|
Plagegeister aller Art und deren Bekämpfung: PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.08.2009, 18:00 | #1 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Hallo zusammen, habe nach der Anleitung heute mal meinen PC scannen lassen da er mir seit ca. 1-2 Wochen Probleme insofern bereitet dass die CPU auslastung zu ner geringen Aktivität bzw. für den PC geringen Aktivität von 90-100% hochschießt... Nun habe ich escan im abgesicherten Modus laufen lassen und folgendes logfile bekommen: (3 kritische Sachen hat er angezeigt) @echo off REM Version 2008.03.12 REM REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen. REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge. REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten, REM freiwilligen sowie unfreiwilligen Tester. REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt. REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden. REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind REM nicht gestattet. REM REM Marc Manske, April 2007 REM ********************************************************************************* REM 0. Macht die Arbeit etwas einfacher REM ********************************************************************************* REM REM Die Startzeit wird übergeben REM %LOG% erleichtert das Tippen und verbessert den Überblick REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht: REM 1: Anzeige aller Scans REM 2: Anzeige mit Datum und Zeit in jeder Zeile REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile REM Der Paramter wird an %MODUS& übergeben. :INITIAL set TIMESTART=%TIME% set wd=%systemdrive%\escan set LOG=^>^> "%wd%\bases_x\eScan_neu.txt" set MODUS=%1 set linecnt=1 REM ********************************************************************************* REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt. REM ********************************************************************************* REM REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt. REM Die Umgebungsvariable %OS% abgefragt. :OS cls echo. echo. echo [XX______________________] echo. echo Checking OS ... IF "%OS%"=="Windows_NT" goto srchwd IF "%OS%"=="" goto wrngos REM ********************************************************************************* REM 2. Verarbeitung des Scanreports REM ********************************************************************************* REM 2.0.1 Log-Datei (mwav.log) wird gesucht REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt. REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), REM wird diese umbenannt. :srchwd %systemdrive% cd\ dir /A %systemdrive% | findstr /i "escan" if %errorlevel% equ 0 goto srchlog mkdir %wd%\bases_x goto cp2wd :srchlog dir %wd%\bases_x | findstr /i "mwav.log" if %errorlevel% equ 1 goto cp2wd ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log" REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert. :cp2wd cls echo. echo. echo [XXXX____________________] echo. echo Copying mwav.log ... dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log set /P FILE=<%wd%\bases_x\tmp.log copy "%FILE%" %wd%\bases_x\ REM 2.0.2 Installationssprache wird ermittelt REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen. :getlang cls echo. echo. echo [XXXXXX__________________] echo. echo Determing language ... reg query HKCR\eut /v "Language" > nul for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i if "%eLang%"=="German" ( goto germpath ) else ( goto wrnglang ) REM ********************************************************************************* REM ********************************************************************************* REM 2.1 Deutschsprachiger Pfad REM ********************************************************************************* REM ********************************************************************************* :germpath cls echo. echo. echo [XXXXXXXX________________] echo. echo Cleaning log ... REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten. if "%MODUS%"=="1" goto gmode1 if "%MODUS%"=="2" goto gmode2 if "%MODUS%"=="3" goto gmode3 for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log ^|findstr ^[0-3]') do (echo%%j >> %wd%\bases_x\mwav_clean.log) for /f "delims=: tokens=1" %%i in ('findstr /n "Antispywarewerkzeugsatz" %wd%\bases_x\mwav_clean.log') do set linecnt=%%i more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log goto gstart :gmode1 for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log') do (echo %%i >> %wd%\bases_x\mwav_cut.log) goto gstart :gmode2 findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_clean.log for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %wd%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log goto gstart :gmode3 findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_cut.log REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt. REM Versionsnummer der find.bat REM OS-Version: per ver REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO) REM Im normalen Modus ist SBO nicht gesetzt. REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus. REM Programmversion: wird aus HKCR\eut gelesen REM Sprache: wurde bereits bestimmt (:getlang) REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste REM Eintrag) wird ins Log geschrieben. :gstart cls echo. echo. echo [XXXXXXXXXX______________] echo. echo Writing header ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %wd%\bases_x\eScan_neu.txt echo Header %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo find.bat Version 2008.03.07 %LOG% ver %LOG% findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG% if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG% echo. %LOG% for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version" 2^>nul') do set eVersion=%%i if not defined eVersion (for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j) echo eScan Version: %eVersion% %LOG% echo