Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
rundll32.exe schießt in die höhe??

rundll32.exe schießt in die höhe??


Plagegeister aller Art und deren Bekämpfung: rundll32.exe schießt in die höhe??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.08.2009, 19:22   #1
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Hallo, ich mach es mal kurz: Heute habe ich mir diesen blöden Trojaner eingefangen namens "msa.exe".. Hab ich im Taskmanager gefunden, Prozess beendet, einiges durchgeführt, damit das Ding verschwindet! ICH habe es (glaube ich) geschafft, denn es erscheint nicht mehr im Taskmanager.

Was jetzt ganz absurd klingt ist Tatsache: Wenn ich nun den Rechner neustarte erscheint im Taskmanager rundll32.exe , und es fängt aufeinmal an Arbeitsspeicher zu schlucken, obwohl ich NICHTS mache!.. Es steigt und steigt bis auf 500.000 Kb oder wie das heißt? Ich kann dann den Rechner sogut wie garnicht mehr bedienen.. ( ich beende dann dieses rundll32.exe und der rechner funktioniert einwandfrei..) Weiter unten ist ein anderes rundll32.exe , mit nur 52K .. Es schluckt also nix..

Und dieses rundll32.exe startet jedes mal bei Systemstart und steigt in die Höhe.. (wie gesagt, 410.000K . )

Ich glaube es ist ein Virus, bzw. hat es was mit diesem msa.exe zu tun? Bitte helft mir, es kommt nun bei jedem Systemstart und ich muss diesen Prozess immer selbst beenden.. Ich denke es ist ein Virus??

Hier mein Hijack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:37, on 27.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Monopod] C:\Temp\a.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1015831257-3330184976-3816995634-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'postgres')
O4 - Startup: Windows Updater.lnk = C:\Temp\JDstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD56085-2C9F-4EA7-BD60-608AA9134D0D}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6980 bytes

Alt 27.08.2009, 19:28   #2
john.doe
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Hallo und

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Bei dir treibt sich einiges auf dem Rechner herum, dass da ganz sicher nicht hingehört.

ciao, andreas
__________________

__________________
Alt 27.08.2009, 20:17   #3
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


So, alles klar.. Hab die Schritte befolgt:

1) CCleaner gestartet:

Im Grunde hab ich die Schritte befolgt, ein Bericht folgte nicht.?

2) Mailwarebytes gestartet, 6 Hinweise angezeigt: Diese dann entfernt,
hier Bericht:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2706
Windows 6.0.6001 Service Pack 1

27.08.2009 20:54:00
mbam-log-2009-08-27 (20-53-27).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85039
Laufzeit: 5 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch.lnk (Rogue.Multiple) -> No action taken.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

(Nach Neustart schießt rundll32.exe leider erneut im Taskmanager in die Höhe.. ;-(( )
__________________
Alt 27.08.2009, 20:18   #4
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


3) RSIT gestartet: Hier Log und info Files:

Log File:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Sel at 2009-08-27 21:03:19
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 68 GB (61%) free of 112 GB
Total RAM: 2045 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:24, on 27.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Users\Sel\Desktop\virenscanner setups\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Sel.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Program Files\Softonic_Deutsch\tbSof1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1015831257-3330184976-3816995634-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'postgres')
O4 - Startup: Windows Updater.lnk = C:\Temp\JDstart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD56085-2C9F-4EA7-BD60-608AA9134D0D}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6902 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
Softonic Deutsch Toolbar - C:\Program Files\Softonic_Deutsch\tbSof1.dll [2009-02-21 1882136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - Softonic Deutsch Toolbar - C:\Program Files\Softonic_Deutsch\tbSof1.dll [2009-02-21 1882136]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"NvSvc"=C:\Windows\system32\nvsvc.dll [2006-12-07 90191]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2006-12-07 7766016]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2006-12-07 81920]
"WAWifiMessage"=C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe [2006-10-18 317152]
"hpWirelessAssistant"=C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [2006-10-18 472800]
"QlbCtrl"=C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe [2006-11-06 159744]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2006-11-15 815104]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe [2009-04-10 37888]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Program Files\Napster\napster.exe /systray []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe [2003-05-08 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QPService]
C:\Program Files\HP\QuickPlay\QPService.exe [2006-11-24 167936]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
C:\Program Files\Unlocker\UnlockerAssistant.exe [2008-05-02 15872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Program Files\Winamp\winampa.exe [2009-04-10 37888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
C:\PROGRA~1\Adobe\READER~1.0\Reader\READER~1.EXE []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~3\Office\OSA9.EXE -b -l []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Sel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk]
C:\PROGRA~1\OPENOF~1.4\program\QUICKS~1.EXE []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Sel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Registration Die Siedler II - Die nächste Generation.LNK]
C:\Program Files\Ubisoft\Funatics\Die Siedler II - Die nächste Generation\bin\RegistrationReminder.exe -d 803647 -l german -r 7 -g Die Siedler II - Die nächste Generation -c de -i 2840 []

