b.exe hat ein Problem festgestellt...

Navaki · 02.09.2009, 19:24

log - Teil 2

Code:

ATTFilter

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2007-04-20 142104]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2007-04-20 162584]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2007-04-20 138008]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-04-10 16126464]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"Adobe Version Cue CS2"=C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe [2005-04-06 856064]
"Acrobat Assistant 7.0"=C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe [2008-04-23 483328]
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2003-10-14 155648]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2004-03-09 40960]
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe [2004-07-20 851968]
"VirtualCloneDrive"=C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2006-04-29 94208]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"Symantec PIF AlertEng"=C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe [2008-01-29 583048]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2008-03-25 570664]
"AVMFBoxMonitor"=C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe [2008-06-03 1508656]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-01-05 413696]
"Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2008-02-29 76304]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2007-05-15 35328]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-25 149280]
"COMODO Internet Security"=C:\Programme\COMODO\COMODO Internet Security\cfp.exe [2009-08-26 1796368]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Rainlendar2"=C:\Programme\Rainlendar2\Rainlendar2.exe [2007-07-24 1298432]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe [2008-02-28 1828136]
"Nero PhotoShow Media Manager"=C:\PROGRA~1\Nero\PHOTOS~1\data\Xtras\mssysmgr.exe [2008-02-12 353544]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2008-08-08 490952]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="   C:\WINDOWS\system32\guard32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2007-04-16 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn]
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll [2008-05-02 72208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe"="C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe:*:Enabled:Adobe Version Cue CS2"
"C:\Programme\Hamachi\hamachi.exe"="C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi"
"C:\Programme\Teamspeak2_RC2\TeamSpeak.exe"="C:\Programme\Teamspeak2_RC2\TeamSpeak.exe:*:Enabled:Teamspeak RC2"
"C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"="C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe:*:Enabled:FRITZ!Box Monitor"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Miranda IM Portable\miranda32.exe"="C:\Programme\Miranda IM Portable\miranda32.exe:*:Enabled:Miranda IM"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\Gameforge4D\AirRivals_DE\Launcher.atm"="C:\Programme\Gameforge4D\AirRivals_DE\Launcher.atm:Enabled:GameExe2"
"C:\Programme\Gameforge4D\AirRivals_DE\Res-Voip\SCVoIP.exe"="C:\Programme\Gameforge4D\AirRivals_DE\Res-Voip\SCVoIP.exe:Enabled:GameVoIP"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-09-02 20:15:01 ----D---- C:\rsit
2009-09-02 15:33:53 ----D---- C:\Avenger
2009-09-02 15:33:53 ----A---- C:\avenger.txt
2009-09-02 11:17:56 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-02 11:17:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-02 11:17:38 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-02 10:28:50 ----D---- C:\Programme\Lavalys
2009-08-26 13:11:00 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-08-15 00:28:34 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-15 00:28:29 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-15 00:28:24 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-15 00:28:18 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-15 00:28:12 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-15 00:28:06 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-15 00:28:01 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-15 00:27:54 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-15 00:26:20 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-07 13:23:30 ----A---- C:\WINDOWS\system32\javaws.exe
2009-08-07 13:23:30 ----A---- C:\WINDOWS\system32\javaw.exe
2009-08-07 13:23:30 ----A---- C:\WINDOWS\system32\java.exe