Sprache: %eLang% %LOG% for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log) more %wd%\bases_x\tmp.log %LOG% echo. %LOG% REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben. REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert. REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. cls echo. echo. echo [XXXXXXXXXXXX____________] echo. echo Reported infections ... REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXX__________] echo. echo Reported files ... echo. %LOG% echo. %LOG% echo ~~~~~~~~~~~ %LOG% echo Dateien %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Infected files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Tagged files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Offending files %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG% echo ~~~~~~~~~~~ %LOG% echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) %LOG% echo ~~~~~~~~~~~ %LOG% findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG% REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXX________] echo. echo Reported folders and entries ... echo ~~~~~~~~~~~ %LOG% echo Ordner %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG% echo ~~~~~~~~~~~ %LOG% echo Registry %LOG% echo ~~~~~~~~~~~ %LOG% findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG% REM 2.1.5 Deutsch: Diverses REM Meldungen über laufende Prozesse und Scanfehler REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen REM 2. Schritt: Einfuegen der Liste in das log cls echo. echo. echo [XXXXXXXXXXXXXXXXXX______] echo. echo Misc entries ... echo Dim objWMIService, Proccmdline, ProcList>>%wd%\prclst.vbs echo Dim strComputer, strList>>%wd%\prclst.vbs echo strComputer ^= ".">>%wd%\prclst.vbs echo Set objWMIService ^= GetObject("winmgmts:" ^& "{impersonationLevel=impersonate}!\\" ^& strComputer ^& "\root\cimv2")>>%wd%\prclst.vbs echo Set ProcList ^= objWMIService.ExecQuery ("Select * from Win32_Process")>>%wd%\prclst.vbs echo For Each Proccmdline in ProcList>>%wd%\prclst.vbs echo wscript.echo Proccmdline.Name ^& " - " ^& Proccmdline.commandline>>%wd%\prclst.vbs echo Next>>%wd%\prclst.vbs echo. %LOG% echo. %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Diverses %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo laufende Prozesse - commandline %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% cscript %wd%\prclst.vbs //nologo %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Scanfehler %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Hosts-Datei %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG% for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i echo DataBasePath: %hostloc% %LOG% echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log echo Zeilen die nicht dem Standard entsprechen: %LOG% findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG% REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXX____] echo. echo Scanning stats ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Statistiken: >>%wd%\bases_x\eScan_neu.txt echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%) REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben. cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXXXX__] echo. echo Writing Options ... echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% echo Scan-Optionen %LOG% echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG% findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%) REM ********************************************************************************* REM ********************************************************************************* REM 3. Abschluss REM ********************************************************************************* REM ********************************************************************************* REM 3.1 Abschluss: Temporäre Dateien werden gelöscht. :end cls echo. echo. echo [XXXXXXXXXXXXXXXXXXXXXXXX] echo. echo Cleaning up ... del %wd%\bases_x\tmp.log del %wd%\bases_x\mwav_clean.log del %wd%\bases_x\mwav_cut.log del %wd%\prclst* echo. %LOG% echo Batchstart: %TIMESTART% %LOG% echo Batchende: %TIME% %LOG% REM 3.2 Abschluss: Status wird angezeigt cls echo. echo. echo Auswertung beendet. echo Dieses Fenster schliesst, sobald Notepad geschlossen wird. REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet start notepad %wd%\bases_x\eScan_neu.txt exit REM 4.1 Abbruch: Falsches Betriebssystem :wrngos cls color 04 echo. echo Ihre Windowsversion wird nicht unterstützt. echo Die Stapelverarbeitung wird abgegbrochen. echo. pause exit REM 4.2 Abbruch: falsche Installationssprache :wrnglang cls color 04 echo. echo Fehler bei der Ermittlung der Installationssprache! echo. echo Diese Batchdatei kann nur Logdateien in deutscher Sprache echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. echo. echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um echo die Sprache bei eScan zu ändern. echo. echo Die Stapelverarbeitung wird abgebrochen. echo. pause exit |
24.08.2009, 20:21 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Hallo,
__________________bitte KEIN eScan mehr ausführen, im TB wird das Programm schon länger nicht mehr supportet. Außerdem hast Du da nicht das Logfile gepostet, sondern das Script selber. Bitte diese Liste beachten und abarbeiten. Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
24.08.2009, 22:18 | #3 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Ok, hier schonmal die Logfile von Malwarebytes'
__________________Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2690 Windows 6.0.6001 Service Pack 1 24.08.2009 23:09:20 mbam-log-2009-08-24 (23-09-20).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 237251 Laufzeit: 1 hour(s), 9 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
25.08.2009, 16:36 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Ok. Ich warte auf das von RSIT.