C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Windows Updater.lnk - C:\Temp\JDstart.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-08-27 21:03:19 ----D---- C:\rsit
2009-08-27 20:44:24 ----D---- C:\Users\Sel\AppData\Roaming\Malwarebytes
2009-08-27 20:44:15 ----D---- C:\ProgramData\Malwarebytes
2009-08-27 20:44:15 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-08-27 20:38:24 ----D---- C:\Program Files\CCleaner
2009-08-27 18:25:13 ----D---- C:\Program Files\Trend Micro
2009-08-27 17:25:20 ----D---- C:\Program Files\Enigma Software Group
2009-08-26 20:41:16 ----A---- C:\Windows\system32\tzres.dll
2009-08-26 20:14:09 ----SHD---- C:\Config.Msi
2009-08-26 20:10:12 ----D---- C:\ProgramData\WinZip
2009-08-25 22:45:44 ----D---- C:\bwinPoker
2009-08-20 20:13:12 ----D---- C:\Program Files\Zattoo
2009-08-20 20:10:05 ----A---- C:\Windows\system32\NCTAudioTransform2.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\NCTAudioRecord2.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\NCTAudioPlayer2.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\NCTAudioInformation2.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\NCTAudioFile2.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\NCTAudioEditor2.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\lame_enc.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\auth.dll
2009-08-20 20:10:05 ----A---- C:\Windows\system32\advd.dll
2009-08-20 20:10:04 ----D---- C:\Users\Sel\AppData\Roaming\concept design
2009-08-20 20:10:04 ----D---- C:\Program Files\concept design
2009-08-12 09:28:16 ----A---- C:\Windows\system32\atl.dll
2009-08-12 09:28:12 ----A---- C:\Windows\system32\wdigest.dll
2009-08-12 09:28:12 ----A---- C:\Windows\system32\kerberos.dll
2009-08-12 09:28:11 ----A---- C:\Windows\system32\schannel.dll
2009-08-12 09:28:11 ----A---- C:\Windows\system32\msv1_0.dll
2009-08-12 09:28:11 ----A---- C:\Windows\system32\lsasrv.dll
2009-08-12 09:28:10 ----A---- C:\Windows\system32\secur32.dll
2009-08-12 09:28:10 ----A---- C:\Windows\system32\lsass.exe
2009-08-12 09:28:01 ----A---- C:\Windows\system32\wmp.dll
2009-08-12 09:28:00 ----A---- C:\Windows\system32\wmpdxm.dll
2009-08-12 09:27:59 ----A---- C:\Windows\system32\spwmp.dll
2009-08-12 09:27:58 ----A---- C:\Windows\system32\dxmasf.dll
2009-08-12 09:27:57 ----A---- C:\Windows\system32\wmploc.DLL
2009-08-12 09:27:34 ----A---- C:\Windows\system32\wkssvc.dll
2009-08-12 09:27:31 ----A---- C:\Windows\system32\mstscax.dll
2009-08-12 09:27:28 ----A---- C:\Windows\system32\avifil32.dll
2009-08-06 18:24:07 ----A---- C:\Windows\system32\uxtuneup.dll
2009-08-06 18:24:07 ----A---- C:\Windows\system32\authuitu.dll
2009-08-06 18:24:04 ----A---- C:\Windows\system32\TuneUpDefragService.exe
2009-08-01 16:19:42 ----A---- C:\Windows\system32\mshtml.dll
2009-08-01 16:19:41 ----A---- C:\Windows\system32\ieframe.dll
2009-08-01 16:19:39 ----A---- C:\Windows\system32\iertutil.dll
2009-08-01 16:19:38 ----A---- C:\Windows\system32\wininet.dll
2009-08-01 16:19:38 ----A---- C:\Windows\system32\urlmon.dll
2009-08-01 16:19:37 ----A---- C:\Windows\system32\occache.dll
2009-08-01 16:19:37 ----A---- C:\Windows\system32\msfeeds.dll
2009-08-01 16:19:37 ----A---- C:\Windows\system32\iedkcs32.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\msfeedssync.exe
2009-08-01 16:19:36 ----A---- C:\Windows\system32\msfeedsbs.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\jsproxy.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\ieUnatt.exe
2009-08-01 16:19:36 ----A---- C:\Windows\system32\ieui.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\iesysprep.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\iesetup.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\iernonce.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\iepeers.dll
2009-08-01 16:19:36 ----A---- C:\Windows\system32\ie4uinit.exe

