Worm.Win32.Pinit.gen ??

studentin11 · 02.08.2009, 02:58

DelfInject.gen!AA oder Worm.Win32.Pinit.gen oder sowas machen mir seit eben Ärger!!!
Generiert jedenfalls irgendwelche test1.exe und q7.exe, verknüpft googleseiten falsch, antivir stürzt ab
ICh hab bisher nichts gutes gelesen bis jetzt- komme aber leider nicht weiter udn hab auch so kaum Ahnung . Hier mein Hijack-logfile
Bitte bitte helft mir.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:06:33, on 02.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\msa.exe
D:\Programme\QuickTime\QTTask.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\DOKUME~1\***\LOKALE~1\Temp\b.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - D:\WINDOWS\system32\msxml71.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kopie von KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [net] "D:\WINDOWS\system32\net.net"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [odby] D:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [netc] D:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [lsass] D:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKLM\..\Run: [15535004] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15535004\15535004.exe
O4 - HKLM\..\Run: [amoumain] D:\WINDOWS\amoumain.exe
O4 - HKLM\..\Run: [netw] D:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [wdmon] D:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netx] D:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [vlc] D:\WINDOWS\vlc.exe
O4 - HKLM\..\Run: [servicelayer] D:\WINDOWS\servicelayer.exe
O4 - HKLM\..\Run: [ctfmon] D:\WINDOWS\ctfmon.exe
O4 - HKLM\..\RunServices: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "D:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [PMCLoader] D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKCU\..\Run: [Monopod] D:\DOKUME~1\Rena\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKCU\..\RunServices: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Streaming Server.lnk = D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9fc0dee6b6f84) (gupdate1c9fc0dee6b6f84) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7308 bytes

Larusso · 02.08.2009, 03:20

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code:

ATTFilter

deine Logfile

schritt 1

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code:

ATTFilter

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15535004\15535004.exe

Also gehe wie hier beschrieben vor:

Öffne diese Webseite: virustotal
Klicke auf "Durchsuchen"
Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
"Senden der Datei"
Warte, bis der Scandurchlauf aller Virenscanner beendet ist
Auf "Filter" klicken
dann auf "Ergebnisse"
das Ergebnis (wie Du es bekommst )
komplett markieren und hier rein kopieren

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

schritt 2

Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
Starte deinen Rechner neu auf, in den abgesicherten Modus (Tipps & Tricks: TIPP 4).
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn.

schritt 3

Wende bitte Malwarebytes nach Anleitung an.

schritt 4

Lade Random's System Information Tool (RSIT) herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 5

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

studentin11 · 02.08.2009, 11:18

HI, heute morgen geht nur noch der internet Explorer. Und auch der will immer abbrechen. Andere SOftware, darunter auch Hijackmeldet mein pc als infected und will mir windows security software verkaufen.
Ich würde ja alles abarbeiten..
SInd eigentlich alle Partitionen befallen wenn man soviel würmer und spyware hat (nach windows security check hab ich 38!! Würmer, trojaner und Spyware). Ich bin jetzt sehr verunsichert.

studentin11 · 02.08.2009, 11:42

hm ich kann zwar den log nicht mehr öffnen von gestern aber überprüfen ging noch. "Ergebnisse hab ich nicht gefunden zum klicken. Ist das hier richtig?

Code:

ATTFilter

Datei hijackthis.log empfangen 2009.08.02 10:42:59 (UTC)Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.24 2009.08.02 - 
AhnLab-V3 5.0.0.2 2009.08.01 - 
AntiVir 7.9.0.238 2009.07.31 - 
Antiy-AVL 2.0.3.7 2009.07.31 - 
Authentium 5.1.2.4 2009.08.01 - 
Avast 4.8.1335.0 2009.08.01 - 
AVG 8.5.0.406 2009.08.02 - 
BitDefender 7.2 2009.08.02 - 
CAT-QuickHeal 10.00 2009.07.30 - 
ClamAV 0.94.1 2009.08.02 - 
Comodo 1838 2009.08.02 - 
DrWeb 5.0.0.12182 2009.08.02 - 
eSafe 7.0.17.0 2009.07.30 - 
eTrust-Vet 31.6.6650 2009.08.01 - 
F-Prot 4.4.4.56 2009.08.01 - 
F-Secure 8.0.14470.0 2009.08.01 - 
Fortinet 3.120.0.0 2009.08.02 - 
GData 19 2009.08.02 - 
Ikarus T3.1.1.64.0 2009.08.02 - 
Jiangmin 11.0.800 2009.08.02 - 
K7AntiVirus 7.10.808 2009.08.01 - 
Kaspersky 7.0.0.125 2009.08.02 - 
McAfee 5695 2009.08.01 - 
McAfee+Artemis 5695 2009.08.01 - 
McAfee-GW-Edition 6.8.5 2009.08.02 - 
Microsoft 1.4903 2009.08.02 - 
NOD32 4298 2009.08.02 - 
Norman 6.01.09 2009.07.31 - 
nProtect 2009.1.8.0 2009.08.02 - 
Panda 10.0.0.14 2009.08.02 - 
PCTools 4.4.2.0 2009.08.01 - 
Prevx 3.0 2009.08.02 - 
Rising 21.40.44.00 2009.07.31 - 
Sophos 4.44.0 2009.08.02 - 
Sunbelt 3.2.1858.2 2009.08.02 - 
Symantec 1.4.4.12 2009.08.02 - 
TheHacker 6.3.4.3.375 2009.08.01 - 
TrendMicro 8.950.0.1094 2009.07.31 - 
VBA32 3.12.10.9 2009.08.02 - 
ViRobot 2009.7.31.1863 2009.07.31 - 
VirusBuster 4.6.5.0 2009.07.31 - 
 
weitere Informationen 
File size: 7309 bytes 
MD5...: 08510323ccdb59e7087ec35b50c37f06 
SHA1..: a7e20734c2e0913dd70538f0140b98b06f9ae448 
SHA256: 23834175ab2d7b2cd20ad9b2f41a446e0206b7ac5f232f884b513f078630c3c6 
ssdeep: 96:EQCEJw4Wjug5QVtj6pDL4TCT13YK/9JeYFFCZ/iYE/pdeX:18pDfuyu41CX<BR> 
PEiD..: - 
TrID..: File type identification<BR>HijackThis logfile (100.0%) 
PEInfo: - 
PDFiD.: - 
RDS...: NSRL Reference Data Set<BR>- 
 