__________________ Logfiles bitte immer in CODE-Tags posten |
26.08.2009, 18:10 | #5 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt So hier das von RSIT .. etwas verspätet, konnte nicht an den PC :/ Logfile of random's system information tool 1.06 (written by random/random) Run by franky2207 at 2009-08-26 19:08:07 Microsoft® Windows Vista™ Home Premium Service Pack 1 System drive C: has 190 GB (62%) free of 305 GB Total RAM: 4090 MB (73% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:08:24, on 26.08.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Users\franky2207\Desktop\RSIT.exe C:\Program Files (x86)\trend micro\franky2207.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 5458 bytes ======Scheduled tasks folder====== C:\Windows\tasks\User_Feed_Synchronization-{96C69ACB-6ADE-4910-8102-13E6564E4139}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-04-21 1082880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1555968] "ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-03 152064] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=scecli psqlpwd [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 "DisableCAD"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoActiveDesktop"= "ForceActiveDesktopOn"= "NoActiveDesktopChanges"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files (x86)\BitTorrent\bittorrent.exe"="C:\Program Files (x86)\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\SysWOW64\Notepad.exe %1 .js - open - C:\Windows\SysWOW64\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2009-08-26 18:34:17 ----A---- C:\Windows\system32\tzres.dll 2009-08-26 17:28:54 ----A---- C:\Windows\system32\Apphlpdm.dll 2009-08-26 17:28:53 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll 2009-08-24 21:43:51 ----D---- C:\Users\franky2207\AppData\Roaming\Malwarebytes 2009-08-24 21:43:40 ----D---- C:\ProgramData\Malwarebytes 2009-08-24 21:43:40 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware 2009-08-24 21:35:32 ----D---- C:\Program Files (x86)\CCleaner 2009-08-24 02:31:00 ----AD---- C:\Windows\system32\runouce.exe 2009-08-24 02:09:38 ----A---- C:\Windows\system32\msvcr80.dll 2009-08-24 02:09:37 ----A---- C:\Windows\system32\msvcp80.dll 2009-08-24 02:07:26 ----D---- C:\ProgramData\OEM Links 2009-08-24 02:07:25 ----D---- C:\ProgramData\MicroWorld 2009-08-24 02:06:32 ----A---- C:\Windows\killproc.exe 2009-08-24 02:06:21 ----A---- C:\Windows\system32\ZIPDLL.DLL 2009-08-24 02:06:21 ----A---- C:\Windows\system32\UNZDLL.DLL 2009-08-24 02:06:21 ----A---- C:\Windows\system32\sporder.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp64.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\contfilt.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\contf64.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\BACKUP.76648219.contfilt.dll 2009-08-24 02:06:21 ----A---- C:\Windows\sporder.exe 2009-08-24 02:06:21 ----A---- C:\Windows\sporder.dll 2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp64.dll 2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp.dll 2009-08-24 02:06:20 ----A---- C:\Windows\inst_tspx.exe 2009-08-24 02:06:20 ----A---- C:\Windows\inst_tsp.exe 2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\eScan 2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files\MicroWorld 2009-08-20 16:32:13 ----D---- C:\ProgramData\Blizzard Entertainment 2009-08-18 22:08:24 ----D---- C:\Program Files (x86)\Angel Writer 2009-08-15 14:09:37 ----A---- C:\Windows\dd_NET_Framework35_LangPack_MSI550B.txt 2009-08-15 14:09:33 ----A---- C:\Windows\dd_depcheck_NETFX_EXP_35.txt 2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35install_lp.txt 2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35error_lp.txt 2009-08-14 14:50:57 ----A---- C:\Windows\system32\PresentationHostProxy.dll 2009-08-14 14:50:57 ----A---- C:\Windows\system32\icardres.dll 2009-08-14 14:50:56 ----A---- C:\Windows\system32\PresentationNative_v0300.dll 2009-08-14 14:50:56 ----A---- C:\Windows\system32\infocardapi.dll 2009-08-14 14:50:55 ----A---- C:\Windows\system32\icardagt.exe 2009-08-14 14:50:47 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll 2009-08-14 14:50:43 ----A---- C:\Windows\system32\PresentationHost.exe 2009-08-14 14:38:51 ----A---- C:\Windows\system32\netfxperf.dll 2009-08-14 14:38:34 ----A---- C:\Windows\system32\dfshim.dll 2009-08-14 14:38:21 ----A---- C:\Windows\system32\mscoree.dll 2009-08-14 14:38:12 ----A---- C:\Windows\system32\mscorier.dll 2009-08-14 14:38:08 ----A---- C:\Windows\system32\mscories.dll 2009-08-14 00:15:45 ----A---- C:\Windows\system32\kerberos.dll 2009-08-14 00:15:44 ----A---- C:\Windows\system32\wdigest.dll 2009-08-14 00:15:44 ----A---- C:\Windows\system32\schannel.dll 2009-08-14 00:15:44 ----A---- C:\Windows\system32\msv1_0.dll 2009-08-14 00:15:43 ----A---- C:\Windows\system32\secur32.dll 2009-08-13 08:06:27 ----AD---- C:\ProgramData\TEMP 2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCR71.dll 2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCP71.dll 2009-08-12 22:48:55 ----A---- C:\Windows\system32\MFC71.dll 2009-08-12 18:19:06 ----A---- C:\Windows\system32\mstscax.dll 2009-08-12 18:18:56 ----A---- C:\Windows\system32\atl.dll 2009-08-12 18:18:47 ----A---- C:\Windows\system32\avifil32.dll 2009-08-12 18:18:28 ----A---- C:\Windows\system32\wmp.dll 2009-08-12 18:18:25 ----A---- C:\Windows\system32\wmpdxm.dll 2009-08-12 18:18:21 ----A---- C:\Windows\system32\spwmp.dll 2009-08-12 18:18:20 ----A---- C:\Windows\system32\dxmasf.dll 2009-08-12 18:18:18 ----A---- C:\Windows\system32\wmploc.DLL 2009-08-09 19:08:45 ----D---- C:\Program Files (x86)\T-Mobile 2009-07-29 21:50:11 ----A---- C:\Windows\dd_ATL90SP1_KB973924MSI0546.txt 2009-07-29 21:50:10 ----A---- C:\Windows\dd_ATL90SP1_KB973924UI0546.txt 2009-07-29 21:50:00 ----A---- C:\Windows\dd_ATL80SP1_KB973923MSI0523.txt 2009-07-29 21:49:59 ----A---- C:\Windows\dd_ATL80SP1_KB973923UI0523.txt 2009-07-29 21:49:41 ----A---- C:\Windows\dd_ATL80SP1_KB973923MSI04E4.txt 2009-07-29 21:49:40 ----A---- C:\Windows\dd_ATL80SP1_KB973923UI04E4.txt 2009-07-29 20:57:58 ----A---- C:\Windows\system32\mshtml.dll 2009-07-29 20:57:57 ----A---- C:\Windows\system32\ieframe.dll 2009-07-29 20:57:55 ----A---- C:\Windows\system32\wininet.dll 2009-07-29 20:57:55 ----A---- C:\Windows\system32\urlmon.dll 2009-07-29 20:57:55 ----A---- C:\Windows\system32\occache.dll 2009-07-29 20:57:55 ----A---- C:\Windows\system32\iertutil.dll 2009-07-29 20:57:54 ----A---- C:\Windows\system32\msfeedsbs.dll 2009-07-29 20:57:54 ----A---- C:\Windows\system32\msfeeds.dll 2009-07-29 20:57:54 ----A---- C:\Windows\system32\ieUnatt.exe 2009-07-29 20:57:54 ----A---- C:\Windows\system32\ieui.dll 2009-07-29 20:57:54 ----A---- C:\Windows\system32\iesysprep.dll 2009-07-29 20:57:54 ----A---- C:\Windows\system32\iepeers.dll 2009-07-29 20:57:54 ----A---- C:\Windows\system32\iedkcs32.dll 2009-07-29 20:57:53 ----A---- C:\Windows\system32\msfeedssync.exe 2009-07-29 20:57:53 ----A---- C:\Windows\system32\jsproxy.dll 2009-07-29 20:57:53 ----A---- C:\Windows\system32\iesetup.dll 2009-07-29 20:57:53 ----A---- C:\Windows\system32\iernonce.dll 2009-07-29 20:57:53 ----A---- C:\Windows\system32\ie4uinit.exe ======List of files/folders modified in the last 1 months====== 2009-08-26 19:08:11 ----D---- C:\Windows\Temp 2009-08-26 19:08:10 ----D---- C:\Program Files (x86)\trend micro 2009-08-26 19:06:12 ----D---- C:\Windows\System32 2009-08-26 19:06:12 ----D---- C:\Windows\inf 2009-08-26 18:35:39 ----D---- C:\Windows\winsxs 2009-08-26 18:35:29 ----D---- C:\Program Files (x86)\Internet Explorer 2009-08-26 18:35:17 ----D---- C:\Windows\SysWOW64 2009-08-26 18:35:17 ----D---- C:\Windows\system32\de-DE 2009-08-26 18:34:11 ----D---- C:\Windows\AppPatch 2009-08-24 21:43:43 ----D---- C:\Windows\system32\drivers 2009-08-24 21:43:40 ----RD---- C:\Program Files (x86) 2009-08-24 21:43:40 ----D---- C:\ProgramData 2009-08-24 21:39:06 ----D---- C:\Windows\Debug 2009-08-24 21:39:06 ----D---- C:\Windows 2009-08-24 21:28:21 ----D---- C:\Windows\Tasks 2009-08-24 21:28:21 ----A---- C:\Windows\win.ini 2009-08-24 19:22:48 ----D---- C:\Users\franky2207\AppData\Roaming\teamspeak2 2009-08-24 02:24:43 ----D---- C:\Program Files (x86)\Mozilla Firefox 2009-08-24 02:08:31 ----SD---- C:\Users\franky2207\AppData\Roaming\Microsoft 2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files 2009-08-21 13:21:48 ----HD---- C:\Program Files (x86)\InstallShield Installation Information 2009-08-21 13:20:17 ----D---- C:\Program Files (x86)\Spybot - Search & Destroy 2009-08-21 13:20:16 ----D---- C:\ProgramData\Spybot - Search & Destroy 2009-08-15 15:53:47 ----D---- C:\Windows\Microsoft.NET 2009-08-15 14:10:06 ----SHD---- C:\Windows\Installer 2009-08-15 14:10:06 ----HD---- C:\Config.Msi 2009-08-15 14:09:49 ----RSD---- C:\Windows\assembly 2009-08-14 15:27:08 ----D---- C:\Windows\rescache 2009-08-14 15:06:38 ----D---- C:\Windows\system32\XPSViewer 2009-08-14 15:06:31 ----D---- C:\Windows\system32\wbem 2009-08-14 15:06:31 ----D---- C:\Windows\system32\en-US 2009-08-14 14:58:33 ----D---- C:\Windows\Prefetch 2009-08-14 14:49:42 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-08-14 12:01:55 ----SHD---- C:\System Volume Information 2009-08-13 11:50:48 ----D---- C:\Users\franky2207\AppData\Roaming\Mozilla 2009-08-13 11:46:44 ----D---- C:\Torrents 2009-08-12 22:59:56 ----D---- C:\ProgramData\Microsoft 2009-08-12 22:48:52 ----D---- C:\Program Files 2009-08-12 22:39:39 ----D---- C:\ProgramData\McAfee 2009-08-12 21:20:40 ----D---- C:\Program Files (x86)\Windows Mail 2009-08-12 21:20:38 ----D---- C:\Program Files (x86)\Windows Media Player 2009-08-12 21:18:57 ----D---- C:\ProgramData\Microsoft Help 2009-07-29 23:04:44 ----D---- C:\Windows\system32\migration ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys [] R3 itecir;ITECIR Infrared Receiver; C:\Windows\system32\DRIVERS\itecir.sys [] R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys [] R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys [] R3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw5v64.sys [] R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys [] R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys [] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [] R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys [] R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [] R3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys [] R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [] S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [] S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [] S3 aq8v4d49;aq8v4d49; C:\Windows\system32\drivers\aq8v4d49.sys [] S3 bdfsfltr;bdfsfltr; C:\Windows\system32\DRIVERS\bdfsfltr.sys [] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [] S3 econceal;MicroWorld Technologies Network Service; C:\Windows\system32\DRIVERS\econceal.sys [] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [] S3 yukonx64;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller; C:\Windows\system32\DRIVERS\yk60x64.sys [] S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [] S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [] S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 MWAgent;MWAgent; C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE [2009-07-31 422408] R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [] S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-07-27 93184] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968] S4 PowerBiosServer;PowerBiosServer; C:\Program Files (x86)\Hotkey\PowerBiosServer.exe [2008-06-10 36864] -----------------EOF----------------- |