======List of files/folders modified in the last 1 months======

2009-08-27 21:03:24 ----D---- C:\Windows\Prefetch
2009-08-27 21:03:22 ----D---- C:\Windows\Temp
2009-08-27 21:03:21 ----D---- C:\Temp
2009-08-27 20:56:25 ----D---- C:\Windows\system32\drivers
2009-08-27 20:56:25 ----D---- C:\Windows\System32
2009-08-27 20:56:07 ----D---- C:\Windows
2009-08-27 20:54:38 ----D---- C:\Windows\Tasks
2009-08-27 20:44:15 ----RD---- C:\Program Files
2009-08-27 20:44:15 ----HD---- C:\ProgramData
2009-08-27 20:39:09 ----D---- C:\Windows\Minidump
2009-08-27 20:39:09 ----D---- C:\Windows\Debug
2009-08-27 19:32:37 ----D---- C:\Users\Sel\AppData\Roaming\Winamp
2009-08-27 18:55:15 ----D---- C:\Windows\system32\Tasks
2009-08-27 16:39:42 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-08-27 16:39:30 ----D---- C:\Windows\inf
2009-08-27 16:36:31 ----D---- C:\Users\Sel\AppData\Roaming\uTorrent
2009-08-27 16:18:05 ----D---- C:\Windows\system32\catroot
2009-08-27 13:38:33 ----SHD---- C:\System Volume Information
2009-08-27 13:34:28 ----D---- C:\Program Files\Mozilla Firefox
2009-08-27 11:24:10 ----D---- C:\Windows\system32\catroot2
2009-08-27 11:13:53 ----D---- C:\Program Files\CONEXANT
2009-08-27 11:06:39 ----D---- C:\SwSetup
2009-08-27 09:46:21 ----D---- C:\Windows\rescache
2009-08-27 09:34:58 ----D---- C:\ProgramData\Google
2009-08-26 20:42:42 ----D---- C:\Windows\winsxs
2009-08-26 20:42:42 ----D---- C:\Windows\system32\de-DE
2009-08-26 20:14:14 ----SHD---- C:\Windows\Installer
2009-08-21 18:38:33 ----D---- C:\Windows\system32\config
2009-08-13 12:57:56 ----D---- C:\Program Files\TuneUp Utilities 2009
2009-08-12 15:56:39 ----D---- C:\Program Files\Windows Media Player
2009-08-06 18:24:09 ----A---- C:\Windows\system32\TUProgSt.exe
2009-08-03 16:11:47 ----D---- C:\Program Files\Full Tilt Poker
2009-08-02 09:59:34 ----D---- C:\Windows\system32\migration
2009-08-02 09:59:34 ----D---- C:\Program Files\Internet Explorer
2009-08-01 20:06:58 ----D---- C:\Windows\system32\WDI
2009-07-30 02:49:14 ----A---- C:\Windows\system32\mrt.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 eabfiltr;eabfiltr; C:\Windows\system32\DRIVERS\eabfiltr.sys [2006-06-28 8192]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-07-15 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-06 55656]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2006-11-16 32256]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2006-11-16 43520]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2006-11-16 37376]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-04 8192]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]
R3 e1express;Intel(R) PRO/1000 PCI Express-Netzwerkverbindungstreiber; C:\Windows\system32\DRIVERS\e1e6032.sys [2008-01-21 220672]
R3 HBtnKey;HBtnKey; C:\Windows\system32\DRIVERS\cpqbttn.sys [2006-06-28 9472]
R3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\CHDART.sys [2006-11-19 145920]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2006-10-18 986624]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2006-10-18 206848]
R3 lmimirr;lmimirr; C:\Windows\system32\DRIVERS\lmimirr.sys [2008-07-24 10144]
R3 NETw3v32;Intel(R) PRO/Wireless 3945ABG Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-09 1786880]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2006-12-07 4456416]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-21 88576]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2006-11-15 179256]
R3 usbvideo;USB Video Device (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2006-10-18 659968]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]
S3 BthEnum;Bluetooth-Auflistungsdienst; C:\Windows\system32\DRIVERS\BthEnum.sys [2008-01-21 19456]
S3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-21 92160]
S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2008-04-29 220160]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2008-04-29 29184]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2008-01-21 200704]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2008-01-21 49664]
S3 TVICHW32;TVICHW32; \??\C:\Windows\system32\DRIVERS\TVICHW32.SYS [2009-08-17 23600]
S3 UIUSys;Conexant Setup API; C:\Windows\system32\DRIVERS\UIUSYS.SYS []
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-07-15 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe [2006-11-24 270431]
R2 CLSched;CyberLink Task Scheduler (CTS); C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe [2006-11-24 118877]
R2 HP Health Check Service;HP Health Check Service; c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe [2008-06-16 94208]
R2 hpqwmiex;hpqwmiex; C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe [2006-05-02 135168]
R2 pgsql-8.3;PostgreSQL Database Server 8.3; C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-09-19 65536]
R2 TuneUp.ProgramStatisticsSvc;@%SystemRoot%\System32\TUProgSt.exe,-1; C:\Windows\System32\TUProgSt.exe [2009-08-06 604488]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2006-08-04 386560]
S2 CLTNetCnService;Symantec Lic NetConnect service; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon []
S3 AddFiltr;AddFiltr; C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe [2006-06-26 126976]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 stllssvr;stllssvr; C:\Program Files\Common Files\SureThing Shared\stllssvr.exe [2006-11-01 73728]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2009-08-06 361288]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