Antivirus;Version;letzte aktualisierung;Ergebnis
a-squared;4.5.0.24;2009.08.02;-
AhnLab-V3;5.0.0.2;2009.08.01;-
AntiVir;7.9.0.238;2009.07.31;-
Antiy-AVL;2.0.3.7;2009.07.31;-
Authentium;5.1.2.4;2009.08.01;-
Avast;4.8.1335.0;2009.08.01;-
AVG;8.5.0.406;2009.08.02;-
BitDefender;7.2;2009.08.02;-
CAT-QuickHeal;10.00;2009.07.30;-
ClamAV;0.94.1;2009.08.02;-
Comodo;1838;2009.08.02;-
DrWeb;5.0.0.12182;2009.08.02;-
eSafe;7.0.17.0;2009.07.30;-
eTrust-Vet;31.6.6650;2009.08.01;-
F-Prot;4.4.4.56;2009.08.01;-
F-Secure;8.0.14470.0;2009.08.01;-
Fortinet;3.120.0.0;2009.08.02;-
GData;19;2009.08.02;-
Ikarus;T3.1.1.64.0;2009.08.02;-
Jiangmin;11.0.800;2009.08.02;-
K7AntiVirus;7.10.808;2009.08.01;-
Kaspersky;7.0.0.125;2009.08.02;-
McAfee;5695;2009.08.01;-
McAfee+Artemis;5695;2009.08.01;-
McAfee-GW-Edition;6.8.5;2009.08.02;-
Microsoft;1.4903;2009.08.02;-
NOD32;4298;2009.08.02;-
Norman;6.01.09;2009.07.31;-
nProtect;2009.1.8.0;2009.08.02;-
Panda;10.0.0.14;2009.08.02;-
PCTools;4.4.2.0;2009.08.01;-
Prevx;3.0;2009.08.02;-
Rising;21.40.44.00;2009.07.31;-
Sophos;4.44.0;2009.08.02;-
Sunbelt;3.2.1858.2;2009.08.02;-
Symantec;1.4.4.12;2009.08.02;-
TheHacker;6.3.4.3.375;2009.08.01;-
TrendMicro;8.950.0.1094;2009.07.31;-
VBA32;3.12.10.9;2009.08.02;-
ViRobot;2009.7.31.1863;2009.07.31;-
VirusBuster;4.6.5.0;2009.07.31;-

weitere Informationen
File size: 7309 bytes
MD5...: 08510323ccdb59e7087ec35b50c37f06
SHA1..: a7e20734c2e0913dd70538f0140b98b06f9ae448
SHA256: 23834175ab2d7b2cd20ad9b2f41a446e0206b7ac5f232f884b513f078630c3c6
ssdeep: 96:EQCEJw4Wjug5QVtj6pDL4TCT13YK/9JeYFFCZ/iYE/pdeX:18pDfuyu41CX<BR>
PEiD..: -
TrID..: File type identification<BR>HijackThis logfile (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-

Allerdings war gestern alles noch gängiger- erst heute hab ich Alarm auf dem WIndowshintergrund "Your PC is infected.." und ständige Warnungen.
GErade: System has detected potential hazard (TrojanSPM/LX) on your computer

Angel21 · 02.08.2009, 11:55

Hallo,

Sorry fürs Einmischen, Larusso.

@studentin11 Ich würde dir ein Neuaufsetzen deines PCs anraten, dein Computer ist so tiefgreifend infiziert, dass man da tagelang dran sitzt um es zu bereinigen.

Ich kann dir den Hilfelink geben: http://www.trojaner-board.de/51262-a...sicherung.html

Du solltest deine Passwörter sicherheitshalber nach dem neuaufsetzen ändern.

Keine Angst, in Panik geraten ist nicht gut, gehe alles durch, notiere dir alles.
Bleib ganz ruhig, das kriegen wir schon hin

MfG

Larusso · 02.08.2009, 12:47

Angel, wenn Du schon reinpostest, darfst Du auch fertig machen

ich bin raus

@studentin

du hast die Datei hijackthis.log empfangen 2009.08.02 10:42:59 hochgeladen, und nicht die Datei was ich sehen wollte, sonst hat alles gepasst

Und die Software was man Dir da verkaufen will ist ne Fake Software

Mit 38 Würmern usw wäre Dein Rechner im A

studentin11 · 03.08.2009, 18:24

Ah jetzt kapier ich!! Ja die exe datei hat ja siogar das logo vom windows security warning--
kann ichs jetzt eigentlich reparieren oder muß ich das zum laden bringen. Ich hab gehört wenn man windows neu aufsetzt, ist der wurm trotzdem irgendwo im motherboard registriert.

also hier erstmal der scan von der richtigen datei:

Code:

ATTFilter

Datei 15535004.exe empfangen 2009.08.03 17:28:31 (UTC)Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.24 2009.08.03 Trojan.Win32.Winwebsec!IK 
AhnLab-V3 5.0.0.2 2009.08.03 - 
AntiVir 7.9.0.240 2009.08.03 - 
Antiy-AVL 2.0.3.7 2009.08.03 - 
Authentium 5.1.2.4 2009.08.03 - 
Avast 4.8.1335.0 2009.08.03 Win32:Fraudo 
AVG 8.5.0.406 2009.08.03 - 
BitDefender 7.2 2009.08.03 Trojan.FakeAv.OR 
CAT-QuickHeal 10.00 2009.08.03 (Suspicious) - DNAScan 
ClamAV 0.94.1 2009.08.03 - 
Comodo 1852 2009.08.03 TrojWare.Win32.FraudTool.Agent.~IPX 
DrWeb 5.0.0.12182 2009.08.03 - 
eSafe 7.0.17.0 2009.08.03 - 
eTrust-Vet 31.6.6655 2009.08.03 Win32/FakeShield_i 
F-Prot 4.4.4.56 2009.08.02 - 
F-Secure 8.0.14470.0 2009.08.03 - 
Fortinet 3.120.0.0 2009.08.03 - 
GData 19 2009.08.03 Trojan.FakeAv.OR 
Ikarus T3.1.1.64.0 2009.08.03 Trojan.Win32.Winwebsec 
Jiangmin 11.0.800 2009.08.03 - 
K7AntiVirus 7.10.809 2009.08.03 - 
Kaspersky 7.0.0.125 2009.08.03 - 
McAfee 5697 2009.08.03 FakeAlert-DZ 
McAfee+Artemis 5697 2009.08.03 FakeAlert-DZ 
McAfee-GW-Edition 6.8.5 2009.08.03 - 
Microsoft 1.4903 2009.08.03 Trojan:Win32/Winwebsec 
NOD32 4302 2009.08.03 a variant of Win32/Kryptik.AAL 
Norman 6.01.09 2009.08.03 W32/FakeAV.E!genr 
nProtect 2009.1.8.0 2009.08.03 - 
Panda 10.0.0.14 2009.08.03 Trj/CI.A 
PCTools 4.4.2.0 2009.08.03 - 
Prevx 3.0 2009.08.03 - 
Rising 21.41.02.00 2009.08.03 - 
Sophos 4.44.0 2009.08.03 Mal/FakeAV-AD 
Sunbelt 3.2.1858.2 2009.08.03 FraudTool.Win32.RogueSecurity (v) 
Symantec 1.4.4.12 2009.08.03 Packed.Generic.233 
TheHacker 6.3.4.3.375 2009.08.01 - 
TrendMicro 8.950.0.1094 2009.08.03 Cryp_FakeAV-17 
VBA32 3.12.10.9 2009.08.03 - 
ViRobot 2009.8.3.1865 2009.08.03 - 
VirusBuster 4.6.5.0 2009.08.03 - 
 
weitere Informationen 
File size: 652370 bytes 
MD5...: 713db4b7fa2c93eccf4cd823a86f624d 
SHA1..: 31da566024188e323f2a27b7c8c30f6029a30b1f 
SHA256: 925e37b7188957e81ee632ead3c008ae8979927403238ebb947e4d248b2ec195 
ssdeep: 12288:kvfVPjvfenclzumi1/NdIIs0IuDMLxZ/Azfeho7uiZ01tfzNG+nNw4Qyyw<BR>/g357Y:Afeclzumi7dRsD/smeP0zNtNw4Q1w4eN<BR> 
PEiD..: - 
TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x10b4<BR>timedatestamp.....: 0x26f6cb (Fri Jan 30 13:19:07 1970)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x162da 0x16400 7.93 512a3ea73752a261667bd7f7765e2fb0<BR>.rdata 0x18000 0x3e6 0x400 4.61 5932cafa57f5b579ed8e0924b76a31e3<BR>.data 0x19000 0x146db1 0x84c00 7.91 d8109cc86f120356873168a439f183bc<BR>.rsrc 0x160000 0x3be8 0x3c00 5.93 3df02155e61a973c0c6c6239b0fbc79f<BR><BR>( 5 imports ) <BR>&gt; KERNEL32.DLL: VirtualAlloc, DeleteCriticalSection, GetStartupInfoA, DisableThreadLibraryCalls, SetStdHandle, GetStdHandle, VirtualProtect, GetEnvironmentStrings, GetACP, GetModuleHandleA, SetConsoleCP, GetOEMCP, LCMapStringA, ExitProcess, FlushInstructionCache, SetCurrentDirectoryA, CloseHandle, InterlockedDecrement, SetUnhandledExceptionFilter, QueryPerformanceCounter, TlsSetValue, HeapAlloc, WriteFile<BR>&gt; USER32.DLL: SetTimer, SendDlgItemMessageW, PeekMessageW<BR>&gt; ADVAPI32.DLL: CryptReleaseContext<BR>&gt; GDI32.DLL: GetObjectW, GetDIBits<BR>&gt; MSVCRT.DLL: wcschr<BR><BR>( 0 exports ) <BR> 
PDFiD.: - 
RDS...: NSRL Reference Data Set<BR>-

Angel21 · 03.08.2009, 19:08

Zitat:

Ich hab gehört wenn man windows neu aufsetzt, ist der wurm trotzdem irgendwo im motherboard registriert.

Völliger Unfug, wer erzählt Leuten bloß so einen Schrott?

Keine Angst er bleibt nirgends hängen, setz am besten neu auf, beim Neuaufsetzen wird dei FP komplett neugeschrieben.