26.08.2009, 20:53 | #6 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt und die info: nfo.txt logfile of random's system information tool 1.06 2009-06-10 00:59:23 ======Uninstall list====== -->MsiExec /X{45235788-142C-44BE-8A4D-DDE9A84492E5} Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe Adobe Reader 9.1.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Advanced Wheel Mouse 6.0.0.002-->C:\ADVANC~1\uninst.exe AGEIA PhysX v7.09.13-->MsiExec.exe /X{45235788-142C-44BE-8A4D-DDE9A84492E5} Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE BattleForge™-->MsiExec.exe /X{C580908C-B3BA-4C19-BD60-16F02F272201} BisonCam-->C:\Program Files (x86)\InstallShield Installation Information\{4BB1DCED-84D3-47F9-B718-5947E904593E}\setup.exe -runfromtemp -l0x0007 -removeonly Counter-Strike 1.6-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{13B792AA-C078-43A4-8A3A-8B12D629940D}\Setup.exe" -l0x19 Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4} Fallout 3-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly Gaming Mouse-->"C:\Program Files (x86)\Gaming Mouse\uninstall.exe" Gothic III-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{02B244A2-7F6A-42E8-A36F-8C385D7A1625}\setup.exe" -l0x7 -removeonly HijackThis 2.0.2-->"C:\Program Files (x86)\trend micro\HijackThis.exe" /uninstall Hotkey-->"C:\Program Files (x86)\InstallShield Installation Information\{164714B6-46BC-4649-9A30-A6ED32F03B5A}\setup.exe" -runfromtemp -l0x0009 -removeonly Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4D243BA7-9AC4-46D1-90E5-EEB88974F501} Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{05B49229-22A2-4F88-842A-BBC2EBE1CCF6} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Standard 2007-->MsiExec.exe /X{91120000-0012-0000-0000-0000000FF1CE} Microsoft Office Standard 2007-Testversion-->"C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall STANDARDR /dll OSETUP.DLL Microsoft Office Suite Activation Assistant-->MsiExec.exe /X{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} PC VGA Camer@-->C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{E2A36CC2-531D-4BD7-BB75-69F51CB31305} /l1031 PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x0007 -removeonly Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {90120000-002A-0000-1000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85} Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85} Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7} Security Update for 2007 Microsoft Office System (KB960003)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {F04F8702-18D0-458D-921E-146FB7CD38CF} Security Update for Microsoft Office Excel 2007 (KB959997)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {9EAC3AEC-5C81-4856-A05B-DE9DC236D740} Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77} Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F} Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC} Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C} Security Update for Outlook 2007 (KB946983)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3} Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D} Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy\unins000.exe" STK1135 PC Camera-->C:\Program Files (x86)\InstallShield Installation Information\{6A92D7DC-DC2A-42B0-8FC0-F162B1CFDFD3}\setup.exe -runfromtemp -l0x0007 -removeonly System Requirements Lab-->C:\Program Files (x86)\SystemRequirementsLab\Uninstall.exe Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D} Update for Microsoft Office Outlook 2007 Help (KB957246)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {40EDB4D3-A95E-413F-9578-F2E01A3D209B} Update for Office 2007 (KB934391)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {B3091818-7C56-4C45-BE7D-CA23027A5EA5} Update for Outlook 2007 Junk Email Filter (kb968503)-->msiexec /package {91120000-0012-0000-0000-0000000FF1CE} /uninstall {5DD98950-4D10-4B79-8BF6-59726705207D} Update für Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF} Update für Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {EA160DA3-E9B5-4D03-A518-21D306665B96} Update für Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {38472199-D7B6-4833-A949-10E4EE6365A1} WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======Security center information====== AV: AntiVir Desktop (disabled) (outdated) AS: Spybot - Search and Destroy (disabled) (outdated) AS: Windows Defender ======System event log====== Computer Name: Twinkle Event Code: 3004 Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen. Weitere Informationen finden Sie im Folgenden: Nicht zutreffend Scan-ID: {31B52CC4-7B69-403D-98E6-F93BAAAE1F28} Benutzer: Twinkle\franky2207 Name: Unknown ID: Schweregrad-ID: Kategorie-ID: Gefundener Pfad: service:PROCEXP90 Warnungsart: Nicht klassifizierte Software Feststellungstyp: Record Number: 24386 Source Name: Microsoft-Windows-Windows Defender Time Written: 20090609223607.000000-000 Event Type: Warnung User: Computer Name: Twinkle Event Code: 3004 Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen. Weitere Informationen finden Sie im Folgenden: Nicht zutreffend Scan-ID: {31B422D5-951E-44D7-9892-055C7A4CF03A} Benutzer: Twinkle\franky2207 Name: Unknown ID: Schweregrad-ID: Kategorie-ID: Gefundener Pfad: driver:PROCEXP90 Warnungsart: Nicht klassifizierte Software Feststellungstyp: Record Number: 24387 Source Name: Microsoft-Windows-Windows Defender Time Written: 20090609223607.000000-000 Event Type: Warnung User: Computer Name: Twinkle Event Code: 3004 Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen. Weitere Informationen finden Sie im Folgenden: Nicht zutreffend Scan-ID: {4BDB0091-8ACB-4BBD-9AFF-D2220598B7E5} Benutzer: Twinkle\franky2207 Name: Unknown ID: Schweregrad-ID: Kategorie-ID: Gefundener Pfad: service:PROCEXP90 Warnungsart: Nicht klassifizierte Software Feststellungstyp: Record Number: 24388 Source Name: Microsoft-Windows-Windows Defender Time Written: 20090609224835.000000-000 Event Type: Warnung User: Computer Name: Twinkle Event Code: 3004 Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen. Weitere Informationen finden Sie im Folgenden: Nicht zutreffend Scan-ID: {F1A82F4C-08D9-42FE-A644-AF125AC73868} Benutzer: Twinkle\franky2207 Name: Unknown ID: Schweregrad-ID: Kategorie-ID: Gefundener Pfad: driver:PROCEXP90 Warnungsart: Nicht klassifizierte Software Feststellungstyp: Record Number: 24389 Source Name: Microsoft-Windows-Windows Defender Time Written: 20090609224835.000000-000 Event Type: Warnung User: Computer Name: Twinkle Event Code: 26 Message: Anwendungspopup: : \??