Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Auf Larusso's Einladung hin ....

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 29.07.2009, 21:36   #1
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Hallo Larusso ( und oder andere Helfer )

vorab ein paar Auffälligkeiten nach den ersten Hilfsaktionen

1.Seit diesen Aktionen habe ich auf meinem Desktop einen Verweis zu einem Dateiorder "Backup" , da sind einige kleine Datein drin , Name ist Datum + irgendwelche Zahlenfolgen. Aber das beunruhigt mich noch nicht, aber

2. Seit den Aktionen habe ich, schon bei den verschiedenen Neustarts gestern auch beim Hochfahren heute die Anfrage meiner Firewall "Generic Host Process for WIN 32 möchte als Server fungieren". Habe das bisher immer abgelehnt, sicherheitshalber

3. Die Firewall hat auch heute wieder wegen dieser komischen (vermeintlichen ? )Hewlett-Packard Datei gemeckert. Zugriff habe ich verweigert.

4. Habe mal schnell Google aufgerufen. Änderung der Safesearchstufe hat funktioniert ( das hat es aber seit meinem ersten Posting auch ab und zu , so wie nach Lust und Laune )

5. und das ist etwas komisch. Malwarebytes hing eine ganze Weile auf einem Pfad c.\dolumente und einstellungen\........\temporary internetfiles\content.ie5
Habe das mal überprüft. Ich habe in dem angegebenen Order nur einen Unterordner "Temp" ( damit könnte ich noch leben ) aber darin keinen weiteren Ordner content.ie5. Aber Malwarebytes hat dort schätzungsweise mehrere hundert Datein gescannt. Bin - wie gewohnt - etwas ratlos

Mir kam noch was dazwischen. Logfile aus Malwarebytes kommt hoffentlich gleich, läuft relativ lange ( s.o. )

Alt 29.07.2009, 22:02   #2
Larusso
/// Selecta Jahrusso
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:
Code:
ATTFilter
deine Logfile
         
Läuft MBAM ?


schritt 1

Navigiere zu C:\RSIT und lösche die log.txt und info.txt
Doppelklick auf die RSIT.exe
Poste beide Logfiles
__________________

__________________

Alt 29.07.2009, 22:03   #3
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



so jetzt noch das log file

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2527
Windows 5.1.2600 Service Pack 3

29.07.2009 23:02:21
mbam-log-2009-07-29 (23-02-21).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 167004
Laufzeit: 1 hour(s), 55 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\DivX\divx converter\pS2Xx.ddc (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Patch.cmd (Trojan.Agent) -> Quarantined and deleted successfully.

Jetzt will ich nur noch schlafen , bin müde. Gute Nacht

Eric
__________________

Alt 29.07.2009, 22:06   #4
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



huch eine Minute zu spät

ok RSIT lass ich auch nochmal laufen

und Malwarebytes poste ich dann noch im richtigen Format

aber bitte erst morgen

Alt 30.07.2009, 19:04   #5
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Code:
ATTFilter
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2527
Windows 5.1.2600 Service Pack 3

29.07.2009 23:02:21
mbam-log-2009-07-29 (23-02-21).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 167004
Laufzeit: 1 hour(s), 55 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\DivX\divx converter\pS2Xx.ddc (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Patch.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
         