Da kann dir am wenigsten passieren

studentin11 · 03.08.2009, 19:52

Okay , danke für dei Hilfe.
Ich hätte noch 3 Fragen:
1.) kann ich den jetzt übergangsweise etwas tun? zb diese komische security exe löschen?
2.) Wie böse ist denn meine Infektion? Ich meine, hab ich kritisches daß meine Daten raubt? Kann ich noch email browsen oder ist das allein schon verhängnisvoll in irgendeiner Weise?
3.) Muß ich alle Partitionen neu aufsetzen? Kann ich einen ecternal hard drive dranmachen, um meine Dateien zu speichern ohne daß sie sich infiziert?

Angel21 · 03.08.2009, 20:03

Zitat:

1.) kann ich den jetzt übergangsweise etwas tun?

Setz so schnell es geht neu auf. Wieso erkläre ich jetzt.

Zitat:

2.) Wie böse ist denn meine Infektion? Ich meine, hab ich kritisches daß meine Daten raubt? Kann ich noch email browsen oder ist das allein schon verhängnisvoll in irgendeiner Weise?

Du hast einen Keylogger drauf, mehrere Backdoor-Varianten udn höchstwahrscheinlich ein File Infector.
Der Keylogger kann all deine Passwörter etc. mitschneiden (alle Tastatureingaben) und abspeichern und einem Fremden zum Zugriff geben.
Der Backdoor verleit dem Unbefugten einen Remote-Zugriff. Er kann deinen PC Fernseteuern wie er möchte.

Der File Infector - den du aller Wahrscheinlichkeit nach auch hast infiziert exe Datein.

Zitat:

3.) Muß ich alle Partitionen neu aufsetzen?

Langt eigentlich nur C, aber wenn du sicher gehen willst dann tu alles platt machen ohne Gnade.

Zitat:

Kann ich einen ecternal hard drive dranmachen, um meine Dateien zu speichern ohne daß sie sich infiziert?

Bitte immer nur per SHIFT taste gedrückt anstecken dranmachen. Das verhindert den Autostart.

studentin11 · 06.08.2009, 15:48

ich hab immernoch keine WindowsCD und auch meine Daten noch nicht gesichert.. an die Hardwareinformation komm ich auch gar nicht weil das eine exe datei ist udn die ja nicht mehr funktionieren.
Ich denke ich kann aber alle Treiber im Netzt finden?!?

Jedenfalls wollte ich für die Übergangszeit wenigstens tun was geht ( schließlich stürzt der rechner alle 10min ab) und die Anweisungen von Laruso befolgen.
Ich bin bis Schritt 2gekommen:

Zitat:

Gib ein Y ein, um den Reinigungsprozess zu beginnen.

nur dann passiert nichts mehr. ich fürchte das stürzt also auch ab. einen report oder nafrage auf neustart erhalte ichnicht.
Kann ich da etwas machen, kann ich nicht ienen teil entfernen?

Wie komme ich jetzt anmeine Hardwareinformationenn?

john.doe · 06.08.2009, 17:26

Hallo,

dann übernehme ich.

1.) http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

studentin11 · 06.08.2009, 18:53

hier die info.txt - zeichen waren zu lang ich hab 20 Zeilen gelöscht (die sich wiederholen: AV: Avira AntiVir PersonalEdition Classic)

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-08-06 19:33:07

======Uninstall list======

-->D:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 Plugin-->D:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->D:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Flash Player ActiveX-->D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0-->D:\WINDOWS\ISUN0407.EXE -f"D:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"D:\Programme\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Shockwave Player-->D:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE D:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Advertisement Service-->D:\WINDOWS\system32\net.net Uninstall
AFPL Ghostscript 8.53-->d:\programme\ghostgum\gs\uninstgs.exe "d:\programme\ghostgum\gs\gs8.53\uninstal.txt"
AFPL Ghostscript Fonts-->d:\programme\ghostgum\gs\uninstgs.exe "d:\programme\ghostgum\gs\fonts\uninstal.txt"
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Software Uninstall Utility-->D:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x3f3f 
ATI Display Driver-->rundll32 D:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AutostartAdministrator 2.0-->"D:\Programme\AutostartAdministrator\AutostartAdministrator.exe" /uninstall
Avira AntiVir Personal - Free Antivirus-->D:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"
DeepBurner v1.8.0.224-->"D:\Programme\Astonsoft\DeepBurner\Uninstall.exe" "D:\Programme\Astonsoft\DeepBurner\install.log"
Die Sims 2: Nightlife-->F:\Programme\EA GAMES\Die Sims 2 Nightlife\EAUninstall.exe
Die Sims 2: Wilde Campus-Jahre-->F:\Programme\EA GAMES\Die Sims 2 Wilde Campus-Jahre\EAUninstall.exe
Die Sims 2-->F:\Programme\EA GAMES\Die Sims 2\EAUninstall.exe
DivX Codec-->D:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->D:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->D:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->D:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->D:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EA Download Manager-->D:\Programme\Electronic Arts\EADM\Uninstall.exe
Google Chrome-->"D:\Programme\Google\Chrome\Application\2.0.172.39\Installer\setup.exe" --uninstall --system-level
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->"D:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
GSview 4.8-->D:\Programme\Ghostgum\gsview\uninstgs.exe "D:\Programme\Ghostgum\gsview\uninstal.txt"
HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"D:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"D:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
MediaMonkey 3.1-->"D:\Programme\MediaMonkey\unins000.exe"
Microsoft .NET Framework 2.0 Language Pack - DEU-->D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0-->D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"D:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"D:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"D:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.1)-->D:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MyPhoneExplorer-->D:\Programme\MyPhoneExplorer\uninstall.exe
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
Norton Security Scan (Symantec Corporation)-->"D:\Programme\Gemeinsame Dateien\Symantec Shared\NSSSetup\{B0D70EC6-E1CF-4EC3-BE09-FA75470D3902}_2_0_0\NSSSetup.exe" /X
Norton Security Scan-->MsiExec.exe /X{B0D70EC6-E1CF-4EC3-BE09-FA75470D3902}
Paint.NET v3.35-->MsiExec.exe /X{20AC583C-A6FB-410A-807D-25308225C201}
phase5-->"D:\Programme\phase5\uninstall.exe"
Pinnacle DistanTV Server-->MsiExec.exe /X{7C7AC2D4-1077-45C8-826A-16445B5E0DB7}
Pinnacle TVCenter Pro-->"D:\Programme\InstallShield Installation Information\{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA}\Setup.exe"UNINSTALL /l0x0407 -removeonly
PowerDVD-->D:\WINDOWS\IsUn0407.exe -fD:\Programme\CyberLink\PowerDVD\Uninst.isu
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
Real Alternative 1.9.0-->"D:\Programme\Real Alternative\unins000.exe"
SAMSUNG Mobile Composite Device Software-->D:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe
SAMSUNG Mobile Modem Driver Set-->D:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
Samsung Mobile phone USB driver Software-->D:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->D:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->D:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung PC Studio 3-->"D:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x0007 -removeonly
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
SpaceMonger 2.1.1-->D:\Programme\SpaceMonger\unins000.exe
SpyHunter-->"D:\Programme\Enigma Software Group\SpyHunter\Uninstall.exe" "D:\Programme\Enigma Software Group\SpyHunter\install.log" -u
Supreme Auction-->"D:\Programme\Supreme Auction\unins000.exe"
SystemSecurity2009-->D:\Dokumente und Einstellungen\Rena\Startmenü\Programme\System Security\\System Security
TeamSpeak 2 RC2-->D:\Programme\Teamspeak2_RC2\unins000.exe
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.1-->D:\Programme\VideoLAN\VLC\uninstall.exe
Windows Imaging Component-->"D:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"D:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"D:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"D:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"D:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891220-->D:\WINDOWS\$NtUninstallKB891220$\spuninst\spuninst.exe
Windows-Treiberpaket - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)-->D:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u D:\WINDOWS\system32\DRVSTORE\shpacm_18A9B92ED8DEDC602E49E767FA4BE98A30525207\shpacm.inf
Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)-->D:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u D:\WINDOWS\system32\DRVSTORE\shpusb_558D416BCEB984F35885804D3E1A9C3773F1B17C\shpusb.inf
WinRAR-->D:\Programme\WinRAR\uninstall.exe
World of Warcraft-->D:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
XnView 1.95.4-->"D:\Programme\XnView\unins000.exe"