\C:\Windows\system32\Drivers\PROCEXP90.SYS failed to load Record Number: 24390 Source Name: Application Popup Time Written: 20090609224833.057700-000 Event Type: Informationen User: =====Application event log===== Computer Name: Twinkle Event Code: 4097 Message: Der AntiVir Dienst wurde beendet! Record Number: 4578 Source Name: Avira AntiVir Time Written: 20090609220215.000000-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: Twinkle Event Code: 4112 Message: Bei der Anforderung nach einer Resource des Betriebssystems trat ein Fehler auf. Die Resource 'avgntflt' wurde nicht zugewiesen. Der Grund hierfür könnte zu wenig Hauptspeicher oder ein anderer Systemfehler sein. Fehlercode: 0xffffffff Record Number: 4579 Source Name: Avira AntiVir Time Written: 20090609220232.000000-000 Event Type: Fehler User: NT-AUTORITÄT\SYSTEM Computer Name: Twinkle Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 4580 Source Name: Avira AntiVir Time Written: 20090609220232.000000-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: Twinkle Event Code: 1001 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help". Record Number: 4581 Source Name: Microsoft-Windows-LoadPerf Time Written: 20090609220323.000000-000 Event Type: Informationen User: Computer Name: Twinkle Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind. Record Number: 4582 Source Name: Microsoft-Windows-LoadPerf Time Written: 20090609220323.000000-000 Event Type: Informationen User: =====Security event log===== Computer Name: Twinkle Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS Record Number: 9518 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090609223426.265700-000 Event Type: Überwachung gescheitert User: Computer Name: Twinkle Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS Record Number: 9519 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090609223605.050900-000 Event Type: Überwachung gescheitert User: Computer Name: Twinkle Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS Record Number: 9520 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090609223605.066500-000 Event Type: Überwachung gescheitert User: Computer Name: Twinkle Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS Record Number: 9521 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090609224833.042100-000 Event Type: Überwachung gescheitert User: Computer Name: Twinkle Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\PROCEXP90.SYS Record Number: 9522 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090609224833.057700-000 Event Type: Überwachung gescheitert User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=AMD64 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 23 Stepping 10, GenuineIntel "PROCESSOR_REVISION"=170a "NUMBER_OF_PROCESSORS"=2 "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\34FB5F65-FFEB-4B61-BF0E-A6A76C450FAA\TraceFormat "DFSTRACINGON"=FALSE -----------------EOF----------------- |
28.08.2009, 12:44 | #7 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt war doch alles oder ? kann da keiner helfen ? |
28.08.2009, 13:45 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Bitte hab etwas Geduld, wir haben hier auch noch andere Fälle zu bearbeiten!
__________________ Logfiles bitte immer in CODE-Tags posten |
28.08.2009, 18:10 | #9 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Nochmal muss ich nachhaken hier: Zitat:
In RSIT war das darin eingebette Hijackthis-Logfile nicht vollständig, führe HijackThis bitte nochmal separat aus - da Du Vista hast, HJT über Rechtsklick => Als Administrator ausführen
__________________ Logfiles bitte immer in CODE-Tags posten |
03.09.2009, 23:47 | #10 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt hier nochmal das log das nach dem scan aufpoppt: Logfile of random's system information tool 1.06 (written by random/random) Run by franky2207 at 2009-09-04 00:43:44 Microsoft® Windows Vista™ Home Premium Service Pack 1 System drive C: has 186 GB (61%) free of 305 GB Total RAM: 4090 MB (72% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:44:03, on 04.09.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Users\franky2207\Desktop\RSIT.exe C:\Program Files (x86)\trend micro\franky2207.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 5611 bytes ======Scheduled tasks folder====== C:\Windows\tasks\User_Feed_Synchronization-{96C69ACB-6ADE-4910-8102-13E6564E4139}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-04-21 1082880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1555968] "ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-03 152064] "msnmsgr"=C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=scecli psqlpwd [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 "DisableCAD"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoActiveDesktop"= "ForceActiveDesktopOn"= "NoActiveDesktopChanges"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files (x86)\BitTorrent\bittorrent.exe"="C:\Program Files (x86)\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======File associations====== .js - edit - C:\Windows\SysWOW64\Notepad.exe %1 .js - open - C:\Windows\SysWOW64\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2009-09-02 21:34:20 ----A---- C:\Windows\system32\Apphlpdm.dll 2009-09-02 21:34:19 ----A---- C:\Windows\system32\GameUXLegacyGDFs.dll 2009-08-26 18:34:17 ----A---- C:\Windows\system32\tzres.dll 2009-08-24 21:43:51 ----D---- C:\Users\franky2207\AppData\Roaming\Malwarebytes 2009-08-24 21:43:40 ----D---- C:\ProgramData\Malwarebytes 2009-08-24 21:43:40 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware 2009-08-24 21:35:32 ----D---- C:\Program Files (x86)\CCleaner 2009-08-24 02:31:00 ----AD---- C:\Windows\system32\runouce.exe 2009-08-24 02:09:38 ----A---- C:\Windows\system32\msvcr80.dll 2009-08-24 02:09:37 ----A---- C:\Windows\system32\msvcp80.dll 2009-08-24 02:07:26 ----D---- C:\ProgramData\OEM Links 2009-08-24 02:07:25 ----D---- C:\ProgramData\MicroWorld 2009-08-24 02:06:32 ----A---- C:\Windows\killproc.exe 2009-08-24 02:06:21 ----A---- C:\Windows\system32\ZIPDLL.DLL 2009-08-24 02:06:21 ----A---- C:\Windows\system32\UNZDLL.DLL 2009-08-24 02:06:21 ----A---- C:\Windows\system32\sporder.