Alt 30.07.2009, 19:14   #6
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Eric Goerke at 2009-07-30 20:05:51
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 91 GB (77%) free of 117 GB
Total RAM: 511 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:24, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\1189262536\ee\AOLSoftware.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\...\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\...\Desktop\...x.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1189262536\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{296E279C-7B31-4F68-951F-38CD08330ACA}: NameServer = 62.109.123.6 213.191.92.87
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AFDB8-B6E3-47AC-8CEA-D12DCE3CE753}: NameServer = 0.0.0.0
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 5203 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 2200 series#1053626280.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9}]
AOL Toolbar Launcher - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll [2007-03-14 970752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-28 41368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-28 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{DE9C389F-3316-41A7-809B-AA305ED9D922} - AOL Toolbar - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll [2007-03-14 970752]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wizard"= []
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2002-11-19 46592]
"ATIPTA"=C:\ATI-CPanel\atiptaxx.exe [2003-01-16 294912]
"Share-to-Web Namespace Daemon"=C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe [2002-04-11 69632]
"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [2002-07-24 28672]
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"InCD"=C:\Programme\Ahead\InCD\InCD.exe [2003-01-15 1220608]
"AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [2007-06-21 70952]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2005-11-01 98304]
"HostManager"=C:\Programme\Gemeinsame Dateien\AOL\1189262536\ee\AOLSoftware.exe [2006-11-14 50736]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2009-03-31 982408]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-28 148888]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE
officejet 6100.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Virenschutz\AVKPop.exe"="C:\Programme\Virenschutz\AVKPop.exe:*:Enabled:AVK POP3 Server"
"C:\Programme\AOL 9.0\waol.exe"="C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL"
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL"
"C:\Programme\AOL 9.0 VR\waol.exe"="C:\Programme\AOL 9.0 VR\waol.exe:*:Enabled:AOL"
"C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe"="C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe:*:Enabled:AOL TopSpeed"
"C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe"="C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe:*:Enabled:AOL Loader"
"C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe"="C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe:*:Enabled:AOL System Information"
"C:\Programme\Gemeinsame Dateien\aol\1189262536\ee\aolsoftware.exe"="C:\Programme\Gemeinsame Dateien\aol\1189262536\ee\aolsoftware.exe:*:Enabled:AOL Shared Components"
"C:\Programme\AOL 9.0 VRa\waol.exe"="C:\Programme\AOL 9.0 VRa\waol.exe:*:Enabled:AOL"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe"="C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL"
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 3 months======

2009-07-29 20:59:41 ----D---- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Malwarebytes
2009-07-29 20:58:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-29 20:58:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-29 20:25:58 ----D---- C:\Programme\Antimalware
2009-07-28 20:03:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-07-28 19:44:28 ----A---- C:\WINDOWS\system32\javaws.exe
2009-07-28 19:44:28 ----A---- C:\WINDOWS\system32\javaw.exe
2009-07-28 19:44:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-07-28 19:44:27 ----A---- C:\WINDOWS\system32\java.exe
2009-07-28 19:41:33 ----D---- C:\Programme\Java
2009-07-26 21:26:14 ----D---- C:\rsit
2009-07-18 20:57:49 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-16 22:06:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-16 22:00:01 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-11 23:09:22 ----D---- C:\WINDOWS\ie8updates
2009-07-11 10:45:23 ----HDC---- C:\WINDOWS\ie8
2009-06-11 21:39:53 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-06-11 21:37:22 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-06-11 21:30:29 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-06-11 21:22:40 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$