======Security center information======

AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic (disabled)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic (disabled)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic (disabled)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: AntiVir Desktop (disabled) (outdated)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic (disabled)
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic
AV: Avira AntiVir PersonalEdition Classic

======System event log======

Computer Name: DANIELA
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Google Software Updater" gesendet.

Record Number: 56849
Source Name: Service Control Manager
Time Written: 20090730213327.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: DANIELA
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet".

Record Number: 56848
Source Name: Service Control Manager
Time Written: 20090730203711.000000+120
Event Type: Informationen
User: 

Computer Name: DANIELA
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Ausgeführt".

Record Number: 56847
Source Name: Service Control Manager
Time Written: 20090730203600.000000+120
Event Type: Informationen
User: 

Computer Name: DANIELA
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Google Software Updater" gesendet.

Record Number: 56846
Source Name: Service Control Manager
Time Written: 20090730203600.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: DANIELA
Event Code: 4226
Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Record Number: 56845
Source Name: Tcpip
Time Written: 20090730195605.000000+120
Event Type: Warnung
User: 

=====Application event log=====

Computer Name: DANIELA
Event Code: 11728
Message: Produkt: Bonjour -- Die Konfiguration wurde erfolgreich abgeschlossen.

Record Number: 4754
Source Name: MsiInstaller
Time Written: 20081108153852.000000+060
Event Type: Informationen
User: DANIELA\Rena

Computer Name: DANIELA
Event Code: 11707
Message: Produkt: QuickTime -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 4753
Source Name: MsiInstaller
Time Written: 20081108153841.000000+060
Event Type: Informationen
User: DANIELA\Rena

Computer Name: DANIELA
Event Code: 1005
Message: Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "Apple Mobile Device Support" fortzusetzen bzw. abzuschließen.

Record Number: 4752
Source Name: MsiInstaller
Time Written: 20081108153340.000000+060
Event Type: Informationen
User: DANIELA\Rena

Computer Name: DANIELA
Event Code: 11707
Message: Produkt: Apple Mobile Device Support -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 4751
Source Name: MsiInstaller
Time Written: 20081108153340.000000+060
Event Type: Informationen
User: DANIELA\Rena

Computer Name: DANIELA
Event Code: 1025
Message: Produkt: Apple Mobile Device Support. Die Datei D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\iTunesMobileDevice.dll wird von folgendem Prozess verwendet: iTunes, Kennung 3956.

Record Number: 4750
Source Name: MsiInstaller
Time Written: 20081108152910.000000+060
Event Type: Informationen
User: DANIELA\Rena

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=D:\texmf\miktex\bin;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;D:\Programme\QuickTime\QTSystem\;D:\Programme\ATI Technologies\ATI.ACE\Core-Static;D:\Programme\Samsung\Samsung PC Studio 3\;D:\Programme\Gemeinsame Dateien\DivX Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;D:\Programme\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=D:\Programme\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

studentin11 · 06.08.2009, 18:55

hier die log.txt.