Alt 27.08.2009, 20:18   #5
john.doe
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Hast du die Funde von Malwarebytes auch löschen lassen? Da steht No action taken.

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.08.2009, 20:19   #6
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Info File:


info.txt logfile of random's system information tool 1.06 2009-08-27 21:03:27

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Alice Software 4.10.0-->C:\Program Files\Alice Software\AliceUninstall.exe
ASL_HS_Installer32-->MsiExec.exe /I{FAB0C302-CB18-4A7A-BA03-C3DC23101A68}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Broadcom 802.11 Wireless LAN Adapter-->"C:\Program Files\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe" verbose /rootkey="Software\Broadcom\802.11\UninstallInfo" /rootdir="C:\Program Files\Broadcom\Broadcom 802.11\Driver"
bwin Poker-->"C:\bwinPoker\unins000.exe"
Canon MP Navigator 2.0-->"C:\Program Files\Canon\MP Navigator 2.0\Maint.exe" /UninstallRemove C:\Program Files\Canon\MP Navigator 2.0\uninst.ini
Canon MP150-->"C:\Windows\system32\CanonMP Uninstaller Information\{CA9A3609-3ECC-4574-8824-A8161A71A603}\DelDrv.exe" /U:{CA9A3609-3ECC-4574-8824-A8161A71A603} /L0x0007
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Conexant HD Audio-->C:\Program Files\CONEXANT\CNXT_HDAUDIO\HUFSetup.EXE -U -IwisR30B7.inf
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DriverAgent by eSupport.com-->RunDll32.exe advpack.dll,LaunchINFSection driveragent_exe.inf,TVICHW32Remove
Free YouTube to Mp3 Converter version 3.1-->"C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Full Tilt Poker-->"C:\Program Files\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe" -runfromtemp -l0x0007 -removeonly
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Hewlett-Packard Active Check for Health Check-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP Active Support Library-->C:\Program Files\InstallShield Installation Information\{5DAA9C36-8F8B-462F-8CCA-E205BC3751F5}\setup.exe -runfromtemp -l0x0409
HP Help and Support-->MsiExec.exe /X{31216452-5540-4C96-B754-94890A63D5AB}
HP Pavilion Webcam Driver for Vista v061.001.00005-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CA81D12-9EC2-4082-972B-43ECA63F41F2}\setup.exe" -l0x7 -removeonly
HP Quick Launch Buttons 6.10 B9-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\setup.exe" -l0x7 -removeonly uninst
HP QuickPlay 3.0-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\Setup.exe" -uninstall
HP Update-->MsiExec.exe /X{FE57DE70-95DE-4B64-9266-84DA811053DB}
HP User Guide 0049-->MsiExec.exe /I{3E3A110A-7FAE-4DC0-8E39-BAFFE89724B6}
HP Wireless Assistant-->MsiExec.exe /I{02F33FB0-F7D5-4C0A-B4AD-8CE5CE230BBE}
HPAsset component for HP Active Support Library-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}
HPNetworkAssistant-->MsiExec.exe /I{228C6B46-64E2-404E-898A-EF0830603EF4}