======List of files/folders modified in the last 3 months======

2009-07-30 20:04:41 ----D---- C:\WINDOWS\Internet Logs
2009-07-30 20:01:48 ----D---- C:\WINDOWS\system32\ZoneLabs
2009-07-30 19:50:24 ----A---- C:\rollback.ini
2009-07-30 19:45:33 ----D---- C:\Programme\Mozilla Firefox
2009-07-30 19:42:29 ----A---- C:\WINDOWS\ModemLog_MSP3885-E 56K PCI Modem.txt
2009-07-30 19:42:20 ----D---- C:\WINDOWS\Temp
2009-07-29 23:09:38 ----D---- C:\WINDOWS\system32\drivers
2009-07-29 23:09:01 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-29 22:17:54 ----A---- C:\WINDOWS\win.ini
2009-07-29 20:58:53 ----RD---- C:\Programme
2009-07-29 20:05:10 ----D---- C:\WINDOWS
2009-07-29 20:02:45 ----AD---- C:\WINDOWS\system32
2009-07-28 21:35:25 ----HD---- C:\WINDOWS\inf
2009-07-28 21:35:14 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-28 21:35:11 ----D---- C:\Programme\Internet Explorer
2009-07-28 21:34:11 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-28 21:34:09 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-28 20:37:18 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-07-28 20:22:09 ----D---- C:\Programme\Virenschutz
2009-07-28 20:17:57 ----D---- C:\Programme\0190 Warner präsentiert von AOL
2009-07-28 20:15:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-28 20:15:01 ----D---- C:\WINDOWS\Prefetch
2009-07-28 20:13:56 ----SHD---- C:\WINDOWS\Installer
2009-07-28 20:07:06 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-07-28 20:05:35 ----D---- C:\WINDOWS\WinSxS
2009-07-28 20:00:08 ----D---- C:\Programme\Adobe
2009-07-28 19:25:35 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-28 19:18:19 ----D---- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Adobe
2009-07-28 19:18:18 ----A---- C:\WINDOWS\AcrobatSetupStatus.ini
2009-07-26 16:21:26 ----D---- C:\WINDOWS\system32\Restore
2009-07-19 18:41:10 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-19 15:11:12 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-07-18 20:58:14 ----A---- C:\WINDOWS\imsins.BAK
2009-07-11 11:28:33 ----D---- C:\WINDOWS\system32\de-de
2009-07-11 11:28:31 ----D---- C:\WINDOWS\Media
2009-07-11 11:28:30 ----D---- C:\WINDOWS\Help
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-03 18:55:22 ----A---- C:\WINDOWS\system32\wininet.dll
2009-07-03 18:55:22 ----A---- C:\WINDOWS\system32\occache.dll
2009-07-03 18:55:21 ----A---- C:\WINDOWS\system32\urlmon.dll
2009-07-03 18:55:16 ----A---- C:\WINDOWS\system32\msfeedsbs.dll
2009-07-03 18:55:16 ----A---- C:\WINDOWS\system32\msfeeds.dll
2009-07-03 18:55:15 ----A---- C:\WINDOWS\system32\jsproxy.dll
2009-07-03 18:55:14 ----A---- C:\WINDOWS\system32\iertutil.dll
2009-07-03 18:55:12 ----A---- C:\WINDOWS\system32\iepeers.dll
2009-07-03 18:55:08 ----A---- C:\WINDOWS\system32\iedkcs32.dll
2009-07-03 13:01:06 ----A---- C:\WINDOWS\system32\ie4uinit.exe
2009-06-16 16:36:10 ----A---- C:\WINDOWS\system32\t2embed.dll
2009-06-16 16:36:10 ----A---- C:\WINDOWS\system32\fontsub.dll
2009-06-11 21:26:17 ----D---- C:\WINDOWS\ie7updates
2009-06-03 21:09:37 ----A---- C:\WINDOWS\system32\quartz.dll
2009-05-07 17:32:03 ----A---- C:\WINDOWS\system32\localspl.dll
2009-05-01 22:18:28 ----D---- C:\WINDOWS\system32\wbem
2009-05-01 14:40:56 ----D---- C:\WINDOWS\system32\CatRoot