======List of files/folders modified in the last 1 months======

2009-09-02 20:14:59 ----D---- C:\WINDOWS\Prefetch
2009-09-02 16:07:24 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-02 15:59:54 ----D---- C:\Programme\Mozilla Firefox
2009-09-02 15:59:41 ----D---- C:\WINDOWS\Temp
2009-09-02 15:55:19 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WTablet
2009-09-02 15:55:12 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2009-09-02 15:53:21 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-02 15:33:53 ----D---- C:\WINDOWS\system32\drivers
2009-09-02 15:33:53 ----AD---- C:\WINDOWS\system32
2009-09-02 15:33:53 ----AD---- C:\WINDOWS
2009-09-02 12:53:50 ----D---- C:\TEMP
2009-09-02 11:58:02 ----D---- C:\Programme\Mozilla Thunderbird
2009-09-02 11:17:38 ----RD---- C:\Programme
2009-08-31 12:27:39 ----SD---- C:\WINDOWS\Tasks
2009-08-31 11:48:25 ----RSD---- C:\WINDOWS\Fonts
2009-08-28 14:50:30 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Move Networks
2009-08-26 17:28:49 ----A---- C:\WINDOWS\system32\guard32.dll
2009-08-26 13:11:05 ----HD---- C:\WINDOWS\inf
2009-08-25 09:23:49 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-16 13:24:21 ----SHD---- C:\WINDOWS\Installer
2009-08-16 13:24:21 ----SHD---- C:\Config.Msi
2009-08-15 00:28:37 ----A---- C:\WINDOWS\imsins.BAK
2009-08-15 00:28:36 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-15 00:28:16 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-15 00:28:03 ----D---- C:\Programme\Outlook Express
2009-08-12 09:57:40 ----D---- C:\WTablet
2009-08-07 13:23:28 ----D---- C:\Programme\Java
2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072]
R1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2009-08-26 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2009-08-26 25160]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225856]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 hcmon;VMware hcmon; \??\C:\WINDOWS\system32\Drivers\hcmon.sys []
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2006-02-28 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2006-02-28 55936]
R2 VMnetBridge;VMware Bridge Protocol; C:\WINDOWS\system32\DRIVERS\vmnetbridge.sys [2006-11-13 30256]
R2 VMnetuserif;VMware Network Application Interface; \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys []
R2 VMparport;VMware VMparport; \??\C:\WINDOWS\system32\Drivers\VMparport.sys []
R2 vmx86;VMware vmx86; \??\C:\WINDOWS\system32\Drivers\vmx86.sys []
R2 vstor2;Vstor2 Virtual Storage Driver; \??\C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys []
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2008-03-29 125328]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidIr;Microsoft Infrarot-HID-Treiber; C:\WINDOWS\system32\DRIVERS\hidir.sys [2008-04-13 19200]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-04-16 5760096]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-04-10 4397568]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service; C:\WINDOWS\system32\drivers\IntcHdmi.sys [2006-12-06 108032]
R3 IrBus;Infrared bus filter driver for eHome remote controls; C:\WINDOWS\system32\DRIVERS\IrBus.sys [2008-04-13 46592]
R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2008-02-29 35344]
R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2008-02-29 36880]
R3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\drivers\LVUSBSta.sys [2007-05-09 41888]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 PID_PEPI;Logitech QuickCam IM(PID_PEPI); C:\WINDOWS\system32\DRIVERS\LV302V32.SYS [2007-05-09 1276832]
R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-13 12288]
R3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 wacmoumonitor;Wacom Mode Helper; C:\WINDOWS\system32\DRIVERS\wacmoumonitor.sys [2008-04-23 15656]
R3 wacommousefilter;Wacom Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 11312]
R3 wacomvhid;Wacom Virtual Hid Driver; C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 12848]
R3 WacomVKHid;Virtual Keyboard Driver; C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys [2007-02-15 11440]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-11-02 250496]
S3 apfix28b;apfix28b; C:\WINDOWS\system32\drivers\apfix28b.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 aujasnkj;aujasnkj; \??\C:\DOKUME~1\***\LOKALE~1\Temp\aujasnkj.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-12-31 25280]
S3 kvpndev;Kerio VPN adapter; C:\WINDOWS\system32\DRIVERS\kvpndrv.sys [2007-08-28 65024]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer; C:\WINDOWS\system32\DRIVERS\kwflower.sys []
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 npkcusb;npkcusb; \??\C:\Programme\Lineage II\system\npkcusb.sys []
S3 npkycryp;npkycryp; \??\C:\Programme\Lineage II\system\npkycryp.sys []
S3 NPPTNT2;NPPTNT2; \??\C:\WINDOWS\system32\npptNT2.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 VMnetAdapter;VMware Virtual Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\vmnetadapter.sys [2006-11-13 16560]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 Adobe Version Cue CS2;Adobe Version Cue CS2; C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe [2005-04-06 163840]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler; C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 554352]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 cmdAgent;COMODO Internet Security Helper Service; C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe [2009-08-26 715392]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376]
R2 LiveUpdate Notice Service;LiveUpdate Notice Service; C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe [2008-01-29 583048]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2003-06-19 322120]
R2 TabletServiceWacom;TabletServiceWacom; C:\WINDOWS\system32\Wacom_Tablet.exe [2008-06-06 3406120]
R2 VMAuthdService;VMware Authorization Service; C:\Programme\VMware\VMware Player\vmware-authd.exe [2006-11-13 224048]
R2 VMnetDHCP;VMware DHCP Service; C:\WINDOWS\system32\vmnetdhcp.exe [2006-11-13 113456]
R2 vmount2;VMware Virtual Mount Manager Extended; C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe [2006-11-13 269104]
R2 VMware NAT Service;VMware NAT Service; C:\WINDOWS\system32\vmnat.exe [2006-11-13 142128]
R3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2008-02-28 529704]
S2 LiveUpdate Notice Ex;LiveUpdate Notice Service Ex; C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe /h ccCommon []
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-09-15 72704]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 LBTServ;Logitech Bluetooth Service; C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe [2008-05-02 121360]
S3 LiveUpdate;LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [2007-09-26 2999664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF----------------