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Rena at 2009-08-06 19:32:59
Microsoft Windows XP Professional Service Pack 2
System drive D: has 213 MB (1%) free of 15 GB
Total RAM: 767 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:05, on 06.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\WINDOWS\odb.exe
D:\WINDOWS\lsass.exe
D:\WINDOWS\wdmon.exe
D:\WINDOWS\vlc.exe
D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
D:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Dokumente und Einstellungen\Rena\Desktop\RSIT.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\vs7jit.exe
D:\Programme\Trend Micro\HijackThis\Rena.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - D:\WINDOWS\system32\msxml71.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kopie von KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [net] "D:\WINDOWS\system32\net.net"
O4 - HKLM\..\Run: [odby] D:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [lsass] D:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [wdmon] D:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [vlc] D:\WINDOWS\vlc.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SpyHunter Security Suite] D:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9fc0dee6b6f84) (gupdate1c9fc0dee6b6f84) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6412 bytes

======Scheduled tasks folder======

D:\WINDOWS\tasks\AppleSoftwareUpdate.job
D:\WINDOWS\tasks\Google Software Updater.job
D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
D:\WINDOWS\tasks\Norton Security Scan for Rena.job
D:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}]
XML Class - D:\WINDOWS\system32\msxml71.dll [2009-08-02 202756]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - D:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll [2009-06-24 669168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=D:\WINDOWS\system32\dumprep 0 -k []
"Adobe Reader Speed Launcher"=D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"Kopie von KernelFaultCheck"=D:\WINDOWS\system32\dumprep 0 -k []
"StartCCC"=D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-08-29 61440]
"SunJavaUpdateSched"=D:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"net"=D:\WINDOWS\system32\net.net [2009-08-02 36864]
"odby"=D:\WINDOWS\odb.exe [2009-08-02 234496]
"lsass"=D:\WINDOWS\lsass.exe [2009-08-02 282624]
"wdmon"=D:\WINDOWS\wdmon.exe [2009-08-02 234496]
"vlc"=D:\WINDOWS\vlc.exe [2009-08-02 234496]
"MSConfig"=D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2002-12-31 160768]
"SpyHunter Security Suite"=D:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe [2009-04-02 868352]
"QuickTime Task"=D:\Programme\QuickTime\qttask.exe [2008-11-04 413696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=D:\WINDOWS\system32\ctfmon.exe [2002-12-31 15360]
"swg"=D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-05-31 68856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\15535004]
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15535004\15535004 [2009-08-06 56]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amoumain]
D:\WINDOWS\amoumain.exe [2009-08-02 283648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
D:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon]
D:\WINDOWS\ctfmon.exe [2009-08-02 281600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
D:\WINDOWS\system32\ctfmon.exe [2002-12-31 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
D:\Programme\Electronic Arts\EADM\Core.exe [2009-04-29 3338240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monopod]
D:\DOKUME~1\Rena\LOKALE~1\Temp\b.exe [2009-08-02 138752]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
D:\WINDOWS\system32\NeroCheck.exe [2001-06-12 151552]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netc]
D:\WINDOWS\svc.exe [2009-08-02 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netw]
D:\WINDOWS\svw.exe [2009-08-02 234496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\netx]
D:\WINDOWS\svx.exe [2009-08-02 234496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMCLoader]
D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe [2008-06-23 644368]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMCRemote]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\servicelayer]
D:\WINDOWS\servicelayer.exe [2009-08-02 283648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-05-31 68856]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateWin]
D:\WINDOWS\system32\actskn45d.exe [2009-08-02 43008]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Pinnacle Streaming Server.lnk]
D:\PROGRA~1\Pinnacle\SHARED~1\Programs\STRMSE~1\STRMSE~1.EXE [2008-03-25 603408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3
"helpsvc"=2

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
D:\WINDOWS\system32\Ati2evxx.dll [2008-10-29 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=FF000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\Programme\Wolfenstein - Enemy Territory\ET.exe"="F:\Programme\Wolfenstein - Enemy Territory\ET.exe:*:Enabled:ET"
"D:\Programme\Trillian\trillian.exe"="D:\Programme\Trillian\trillian.exe:*:Enabled:Trillian"
"C:\torrent\BitTorrent++\BT++.exe"="C:\torrent\BitTorrent++\BT++.exe:*:Enabled:BT++"
"D:\Programme\Real\RealPlayer\realplay.exe"="D:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"D:\Programme\Sony Ericsson\Update Service\ma3platform.exe"="D:\Programme\Sony Ericsson\Update Service\ma3platform.exe:*:Enabled:ma3platform"
"D:\Programme\BitTorrent\bittorrent.exe"="D:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\Programme\GSC World Publishing\S.T.A.L.K.E.R. Ìóëüòèïëååð\bin\XR_3DA.exe"="C:\Programme\GSC World Publishing\S.T.A.L.K.E.R. Ìóëüòèïëååð\bin\XR_3DA.exe:*:Enabled:XR_3DA"
"C:\Programme\Valve\Steam\SteamApps\_stakka_\counter-strike source\hl2.exe"="C:\Programme\Valve\Steam\SteamApps\_stakka_\counter-strike source\hl2.exe:*:Enabled:hl2"
"D:\Dokumente und Einstellungen\Rena\Desktop\WoW-deDE-Installer-downloader.exe"="D:\Dokumente und Einstellungen\Rena\Desktop\WoW-deDE-Installer-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\WINDOWS\system32\dpvsetup.exe"="D:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"F:\World of Warcraft\BackgroundDownloader.exe"="F:\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe"="D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe:LocalSubNet:Enabled:Pinnacle Streaming Server"
"D:\Programme\Electronic Arts\EADM\Core.exe"="D:\Programme\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager"
"D:\Programme\Skype\Phone\Skype.exe"="D:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "
"D:\DOKUME~1\Rena\LOKALE~1\Temp\4_pinnew.exe"="D:\DOKUME~1\Rena\LOKALE~1\Temp\4_pinnew.exe:*:Enabled:Enabled"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b988fb1a-0b62-11de-9163-000c6ec548aa}]
shell\AutoRun\command - H:\Menu.exe