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2003-05-22 82380]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-03-31 150544]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2009-03-31 353672]
R2 ASCTRM;ASCTRM; C:\WINDOWS\system32\drivers\ASCTRM.sys [2003-11-03 8552]
R2 BsUDF;InCD UDF Driver; C:\WINDOWS\system32\drivers\BsUDF.sys [2003-01-15 468480]
R2 Cnxtdiag;Cnxtdiag; C:\WINDOWS\System32\DRIVERS\cnxtdiag.sys [2001-07-03 17776]
R2 Fallback;Fallback; C:\WINDOWS\System32\DRIVERS\fallback.sys [2001-06-24 308403]
R2 Fsks;Fsks; C:\WINDOWS\System32\DRIVERS\fsksnt.sys [2001-06-24 124189]
R2 K56;K56; C:\WINDOWS\System32\DRIVERS\k56nt.sys [2001-06-24 427215]
R2 MVDCODEC;ATI WDM Specialized MVD Codec; C:\WINDOWS\System32\DRIVERS\atinmdxx.sys [2002-12-03 13824]
R2 SoftFax;SoftFax; C:\WINDOWS\System32\DRIVERS\faxnt.sys [2001-06-24 215195]
R2 Tones;Tones; C:\WINDOWS\System32\DRIVERS\tonesnt.sys [2001-06-24 59375]
R2 V124;V124; C:\WINDOWS\System32\DRIVERS\v124nt.sys [2001-07-16 539917]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2002-11-27 730700]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2002-12-18 546560]
R3 atinrvxx;ATI WDM Rage Theater Video; C:\WINDOWS\System32\DRIVERS\atinrvxx.sys [2002-12-03 101888]
R3 basic2;basic2; C:\WINDOWS\System32\DRIVERS\basic2.sys [2001-07-16 76610]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [2002-02-15 50960]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [2002-03-21 16112]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [2002-03-08 22512]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 Rksample;Rksample; C:\WINDOWS\System32\DRIVERS\rksample.sys [2001-07-15 67222]
R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:\WINDOWS\System32\DRIVERS\R8139n51.SYS [2002-10-04 46976]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-13 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\System32\DRIVERS\wanatw4.sys [2003-04-23 33588]
R3 winachsf;winachsf; C:\WINDOWS\System32\DRIVERS\HSF_CNXT.sys [2001-07-30 585840]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 GDInterceptor;GDInterceptor; \??\C:\WINDOWS\System32\interceptor.sys []
S3 hsf_msft;hsf_msft; C:\WINDOWS\System32\DRIVERS\HSF_MSFT.sys [2001-08-17 542879]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AOL ACS;AOL Connectivity Service; C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2006-10-23 46640]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-28 152984]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2009-03-31 2404232]
R2 WANMiniportService;WAN Miniport (ATW) Service; C:\WINDOWS\wanmpsvc.exe [2003-08-27 65536]
R3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\HPZipm12.exe [2002-03-15 81920]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
         

Alt 30.07.2009, 19:21   #7
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2009-07-30 20:06:31

======Uninstall list======

-->"C:\Programme\AOL\AOL Toolbar 4.0\uninstall.exe"
-->C:\Programme\DivX\ConverterUninstall.exe /CONVERTER
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Ahead InCD-->C:\WINDOWS\NuNInst.exe /UNINSTALL
AIM Installationslink entfernen-->C:\PROGRA~1\GEMEIN~1\aolshare\AIM\UNWISE.EXE /S /A C:\PROGRA~1\GEMEIN~1\aolshare\AIM\INSTALL.LOG
Alice-Installationsdateien entfernen-->C:\Programme\Gemeinsame Dateien\Alice\uninst.exe
AOL Coach Version 1.0(Build:20040229.1 de)-->"C:\Programme\Gemeinsame Dateien\aolshare\Coach\AolCInUn.exe" -lang="de-de"
AOL Deinstallation-->C:\Programme\Gemeinsame Dateien\AOL\uninstaller.exe
AOL Installations-Manager-->C:\Programme\AOL\AOL Installations-Manager\uninst.exe
AOL Instant Messenger (AIM)-->C:\Programme\AIM95\uninstll.exe -LOG= C:\Programme\AIM95\install.log -OEM=
AOL Meine Fotos Bildschirmschoner-->C:\Programme\Gemeinsame Dateien\AOL\Screensaver\uninst_ygpss.exe
Arasan 5.3-->C:\WINDOWS\uninst.exe -f"C:\Programme\Arasan\Arasan 5.3\DeIsL1.isu"  -c"C:\Programme\Arasan\Arasan 5.3\_ISREG32.DLL"
ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter-->C:\Programme\DivX\ConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Google Toolbar for Firefox-->MsiExec.exe /X{2CCBABCB-6427-4A55-B091-49864623C43F}
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Foto- und Bildbearbeitung 1.0 - [PRODUKTSERIE]-->MsiExec.exe /X{82DFB852-9594-4668-9C66-28BB6E94BCB2}
HP Foto und Bildbearbeitung 1.0 - HP PSC - HP OfficeJet-->C:\Programme\Hewlett-Packard\Digital Imaging\AiODriver\Drivers\Uninst\deu\hposcr01.exe -forcereboot -datfile hposcr01.dat
HP Foto- und Bildbearbeitung 1.0 HP PSC - HP OfficeJet Treiber -->MsiExec.exe /X{ED93995E-8BF2-480F-8EA4-7D29E29A7052}
hp psc 2200 series-->rundll32 hpzcon05.dll,VendorJettison hp psc 2200 series
Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}
Learn2 Player (Uninstall Only)-->C:\Programme\Learn2.com\StRunner\stuninst.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft AutoRoute 2002-->MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Encarta Enzyklopädie 2003-->MsiExec.exe /I{03440014-3975-4267-9F39-1DC4745090B7}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2000 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Picture It! Foto 7.0-->MsiExec.exe /I{369B36BE-3D64-4641-9AEA-808D436FE132}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Word 2002-->MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9}
Microsoft Works 2003-Setup-Start-->C:\Programme\Microsoft Works Suite 2003\Setup\Launcher.exe c:\works\
Microsoft Works 7.0 -->MsiExec.exe /I{EDDDC607-91D9-4758-9F57-265FDCD8A772}
Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{7CDBE27D-87EC-434E-AFE4-D0116AE876BB}
Mozilla Firefox (3.0.12)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSP3885-E 56K PCI Modem-->C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_14F1&DEV_2F00&SUBSYS_8D88122D\HxfSETUP.EXE -U -IVEN_14F1&DEV_2F00&SUBSYS_8D88122D
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
Readiris 7.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9BFFB382-0B2C-11D6-AB3E-000102B0F79A}\setup.exe" -l0x7 
RealPlayer Basic-->C:\Programme\Gemeinsame Dateien\Real\Update\\rnuninst.exe RealNetworks|RealPlayer|6.0
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Tetra blocks-->C:\WINDOWS\uninst.exe -f"C:\Programme\Tetra blocks\DeIsL1.isu"  -c"C:\Programme\Tetra blocks\_ISREG32.DLL"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VC 9.0 Runtime-->MsiExec.exe /I{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}
Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
ZoneAlarm Security Suite-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