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110409-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{6D52C408-B09A-4520-9B18-475B81D393F1}
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MyMicroBalance-->MsiExec.exe /I{4B393BCF-3540-4B42-92BA-50E795066E9E}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OmniPage SE-->MsiExec.exe /I{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}
PokerStars-->"C:\Program Files\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
PokerStove version 1.21-->"C:\Program Files\PokerStove\unins000.exe"
PostgreSQL 8.3-->MsiExec.exe /I{B823632F-3B72-4514-8861-B961CE263224}
Roxio Creator Audio-->MsiExec.exe /I{83FFCFC7-88C6-41c6-8752-958A45325C82}
Roxio Creator Basic v9-->MsiExec.exe /I{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}
Roxio Creator Copy-->MsiExec.exe /I{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}
Roxio Creator Data-->MsiExec.exe /I{0D397393-9B50-4c52-84D5-77E344289F87}
Roxio Creator EasyArchive-->MsiExec.exe /I{11F93B4B-48F0-4A4E-AE77-DFA96A99664B}
Roxio Creator Tools-->MsiExec.exe /I{0394CDC8-FABD-4ed8-B104-03393876DFDF}
Roxio Express Labeler 3-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_5045&SUBSYS_103C30B7\HXFSETUP.EXE -U -Iwis30B7z.inf
Softonic_Deutsch Toolbar-->C:\PROGRA~1\SOFTON~1\UNWISE.EXE C:\PROGRA~1\SOFTON~1\INSTALL.LOG
Sonic Activation Module-->MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}
Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
SpyHunter-->"C:\Program Files\Enigma Software Group\SpyHunter\Uninstall.exe" "C:\Program Files\Enigma Software Group\SpyHunter\install.log" -u
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 0.9.4-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Xvid 1.2.1 final uninstall-->"C:\Program Files\Xvid\unins000.exe"
Zattoo 3.3.4 Beta-->C:\Program Files\Zattoo\uninst.exe

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: ***
Event Code: 20267
Message: CoID={840218A7-4603-48EF-987E-02C1D8A33FAF}: Der Benutzer xxx@alice-dsl.de hat unter Verwendung des Geräts PPPoE2-0 eine Verbindung mit alicedsl hergestellt.
Record Number: 106483
Source Name: RemoteAccess
Time Written: 20090827185937.000000-000
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 106484
Source Name: Service Control Manager
Time Written: 20090827185940.000000-000
Event Type: Informationen
User:

Computer Name: ****
Event Code: 20003
Message: Der Prozess zum Hinzufügen von Dienst tunnel für Geräteinstanz-ID ROOT\*ISATAP\0062 wurde mit folgendem Status beendet: 0.
Record Number: 106485
Source Name: Microsoft-Windows-User-PnP
Time Written: 20090827185944.619865-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 10029
Message: DCOM hat den Dienst TrustedInstaller mit den Argumenten "" gestartet, um den Server auszuführen:
{752073A1-23F2-4396-85F0-8FDB879ED0ED}
Record Number: 106486
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090827190032.000000-000
Event Type: Informationen
User:

Computer Name: ****
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Ausgeführt".
Record Number: 106487
Source Name: Service Control Manager
Time Written: 20090827190032.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ****
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\Temp\kbiwkmoeaajlwcpu.tmp verdächtigen Code mit der Bezeichnung 'TR/Crypt.ULPM.Gen'!
Record Number: 25210
Source Name: Avira AntiVir
Time Written: 20090827190207.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\Temp\kbiwkmbicplxnwyu.tmp verdächtigen Code mit der Bezeichnung 'TR/Crypt.ULPM.Gen'!
Record Number: 25211
Source Name: Avira AntiVir
Time Written: 20090827190216.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\Temp\kbiwkmbicplxnwyu.tmp verdächtigen Code mit der Bezeichnung 'TR/Crypt.ULPM.Gen'!
Record Number: 25212
Source Name: Avira AntiVir
Time Written: 20090827190216.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\Temp\kbiwkmxfdfirnyij.tmp verdächtigen Code mit der Bezeichnung 'TR/Crypt.ULPM.Gen'!
Record Number: 25213
Source Name: Avira AntiVir
Time Written: 20090827190221.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ****
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\Temp\kbiwkmxfdfirnyij.tmp verdächtigen Code mit der Bezeichnung 'TR/Crypt.ULPM.Gen'!
Record Number: 25214
Source Name: Avira AntiVir
Time Written: 20090827190221.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: ***
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 38432
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090827190323.681065-000
Event Type: Überwachung gescheitert
User:

Computer Name: ****
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 38433
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090827190323.743465-000
Event Type: Überwachung gescheitert
User:

Computer Name: ****
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 38434
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090827190323.852665-000
Event Type: Überwachung gescheitert
User:

Computer Name: ****
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\CnxtDSP.dll
Record Number: 38435
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090827190420.168665-000
Event Type: Überwachung gescheitert
User:

Computer Name: ****
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\CnxtDSP.dll
Record Number: 38436
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090827190548.184665-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"DFSTRACINGON"=FALSE
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0f02
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"USERNAME"=SYSTEM
"windir"=%SystemRoot%

-----------------EOF-----------------

( So , ich hoffe das reicht.. )

Liebe Grüße
Geändert von michael112 (27.08.2009 um 20:25 Uhr)

Alt 27.08.2009, 20:22   #7
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Zitat:
Zitat von john.doe Beitrag anzeigen
Hast du die Funde von Malwarebytes auch löschen lassen? Da steht No action taken.

ciao, andreas
ja, das habe ich.. Ich habe, nachdem dieser Bericht kam, die Einträge löschen lassen und das System neugestartet!!!

Übrigens, das sagt mir jetzt mein Avira AntiVir Programm:

In der Datei 'C:\Windows\Temp\vmnxpjlfmm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] gefunden

Alt 27.08.2009, 20:28   #8
john.doe
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Schon wieder ein neues Rootkit.

1.) Deinstalliere vorab:
  • TuneUp
  • Unlocker
  • SpyHunter
  • Softonic_Deutsch Toolbar
2.) http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.08.2009, 21:02   #9
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Ich habe deine Anweisungen befolgt: ( Leider steigt wieder rundll32.exe beim Neustart, musste den Prozess erneut beenden..)

Gibs denn bei dem Programm keine "Reinigung"? Also ich habs gescannt und den File hier kopiert, aber ich wußte nicht, wie ich diese Rootkits beseitigen soll??

Hier File:

GMER 1.0.15.15077 [xczjgt76.exe] - http://www.gmer.net
Rootkit scan 2009-08-27 21:53:58
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.15 ----

Code 86F4F2D8 ZwEnumerateKey
Code 86F542E8 ZwFlushInstructionCache
Code 86F6F2FE ZwSaveKey
Code 86EF42D6 ZwSaveKeyEx
Code 86F6446D IofCallDriver
Code 86F672BE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCompleteRequest 8243DFE2 5 Bytes JMP 86F672C3
.text ntkrnlpa.exe!IofCallDriver 824BFF6F 5 Bytes JMP 86F64472
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 825B630B 5 Bytes JMP 86F542EC
PAGE ntkrnlpa.exe!ZwEnumerateKey 8260BBA2 5 Bytes JMP 86F4F2DC
PAGE ntkrnlpa.exe!ZwSaveKey 82659523 5 Bytes JMP 86F6F302
PAGE ntkrnlpa.exe!ZwSaveKeyEx 8265962A 5 Bytes JMP 86EF42DA

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\Explorer.EXE[1864] ntdll.dll!LdrLoadDll 76E17933 5 Bytes JMP 007C000A

