0150048383C9}", Funktion "OfficeUserData" und Komponente "{4A31E933-6F67-11D2-AAA2-00A0C90F57B0}" fehlgeschlagen. Die Ressource "HKEY_CURRENT_USER\Software\ODBC\ODBC.INI\Microsoft Access-Datenbank\" ist nicht vorhanden.

Record Number: 5
Source Name: MsiInstaller
Time Written: 20020101010100.000000+060
Event Type: Warnung
User: ***\***

Computer Name: ***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 4
Source Name: SecurityCenter
Time Written: 20020101010023.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 1
Message:
Record Number: 3
Source Name: Bonjour Service
Time Written: 20020101010020.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 105
Message: The service was started.

Record Number: 2
Source Name: PLFlash DeviceIoControl Service
Time Written: 20020101010020.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 0
Message:
Record Number: 1
Source Name: Nero BackItUp Scheduler 3
Time Written: 20020101010020.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------

Hoffe du kannst etwas damit anfangen.

Ich bin schon gespannt was ich als nächsten Schritt zu tun habe.

Gruß
Kuss80

john.doe · 29.07.2009, 20:53

Das fiese Teil hat sich als Treiber für den abgesicherten Modus eingetragen.

Versuchen wir in mit GMER zu erwischen.

GMER - Rootkit Detection

Lade Trallala von file-upload.net
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Trallala.exe
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

habanero · 30.07.2009, 00:14

Hallo Kuss80,

wenn ich das so lese, kann ich es kaum ertragen. Dieses System ist möglicherweise nie mehr richtig vertrauenswürdig, jedenfalls kann man sich da nicht sooo richtig sicher sein finde ich. Ich möchte dir da nicht reinreden, aber eine Neuaufsetzung des Systems ist im Zweifelsfall der bessere Weg. Naja, es scheint ja so, als ob ihr die Bösewichte erwischt habt.

wünsche noch viel Erfolg bei der Malware jagt

Gruß habanero

Win32Trojan.Tdss - lässt sich nicht entfernen

Plagegeister aller Art und deren Bekämpfung: Win32Trojan.Tdss - lässt sich nicht entfernen