=====HijackThis Backups=====

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank [2009-07-28]
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe [2009-07-28]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-07-28]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-07-28]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-07-28]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank [2009-07-28]
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe [2009-07-28]
R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file) [2009-07-28]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank [2009-07-28]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-07-28]
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab [2009-07-28]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab [2009-07-28]
O19 - User stylesheet:  (file missing) [2009-07-28]

======Security center information======

AV: ZoneAlarm Security Suite Antivirus
FW: ZoneAlarm Security Suite Firewall

======System event log======

Computer Name: xxx
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "TrueVector Internet Monitor" gesendet.

Record Number: 217047
Source Name: Service Control Manager
Time Written: 20090411105205.000000+120
Event Type: Informationen
User: xxx\xxx

Computer Name: xxx
Event Code: 7034
Message: Dienst "TrueVector Internet Monitor" wurde unerwartet beendet. Dies ist bereits 216 Mal passiert.

Record Number: 217046
Source Name: Service Control Manager
Time Written: 20090411105202.000000+120
Event Type: Fehler
User: 

Computer Name: xxx
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "TrueVector Internet Monitor" gesendet.

Record Number: 217045
Source Name: Service Control Manager
Time Written: 20090411105202.000000+120
Event Type: Informationen
User: xxx\xxx

Computer Name: xxx
Event Code: 7034
Message: Dienst "TrueVector Internet Monitor" wurde unerwartet beendet. Dies ist bereits 215 Mal passiert.

Record Number: 217044
Source Name: Service Control Manager
Time Written: 20090411105159.000000+120
Event Type: Fehler
User: 

Computer Name: xxx
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "TrueVector Internet Monitor" gesendet.

Record Number: 217043
Source Name: Service Control Manager
Time Written: 20090411105158.000000+120
Event Type: Informationen
User: xxx\xxx

=====Application event log=====

Computer Name: xxx
Event Code: 102
Message: wuaueng.dll (3312) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 1292
Source Name: ESENT
Time Written: 20050215192354.000000+060
Event Type: Informationen
User: 

Computer Name: xxx
Event Code: 100
Message: wuauclt (3312) Das Datenbankmodul 5.01.2600.2180 ist gestartet.

Record Number: 1291
Source Name: ESENT
Time Written: 20050215192354.000000+060
Event Type: Informationen
User: 

Computer Name: xxx
Event Code: 101
Message: wuauclt (2376) Das Datenbankmodul wurde beendet.