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp64.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\mwnsp.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\contfilt.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\contf64.dll 2009-08-24 02:06:21 ----A---- C:\Windows\system32\BACKUP.76648219.contfilt.dll 2009-08-24 02:06:21 ----A---- C:\Windows\sporder.exe 2009-08-24 02:06:21 ----A---- C:\Windows\sporder.dll 2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp64.dll 2009-08-24 02:06:20 ----A---- C:\Windows\system32\mwtsp.dll 2009-08-24 02:06:20 ----A---- C:\Windows\inst_tspx.exe 2009-08-24 02:06:20 ----A---- C:\Windows\inst_tsp.exe 2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\eScan 2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files\MicroWorld 2009-08-20 16:32:13 ----D---- C:\ProgramData\Blizzard Entertainment 2009-08-18 22:08:24 ----D---- C:\Program Files (x86)\Angel Writer 2009-08-15 14:09:37 ----A---- C:\Windows\dd_NET_Framework35_LangPack_MSI550B.txt 2009-08-15 14:09:33 ----A---- C:\Windows\dd_depcheck_NETFX_EXP_35.txt 2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35install_lp.txt 2009-08-15 14:09:28 ----A---- C:\Windows\dd_dotnetfx35error_lp.txt 2009-08-14 14:50:57 ----A---- C:\Windows\system32\PresentationHostProxy.dll 2009-08-14 14:50:57 ----A---- C:\Windows\system32\icardres.dll 2009-08-14 14:50:56 ----A---- C:\Windows\system32\PresentationNative_v0300.dll 2009-08-14 14:50:56 ----A---- C:\Windows\system32\infocardapi.dll 2009-08-14 14:50:55 ----A---- C:\Windows\system32\icardagt.exe 2009-08-14 14:50:47 ----A---- C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll 2009-08-14 14:50:43 ----A---- C:\Windows\system32\PresentationHost.exe 2009-08-14 14:38:51 ----A---- C:\Windows\system32\netfxperf.dll 2009-08-14 14:38:34 ----A---- C:\Windows\system32\dfshim.dll 2009-08-14 14:38:21 ----A---- C:\Windows\system32\mscoree.dll 2009-08-14 14:38:12 ----A---- C:\Windows\system32\mscorier.dll 2009-08-14 14:38:08 ----A---- C:\Windows\system32\mscories.dll 2009-08-14 00:15:45 ----A---- C:\Windows\system32\kerberos.dll 2009-08-14 00:15:44 ----A---- C:\Windows\system32\wdigest.dll 2009-08-14 00:15:44 ----A---- C:\Windows\system32\schannel.dll 2009-08-14 00:15:44 ----A---- C:\Windows\system32\msv1_0.dll 2009-08-14 00:15:43 ----A---- C:\Windows\system32\secur32.dll 2009-08-13 08:06:27 ----AD---- C:\ProgramData\TEMP 2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCR71.dll 2009-08-12 22:48:55 ----A---- C:\Windows\system32\MSVCP71.dll 2009-08-12 22:48:55 ----A---- C:\Windows\system32\MFC71.dll 2009-08-12 18:19:06 ----A---- C:\Windows\system32\mstscax.dll 2009-08-12 18:18:56 ----A---- C:\Windows\system32\atl.dll 2009-08-12 18:18:47 ----A---- C:\Windows\system32\avifil32.dll 2009-08-12 18:18:28 ----A---- C:\Windows\system32\wmp.dll 2009-08-12 18:18:25 ----A---- C:\Windows\system32\wmpdxm.dll 2009-08-12 18:18:21 ----A---- C:\Windows\system32\spwmp.dll 2009-08-12 18:18:20 ----A---- C:\Windows\system32\dxmasf.dll 2009-08-12 18:18:18 ----A---- C:\Windows\system32\wmploc.DLL 2009-08-09 19:08:45 ----D---- C:\Program Files (x86)\T-Mobile ======List of files/folders modified in the last 1 months====== 2009-09-04 00:43:49 ----D---- C:\Windows\Temp 2009-09-04 00:43:48 ----D---- C:\Program Files (x86)\trend micro 2009-09-04 00:30:12 ----D---- C:\Windows\System32 2009-09-04 00:30:11 ----D---- C:\Windows\inf 2009-09-03 17:55:18 ----D---- C:\Windows\winsxs 2009-09-02 22:39:52 ----D---- C:\Windows\SysWOW64 2009-09-02 22:39:52 ----D---- C:\Windows\AppPatch 2009-08-26 19:15:16 ----D---- C:\Windows\rescache 2009-08-26 18:35:29 ----D---- C:\Program Files (x86)\Internet Explorer 2009-08-26 18:35:17 ----D---- C:\Windows\system32\de-DE 2009-08-24 21:43:43 ----D---- C:\Windows\system32\drivers 2009-08-24 21:43:40 ----RD---- C:\Program Files (x86) 2009-08-24 21:43:40 ----D---- C:\ProgramData 2009-08-24 21:39:06 ----D---- C:\Windows\Debug 2009-08-24 21:39:06 ----D---- C:\Windows 2009-08-24 21:28:21 ----D---- C:\Windows\Tasks 2009-08-24 21:28:21 ----A---- C:\Windows\win.ini 2009-08-24 19:22:48 ----D---- C:\Users\franky2207\AppData\Roaming\teamspeak2 2009-08-24 02:24:43 ----D---- C:\Program Files (x86)\Mozilla Firefox 2009-08-24 02:08:31 ----SD---- C:\Users\franky2207\AppData\Roaming\Microsoft 2009-08-24 02:06:19 ----D---- C:\Program Files (x86)\Common Files 2009-08-21 13:21:48 ----HD---- C:\Program Files (x86)\InstallShield Installation Information 2009-08-21 13:20:17 ----D---- C:\Program Files (x86)\Spybot - Search & Destroy 2009-08-21 13:20:16 ----D---- C:\ProgramData\Spybot - Search & Destroy 2009-08-15 15:53:47 ----D---- C:\Windows\Microsoft.NET 2009-08-15 14:10:06 ----SHD---- C:\Windows\Installer 2009-08-15 14:10:06 ----HD---- C:\Config.Msi 2009-08-15 14:09:49 ----RSD---- C:\Windows\assembly 2009-08-14 15:06:38 ----D---- C:\Windows\system32\XPSViewer 2009-08-14 15:06:31 ----D---- C:\Windows\system32\wbem 2009-08-14 15:06:31 ----D---- C:\Windows\system32\en-US 2009-08-14 14:58:33 ----D---- C:\Windows\Prefetch 2009-08-14 14:49:42 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-08-14 12:01:55 ----SHD---- C:\System