======List of files/folders created in the last 1 months======

2009-08-06 19:32:59 ----D---- D:\rsit
2009-08-06 18:35:51 ----A---- D:\log.txt
2009-08-06 18:01:42 ----D---- D:\Programme\Enigma Software Group
2009-08-06 15:26:46 ----SHD---- D:\WINDOWS\CSC
2009-08-05 11:33:22 ----A---- D:\WINDOWS\ntbtlog.txt
2009-08-02 12:35:57 ----D---- D:\SDFix
2009-08-02 11:57:02 ----SD---- D:\WINDOWS\Downloaded Program Files
2009-08-02 03:06:17 ----D---- D:\Programme\Trend Micro
2009-08-02 02:41:51 ----A---- D:\WINDOWS\servicelayer.exe
2009-08-02 02:41:51 ----A---- D:\WINDOWS\ctfmon.exe
2009-08-02 02:41:48 ----A---- D:\WINDOWS\vlc.exe
2009-08-02 02:41:47 ----A---- D:\WINDOWS\wdmon.exe
2009-08-02 02:41:47 ----A---- D:\WINDOWS\svx.exe
2009-08-02 02:41:47 ----A---- D:\WINDOWS\svw.exe
2009-08-02 02:41:42 ----A---- D:\WINDOWS\amoumain.exe
2009-08-02 02:41:13 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15535004
2009-08-02 02:41:12 ----A---- D:\WINDOWS\svc.exe
2009-08-02 02:41:12 ----A---- D:\WINDOWS\odb.exe
2009-08-02 02:41:12 ----A---- D:\WINDOWS\lsass.exe
2009-08-02 02:41:11 ----RSH---- D:\WINDOWS\system32\actskn45d.exe
2009-08-02 01:38:26 ----D---- D:\Programme\Avira
2009-08-02 01:38:26 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-08-02 01:15:50 ----A---- D:\WINDOWS\msa.exe
2009-08-02 01:15:33 ----A---- D:\WINDOWS\system32\msxml71.dll
2009-08-02 01:04:39 ----A---- D:\WINDOWS\system32\xa.tmp
2009-07-16 12:46:56 ----A---- D:\WINDOWS\OEWABLog.txt
2009-07-07 18:20:51 ----D---- D:\ProgramData
2009-07-07 18:20:51 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-07-07 18:04:37 ----D---- D:\Programme\Electronic Arts
2009-07-07 15:16:58 ----D---- D:\Programme\MediaMonkey

======List of files/folders modified in the last 1 months======

2009-08-06 19:31:22 ----D---- D:\WINDOWS\Temp
2009-08-06 19:31:19 ----D---- D:\WINDOWS\system32\CatRoot2
2009-08-06 19:31:17 ----D---- D:\WINDOWS\system32
2009-08-06 19:31:09 ----SD---- D:\WINDOWS\Tasks
2009-08-06 19:29:42 ----A---- D:\WINDOWS\win.ini
2009-08-06 19:29:42 ----A---- D:\WINDOWS\system.ini
2009-08-06 19:29:40 ----D---- D:\WINDOWS\pss
2009-08-06 19:22:48 ----A---- D:\WINDOWS\SchedLgU.Txt
2009-08-06 18:01:57 ----D---- D:\WINDOWS\Prefetch
2009-08-06 18:01:42 ----RD---- D:\Programme
2009-08-06 16:57:31 ----D---- D:\WINDOWS
2009-08-06 15:31:31 ----D---- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-08-05 11:52:22 ----D---- D:\Programme\Mozilla Firefox
2009-08-05 11:34:03 ----D---- D:\Dokumente und Einstellungen
2009-08-04 18:33:16 ----D---- D:\WINDOWS\Minidump
2009-08-04 02:38:38 ----D---- D:\WINDOWS\system32\drivers
2009-08-03 22:32:49 ----A---- D:\WINDOWS\system32\PerfStringBackup.INI
2009-08-02 01:38:35 ----HD---- D:\WINDOWS\inf
2009-08-02 01:37:38 ----D---- D:\WINDOWS\WinSxS
2009-08-02 01:37:36 ----SHD---- D:\WINDOWS\Installer
2009-07-24 02:59:01 ----D---- D:\Dokumente und Einstellungen\Rena\Anwendungsdaten\dvdcss
2009-07-16 12:46:52 ----D---- D:\Programme\Windows Media Player