Navaki · 02.09.2009, 19:57

Und hier noch der Inhalt von info.txt:

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-09-02 20:15:13

======Uninstall list======

-->C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->msiexec /I {236BB7C4-4419-42FD-0407-1E257A25E34D}
-->msiexec /I {B2F5D08C-7E79-4FCD-AAF4-57AD35FF0601}
-->msiexec /I{7F4C8163-F259-49A0-A018-2857A90578BC}
-->MsiExec.exe /I{8A42F680-2DD6-11D4-9A8C-0040F6982C20}
-->MsiExec.exe /I{A2529672-574A-4A99-86A5-C1770A0E31FE}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000103}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5101}
Adobe Creative Suite 2-->C:\PROGRA~1\INSTAL~1\{0134A~1\setup.exe /relaunched/rootloc=d:\adobe creative suite 2.0/lang=0407
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-119F-4D52-B551-6739B2B22101}
Adobe Photoshop 6.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 6.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 6.0\Uninst.dll"
Adobe Reader 6.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-000000000001}
Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos 1.0-->MsiExec.exe /I{EE0D5DCD-2B97-4473-98DF-E93C0BD92F7A}
Adobe SVG Viewer 3.0-->C:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Install.log
AirRivals_DE 1.0.0.35-->"C:\Programme\Gameforge4D\AirRivals_DE\unins000.exe"
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
Audacity 1.3.6 (Unicode)-->"C:\Programme\Audacity 1.3 Beta (Unicode)\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AVM FRITZ!Box Monitor-->"C:\Programme\FRITZ!Box Monitor\install.exe" -d
Biet-O-Matic v2.8.2-->C:\PROGRA~1\BIET-O~1\UNWISE.EXE C:\PROGRA~1\BIET-O~1\install.log
Blue Byte Game Channel-->C:\WINDOWS\system32\rundll32.exe C:\Programme\BlueByte\uninst.dll,Uninstall "Blue Byte Game Channel"
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Brother MFL-Pro Suite-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{40A6C96D-808E-41DD-8716-617AB6B0F1F1}\Setup.exe" -l0x7 Brunin03.dllBrunin03.dll
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{0C826C5B-B131-423A-A229-C71B3CACCD6A}
Citavi 2.4.7.0-->C:\Programme\Citavi\Deinstallieren.exe
COMODO Internet Security-->C:\Programme\COMODO\COMODO Internet Security\cfpconfg.exe -u
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Die Siedler IV-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\BlueByte\Die Siedler IV\uninst.isu" -c"C:\Programme\BlueByte\Die Siedler IV\BBINST.DLL"
DVD Shrink 3.2-->"C:\Programme\DVD Shrink\unins000.exe"
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
fin fin-->C:\Programme\FUJITSU\fin fin\TEO_UNINST.EXE
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
FUJIFILM USB Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5490882C-6961-11D5-BAE5-00E0188E010B}\Setup.exe" 
Hamachi 1.0.3.0-->C:\Programme\Hamachi\uninstall.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\***\Desktop\Datensicherung\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
InfraRecorder-->C:\Programme\InfraRecorder\uninstall.exe
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