Record Number: 1290
Source Name: ESENT
Time Written: 20050215182215.000000+060
Event Type: Informationen
User: 

Computer Name: xxx
Event Code: 103
Message: wuaueng.dll (2376) SUS20ClientDataStore: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 1289
Source Name: ESENT
Time Written: 20050215182215.000000+060
Event Type: Informationen
User: 

Computer Name: xxx
Event Code: 302
Message: wuaueng.dll (2376) SUS20ClientDataStore: Das Datenbankmodul hat erfolgreich die Schritte zur Wiederherstellung abgeschlossen.

Record Number: 1288
Source Name: ESENT
Time Written: 20050215181705.000000+060
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\ATI-CPanel
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"tvdumpflags"=8

-----------------EOF-----------------
         

Alt 30.07.2009, 20:26   #8
Larusso
/// Selecta Jahrusso
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Zitat:
2. Seit den Aktionen habe ich, schon bei den verschiedenen Neustarts gestern auch beim Hochfahren heute die Anfrage meiner Firewall "Generic Host Process for WIN 32 möchte als Server fungieren". Habe das bisher immer abgelehnt, sicherheitshalber
Das geht in Ordnung so, kein grund zur Besorgniss.
Definiere einfach eine Standardregel in Deiner Firewall zu "generic host process.

So ist jz auch nichts zu finden.

Zitat:
1.Seit diesen Aktionen habe ich auf meinem Desktop einen Verweis zu einem Dateiorder "Backup" , da sind einige kleine Datein drin , Name ist Datum + irgendwelche Zahlenfolgen. Aber das beunruhigt mich noch nicht, aber
Könntest Du mir sagen, wo genau (Pfad) dieser Ordner liegt.

und bitte noch folgendes:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 30.07.2009, 20:47   #9
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Also der Backup-Ordner liegt

c:\Dokumente und Einstellungen\Name\Desktop

irgendwo habe ich was gelesen dass hijack this ja auch irgendwelche backups erstellt , eine Programmbibliothek ist drin, mit 3,7 MB , der Rest soweit sehr klein

Den Kaspersky-Scanner lade ich dann mal.

Was hat das mit dem Verzeichnis zu bedeuten, in dem Malwarebytes ewig gescannt hat, das ich in dem Pfad gar nicht finde ??

Und Einstellungen speichern in Google ging gestern, heute wieder nicht ( trotz Positivmeldung ) auch nach akzeptieren dieser HP Datei.

Das mit dem Generic Host Process. Heisst das, ich sollte all die Scans nochmal machen nachdem ich das geändert habe ?

Danke vorab und "Pfiati"

Eric

Alt 30.07.2009, 21:01   #10
Larusso
/// Selecta Jahrusso
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Schau ma se moi den BackUp Ordner au

Start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text in das leere Textdokument.
Code:
ATTFilter
cd \
dir "%userprofile%\Desktop\Backup /s /b > "%userprofile%\desktop\file.txt"
notepad "%userprofile%\desktop\file.txt"
         
Datei --> Speichern unter --> iwas.bat (hineinschreiben)
Bei Dateityp bitte alle Dateien auswählen.
Speichere die iwas.bat auf dem Desktop --> doppelklick --> inhalt des file.txt posten

Das Verzeichnis sind temporäre internet Dateien, um das kümmern wir uns noch.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 03.08.2009, 12:56   #11
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Hallo, entschuldigung, dass ich mich so lange nicht meldete, war übers Wochenende nicht da.

Also beides hat, wie zu erwarten, nicht funktioniert. Ich bin scheinbar zu allem zu blöd.

Kaspersky download geht nicht wegen falscher Sicherheitsstufe Internet und/oder fehlenden Administratorrechten. Über Systemsteuerung konnte ich die Sicherheitssturfe nicht ändern. Wenn ich es auf mittel setze und dann überprüfen will, ist sofort wieder mittelhoch drin.
Das ich keine Administratorrechte haben soll, ist mir schleierhaft. Kann ich das überprüfen und ändern ??

Beim Ausführen der iwas.bat Datei öffnet sich nur ein leerer file-Editor und eine cmd.exe. Irgendwo da steht "Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichung ist falsch."