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\kbiwkmkfnxuwli.sys (*** hidden *** ) [SYSTEM] kbiwkmneitsenw <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b421a6b
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b421a6b@001e45c2589b 0x17 0xF3 0x77 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw@imagepath \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main@aid 10058
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmxeosoxkt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmgemsxayc.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmpquiqxdt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmneitsenw\modules@kbiwkm.dat \systemroot\system32\kbiwkmerbyedfh.dat
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b421a6b (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b421a6b@001e45c2589b 0x17 0xF3 0x77 0x2A ...
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw@imagepath \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main@aid 10058
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main@sid 0
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmkfnxuwli.sys
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmxeosoxkt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmgemsxayc.dat
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmpquiqxdt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmneitsenw\modules@kbiwkm.dat \systemroot\system32\kbiwkmerbyedfh.dat

---- EOF - GMER 1.0.15 ----

Alt 27.08.2009, 21:12   #10
john.doe
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.08.2009, 21:18   #11
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Gut, dann werd ich den Rechner wohl formatieren müssen!

Alles klar, vielen Dank für die Mühe!!!!

Liebe Grüße

Alt 27.08.2009, 21:19   #12
john.doe
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Dann kann ich dich entlassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 28.08.2009, 12:12   #13
michael112
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Habe meine Vista CD/DVD nicht mehr... Jedoch hab ich den Key.. ( Es ist 100% original)

Frage: Kann ich eine Vista CD/DVD vom Freund besorgen und meinen Key eingeben??

Ich weiß, ich achte auf die Bit Version und auf die Sprache..

das müsste gehen, oder??

Alt 28.08.2009, 12:22   #14
DeeWayne
 
rundll32.exe schießt in die höhe?? - Standard

rundll32.exe schießt in die höhe??


Das wird gehen ;-)
__________________
Für alle Hilfesuchenden!

Antwort

Themen zu rundll32.exe schießt in die höhe??
0 bytes, adobe, antivir, antivir guard, avg, avira, bho, defender, desktop, excel, firefox, hijack, hijackthis, internet, internet explorer, launch, mozilla, prozess, rundll, softonic, softonic deutsch toolbar, software, symantec, taskmanager, temp, trojaner, trojaner eingefangen, tuneup.defrag, tuprogst.exe, virus, vista, windows


« mBam findet verdächtige Dateien kehren nach löschen aber immer wieder | Mit USB Stick infiziert? »


Ähnliche Themen: rundll32.exe schießt in die höhe??


  1. Avast schießt andauern Meldungen/Warnungen raus...
    Alles rund um Windows - 26.06.2015 (21)
  2. US-Geheimdienstfachmann: Die Regierung sollte Exploit-Preise in die Höhe treiben
    Nachrichten - 12.08.2014 (0)
  3. Suche Grafikkarte für halbe Höhe/Low Profile, und Strom-Lösung!
    Netzwerk und Hardware - 20.11.2012 (4)
  4. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  5. Flash Player treibt CPU in die Höhe
    Alles rund um Windows - 12.08.2011 (4)
  6. [Problem] Ping schießt in die Höhe (Laggs etc.)
    Log-Analyse und Auswertung - 30.01.2011 (1)
  7. svchost.exe - Speicherauslastung schießt hoch
    Log-Analyse und Auswertung - 16.08.2010 (0)
  8. svchost.exe lässt Upload in die Höhe treiben
    Log-Analyse und Auswertung - 08.02.2010 (10)
  9. Auslastung schießt bei CSS hoch
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (42)
  10. Mein Ping schießt immer unerwartet total nach oben - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 25.06.2009 (1)
  11. Rundll32.exe
    Plagegeister aller Art und deren Bekämpfung - 18.03.2009 (1)
  12. Zu viele Rundll32.exe ?
    Plagegeister aller Art und deren Bekämpfung - 09.03.2009 (5)
  13. Hartnäckiger Trojaner schießt alle gängigen Anti-Spyware, Antivirenprogramme ab !
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (69)
  14. rundll32.exe
    Alles rund um Windows - 21.07.2005 (0)
  15. rundll32.exe
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (5)
  16. rundll32.exe auf 97&
    Log-Analyse und Auswertung - 16.01.2005 (2)
  17. Neue Schriftart schießt Windows ab
    Archiv - 11.01.2003 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema rundll32.exe schießt in die höhe?? - Hallo, ich mach es mal kurz: Heute habe ich mir diesen blöden Trojaner eingefangen namens "msa.exe".. Hab ich im Taskmanager gefunden, Prozess beendet, einiges durchgeführt, damit das Ding verschwindet! ICH - rundll32.exe schießt in die höhe??...
Archiv
Du betrachtest: rundll32.exe schießt in die höhe?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131