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\D:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; D:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; D:\WINDOWS\system32\DRIVERS\intelppm.sys [2002-12-31 40192]
R1 kbdhid;Tastatur-HID-Treiber; D:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 StarOpen;StarOpen; D:\WINDOWS\system32\drivers\StarOpen.sys [2009-06-24 5632]
R2 Aspi32;Aspi32; D:\WINDOWS\system32\drivers\Aspi32.sys [1997-12-23 23936]
R2 avgntflt;avgntflt; D:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); D:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256]
R3 ati2mtag;ati2mtag; D:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-10-29 3341824]
R3 ATIAVAIW;ATI T200 Unified AVStream service; D:\WINDOWS\system32\DRIVERS\atinavt2.sys [2008-05-15 171520]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; D:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-04-17 15464]
R3 hidusb;Microsoft HID Class-Treiber; D:\WINDOWS\system32\DRIVERS\hidusb.sys [2002-12-31 9600]
R3 mouhid;Maus-HID-Treiber; D:\WINDOWS\system32\DRIVERS\mouhid.sys [2002-12-31 12288]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; D:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NeroCd2k;NeroCd2k; D:\WINDOWS\system32\drivers\NeroCd2k.sys [2001-04-16 44227]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; D:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; D:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-04 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; D:\WINDOWS\system32\DRIVERS\usbehci.sys [2002-12-31 26624]
R3 usbhub;USB2-aktivierter Hub; D:\WINDOWS\system32\DRIVERS\usbhub.sys [2002-12-31 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; D:\WINDOWS\system32\DRIVERS\usbuhci.sys [2002-12-31 20480]
S3 atinrvxx;ATI WDM Rage Theater Video (Microsoft Corporation); D:\WINDOWS\system32\DRIVERS\atinrvxx.sys [2004-08-03 104960]
S3 CCDECODE;Untertiteldecoder; D:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 cusbohcn;cusbohcn; \??\D:\DOKUME~1\Rena\LOKALE~1\Temp\cusbohcn.sys []
S3 ENTECH;ENTECH; \??\D:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 mod7700;DiBcom DIB7700 based TV tuner device; D:\WINDOWS\System32\Drivers\mod7700.sys [2008-06-11 596352]
S3 MODRC;DiBcom Infrared Receiver; D:\WINDOWS\system32\DRIVERS\modrc.sys [2007-10-19 13824]
S3 MPE;BDA MPE-Filter; D:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; D:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 MVDCODEC;ATI WDM Specialized MVD Codec (Microsoft Corporation); D:\WINDOWS\system32\DRIVERS\atinmdxx.sys [2004-08-03 13824]
S3 NABTSFEC;NABTS/FEC VBI-Codec; D:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; D:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 PalmUSBD;PalmUSBD; D:\WINDOWS\system32\drivers\PalmUSBD.sys []
S3 QV2KUX;Casio-Digitalkamera; D:\WINDOWS\system32\DRIVERS\qv2kux.sys [2001-08-17 3328]
S3 SLIP;BDA Slip De-Framer; D:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); D:\WINDOWS\system32\DRIVERS\ss_bus.sys [2007-05-02 83592]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; D:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2007-05-02 15112]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; D:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2007-05-02 109704]
S3 ssmdrv;ssmdrv; D:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S3 streamip;BDA-IPSink; D:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 TTCinergyT2;TerraTec Cinergy T² (BDA); D:\WINDOWS\system32\DRIVERS\TTCinergyT2BDA.sys [2006-05-19 22528]
S3 USBAAPL;Apple Mobile USB Driver; D:\WINDOWS\System32\Drivers\usbaapl.sys [2008-10-01 32000]
S3 usbaudio;USB-Audiotreiber (WDM); D:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbscan;USB-Scannertreiber; D:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 w800bus;Sony Ericsson W800 driver (WDM); D:\WINDOWS\system32\DRIVERS\w800bus.sys [2006-03-13 60768]
S3 w800mdfl;Sony Ericsson W800 USB WMC Modem Filter; D:\WINDOWS\system32\DRIVERS\w800mdfl.sys [2006-03-13 9264]
S3 w800mdm;Sony Ericsson W800 USB WMC Modem Drivers; D:\WINDOWS\system32\DRIVERS\w800mdm.sys [2006-03-13 96224]
S3 w800mgmt;Sony Ericsson W800 USB WMC Device Management Drivers; D:\WINDOWS\system32\DRIVERS\w800mgmt.sys [2006-03-13 87792]
S3 w800obex;Sony Ericsson W800 USB WMC OBEX Interface Drivers; D:\WINDOWS\system32\DRIVERS\w800obex.sys [2006-03-13 85664]
S3 WSTCODEC;World Standard Teletext-Codec; D:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; D:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; D:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

fortsetzung folgt..

studentin11 · 06.08.2009, 18:57

Hi, dankeschön!!!
Also ich habe Schritt1 befolgt, allerdings:
Vorher mußte ich im Safe modevon Windows einige Sachen im Autostart deaktivieren. Sonst hätte RSIT weder ausführen können noch irgendein logfile öffnen können. Windows meldet alle .exe-Dateien als infiziert. Dazu gehören auch der Task-Manager oder msconfig. Folgende Dateien hab ich rausgenommen aus Autostart:
15535004
amoumain
avgnt
ctfmon in WINDOWS/ctfmon.exe
ctfmon in WINDOWS/system32/ctfmon.exe
b
actskn45d
servicelayer
svc
svw
svx
googletoolbarnotifyer
PMCLoader (TV)
PinnacleStreamer (T)

dafür hab ich jetzt keine Bildchen mehr im Netz (????)
und ich hsab jetzt just-in-time-debuggen.

system security sprigt dann oft wieder an wennich eine Datei ausführen will.
hier Rest vom logfile

Code:

ATTFilter

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; D:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; D:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089]
R2 Apple Mobile Device;Apple Mobile Device; D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Ati HotKey Poller;Ati HotKey Poller; D:\WINDOWS\system32\Ati2evxx.exe [2008-10-29 585728]
R2 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 MDM;Machine Debug Manager; D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
S2 ATI Smart;ATI Smart; D:\WINDOWS\system32\ati2sgag.exe [2008-10-28 593920]
S2 gupdate1c9fc0dee6b6f84;Google Update Service (gupdate1c9fc0dee6b6f84); D:\Programme\Google\Update\GoogleUpdate.exe [2009-07-03 133104]
S2 gusvc;Google Software Updater; D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-02 183280]
S3 aspnet_state;ASP.NET State Service; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 hpqcxs08;hpqcxs08; D:\WINDOWS\system32\svchost.exe [2002-12-31 14336]
S3 IDriverT;InstallDriver Table Manager; D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; D:\WINDOWS\system32\svchost.exe [2002-12-31 14336]

-----------------EOF-----------------

wenn der jetzt nicht hilft gibt es immernoch den ersten den ich mit HijackThis gemacht habe. Leider kann ich den nicht mehr nachträglich als code einfügen.