Bin total frustriert und verzweifelt.

Eric

Alt 03.08.2009, 14:03   #12
Larusso
/// Selecta Jahrusso
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



hy
mein fehler
Ist die iwas.bat noch am Desktop?
dann bitte
rechtsklick --> bearbeiten
Lösche den Inhalt und kopiere folgendes hinein.
Code:
ATTFilter
cd \
dir "%userprofile%\Desktop\backup" /s /b > file.txt
notepad file.txt
         

schritt 2

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 03.08.2009, 18:10   #13
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Also nach eine Modifikation meiner Firewall hab ich den Kaspersky nochmal versucht herunterzuladen. Hat funktioniert. Hier das log-file.

Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Montag, 3. August 2009 19:06:23
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken:  3/08/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2335924
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 73901
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:17:19

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\ph	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\variable	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\SNMaster.idx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\WebSchlumpf\mydb.idx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\WebSchlumpf\style.lst	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\WebSchlumpf\toolbar.lst	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\CACHE\webschlum05	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\web schlumpf.abi	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\web schlumpf.aby	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\webschlumpf	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\Apps.Lst	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\art.idx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\sap.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\spool.lst	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\sysnews.lst	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\MailFrontier\ASD.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\IETldCache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\AOL\UserProfiles\All Users\cls\common.cls	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{09850BA7-8034-11DE-841D-00038A000015}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{09850BA8-8034-11DE-841D-00038A000015}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{D159A204-8037-11DE-841D-00038A000015}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\Perflib_Perfdata_90c.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF334B.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF58CF.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6718.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF672F.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF67EC.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6890.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6AB9.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6B87.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6DD.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DFF70E.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Eric Goerke\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\GUARDIAN.ldb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_690.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\ZLT0755b.TMP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

Alt 03.08.2009, 18:15   #14
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



und das mit dem Ordner funktioniert natürlich auch , wenn ich meinen Fehler ausbügle ( Ordner heißt "backups" und nicht backup, hatte ich die ganze Zeit falsch geschrieben). Zusammen mit deiner Änderung läuft das, und log-file sieht so aus.

Code:
ATTFilter
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203714-261
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-442
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-531
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-563
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-740
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-751
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-753
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-760
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-830
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-926
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-930
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-930.dll
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-930.inf
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-243
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-243.dll
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-243.inf
C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-512
         

Alt 03.08.2009, 18:35   #15
PC Schlumpf
 
Auf Larusso's Einladung hin .... - Standard

Auf Larusso's Einladung hin ....



Code:
ATTFilter
GMER 1.0.15.15011 [8nm2pkw4.exe] - http://www.gmer.net
Rootkit scan 2009-08-03 19:26:03
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \Driver\Tcpip \Device\Ip     vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Tcp    vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\Udp    vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\Tcpip \Device\RawIp  vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- EOF - GMER 1.0.15 ----
         
so, die roten GMER habe ich auch laufen lassen, ging ja recht schnell.

Check Point Software ist ja der Hersteller von Zonealarm. Na das glaube ich jetzt aber weniger, dass die mit ihrem Produkt auch gleich noch Malware verhöckern ( damit das System was zu tun hat, regelmäßig anschlägt und damit der User vom Nutzen des Produktes ständig überzeugt wird ? ).

Verwirrt und ungläubig

Eric

Antwort

Themen zu Auf Larusso's Einladung hin ....
desktop, einstellungen, files, firewall, folge, frage, funktioniert, generic, generic host, generic host process, google, heute, hochfahren, kleine, komische, leben, logfile, malwarebytes, process, ratlos, relativ, schnell, server, temporary, verschiedene, win, win 32, zugriff





Zum Thema Auf Larusso's Einladung hin .... - Hallo Larusso ( und oder andere Helfer ) vorab ein paar Auffälligkeiten nach den ersten Hilfsaktionen 1.Seit diesen Aktionen habe ich auf meinem Desktop einen Verweis zu einem Dateiorder "Backup" - Auf Larusso's Einladung hin .......
Archiv
Du betrachtest: Auf Larusso's Einladung hin .... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.