Volume Information 2009-08-13 11:50:48 ----D---- C:\Users\franky2207\AppData\Roaming\Mozilla 2009-08-13 11:46:44 ----D---- C:\Torrents 2009-08-12 22:59:56 ----D---- C:\ProgramData\Microsoft 2009-08-12 22:48:52 ----D---- C:\Program Files 2009-08-12 22:39:39 ----D---- C:\ProgramData\McAfee 2009-08-12 21:20:40 ----D---- C:\Program Files (x86)\Windows Mail 2009-08-12 21:20:38 ----D---- C:\Program Files (x86)\Windows Media Player 2009-08-12 21:18:57 ----D---- C:\ProgramData\Microsoft Help ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys [] R3 itecir;ITECIR Infrared Receiver; C:\Windows\system32\DRIVERS\itecir.sys [] R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys [] R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys [] R3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit; C:\Windows\system32\DRIVERS\NETw5v64.sys [] R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys [] R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys [] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [] R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys [] R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [] R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [] S2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys [] S2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys [] S3 aign9wuv;aign9wuv; C:\Windows\system32\drivers\aign9wuv.sys [] S3 bdfsfltr;bdfsfltr; C:\Windows\system32\DRIVERS\bdfsfltr.sys [] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [] S3 econceal;MicroWorld Technologies Network Service; C:\Windows\system32\DRIVERS\econceal.sys [] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [] S3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys [] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [] S3 yukonx64;NDIS6.0 Miniporttreiber für Marvell Yukon-Ethernet-Controller; C:\Windows\system32\DRIVERS\yk60x64.sys [] S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [] S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [] S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 MWAgent;MWAgent; C:\PROGRA~2\COMMON~1\MICROW~1\Agent\MWASER.EXE [2009-07-31 422408] R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [] S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-07-27 93184] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968] S4 PowerBiosServer;PowerBiosServer; C:\Program Files (x86)\Hotkey\PowerBiosServer.exe [2008-06-10 36864] -----------------EOF----------------- |
03.09.2009, 23:52 | #11 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt ach so, und zu der frage, welcher prozess die hohe auslastung verursacht; keine ahnung, würd ich selber gern wissen... kann im task manager nichts finden das soviel zieht, sehe ja nur wie sehr der PC da ausgelastet ist aber nicht welcher prozess dafür sorgt.. und unter "prozesse" im task manager sehe ich jetzt auch keinen der 1.000 k oder so brauch, also die sind alle im grünen bereich, bzw alle in dem bereich in dem der pc es noch vor ~1-2 monaten locker geschafft hat |
09.09.2009, 21:23 | #12 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt von der reihe nach dran is wohl nicht dierede, da sind wesentlich aktuellere die alle beantwortet wurden... ihr könnt auch einfach sagen dass ihr bei mir kein fehler findet oder ich mein system in den hintern schieben kann... aber gar nicht antworten ist schon arm |
09.09.2009, 21:54 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Wir bemühen uns hier so gut wie es geht! Denk daran, dass wir sowas in unserer Freizeit machen, ich hab "nebenbei" auch noch einen Vollzeitjob! Du bezahlst hier nix und forderst hier, ich finde diese Haltung einfach nur frech und respektlos! Wenn Du alles sofort haben willst, musst Du eben einen Computerfachmann vor ort herholen und BEZAHLEN!! Bitte etwas mehr Geduld! Ich schau mir Dein Logfile noch an!
__________________ Logfiles bitte immer in CODE-Tags posten |
10.09.2009, 11:52 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführtZitat:
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\Windows\system32\DRIVERS\jmcr.sys C:\Windows\system32\DRIVERS\smserial.sys C:\Windows\system32\drivers\megasr.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
10.09.2009, 22:06 | #15 |
| PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt Danke dir cosinus... kann dich ja auch verstehen, ist einfach nur meine frustration dass das scheiss teure teil bald fast bald so langsam läuft wie meine alte kiste.. entschuldige.. also habe mir jetzt alle prozesse anzeigen lassen - hatte es vorher nicht und es gibt noch einen prozess bzw mehrere mit demselben namen der einiges beansprucht: svchost.exe ist da auf einmal ca. 20 mal zu sehen.. "ein" svchost.exe zeigt auch ne relativ hohe belastung ein paar andere svchosts' eine mittlere belastung die dateien die ich bei virustotal.com hochladen soll konnte ich erst finden nachdem ich da überall die häkchen entfernt habe wie in deinem hilfelink... nur leider kann ich sie jetzt nicht bei virustotal.com hochladen, bzw einfach nicht da auswählen weil er nur die dateien findet die ich auch vorher sehen konnte d.h. wenn ich auf durchsuchen bei virustotal.com gehe und die dateien suchen will zeigt der die versteckten/ausgeblendeten etc. dateien nicht an obwoh ich sie bei mir ja aktiviert habe.. auch wenn ich sie an eine email anhängen will ist es dasselbe, nur die die ich auch vorher gefunden habe was kann ich da tun? |
Themen zu PC laggt (CPU ausgelastet), eScan im abgesicherten ausgeführt |
abbruch, abgesicherten modus, anzeige, ausgelastet, auslastung, auswertung, cleaning, codes, cpu, cpu ausgelastet, dateien, englisch, escan, fehlalarm, finds, folge, hosts-datei, immer wieder, infected, infiziert, laufende prozesse, log-datei, logfile, neue, nicht vorhanden, object, ordner, probleme, prozesse, registry, scan, software, temp, temporäre dateien, tippen, win32, windows |