IrfanView (remove only)-->C:\Programme\IrfanView\iv_uninstall.exe
IZArc 3.81-->"C:\Programme\IZArc\unins000.exe"
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Joe-->MsiExec.exe /X{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}
KhalInstallWrapper-->MsiExec.exe /I{3101CB58-3482-4D21-AF1A-7057FC935355}
Lineage II-->C:\Programme\InstallShield Installation Information\{430B1017-1B12-420C-8F27-05D0EC2995E0}\setup.exe -runfromtemp -l0x0009 -removeonly
LineAge Utils-->"C:\Programme\LineAge Utils - Beta\unins000.exe"
LiveUpdate 3.2 (Symantec Corporation)-->"C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U
LiveUpdate Notice (Symantec Corporation)-->MsiExec.exe /X{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}
Logitech SetPoint-->C:\Programme\InstallShield Installation Information\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}\setup.exe -runfromtemp -l0x0007 -removeonly
Logitech Updater-->MsiExec.exe /I{53735ECE-E461-4FD0-B742-23A352436D3A}
Macromedia Dreamweaver MX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8B4AB829-DFD3-436D-B808-D9733D76C590}\Setup.exe" -l0x7 mmUninstall
Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x7 mmUninstall
Macromedia Fireworks MX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{930B2432-43D4-11D5-9871-00C04F8EEB39}\Setup.exe" -l0x7 UNINSTALL
Macromedia Flash MX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3BE480ED-E17A-431A-981C-5C2EDDBCD3BF}\Setup.exe" -l0x7 UNINSTALL
Macromedia FreeHand 10-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D826618-59C6-11D4-976E-00C04F8EEB39}\Setup.exe" -l0x7 UNINSTALL
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 6.0 Docs-->"C:\Programme\Microsoft Visual Studio\MSDN98\VC6intro\1033\Setup\Setup.exe"
Microsoft Visual C++ 6.0 Introductory Edition-->"C:\Programme\Microsoft Visual Studio\VC98\Setup\1033\Setup.exe"
Miranda IM 0.8.2-->C:\Programme\Miranda IM\Uninstall.exe
MozBackup 1.4.7-->"C:\Programme\MozBackup\unins000.exe"
Mozilla Firefox (3.5.2)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8 Essentials-->MsiExec.exe /X{E64404F1-98DC-4CC8-A1A7-EF36E4E21031}
Nero PhotoShow Express 5-->"C:\Programme\Nero\PhotoShow 5\data\Xtras\Uninstall.exe"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NETGEAR Print Server Software-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\NETGEAR Print Server\Uninst.isu"
OKI Network Extension-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{38ADB9A6-798C-11D6-A855-00105A80791C}\setup.exe" -l0x9 -Removeall
PaperPort-->MsiExec.exe /I{A17EABB6-D0C6-44E5-820C-72DC7F495064}
PHP 5.2.8-->MsiExec.exe /I{537A9973-4BD1-404F-A89F-A92E03DD9CC9}
PuTTY version 0.60-->"C:\Programme\PuTTY\unins000.exe"
QuarkXPress Passport 5.0-->MsiExec.exe /I{A7BF5297-3E74-11D5-B00F-00104B398D77}
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
RAD Video Tools-->"C:\Programme\RADVideo\uninstall.exe"
Rainlendar2 (remove only)-->"C:\Programme\Rainlendar2\uninst.exe"
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Roll-->C:\WINDOWS\UniFish3.exe C:\Programme\Hasbro Interactive\RollerCoaster Tycoon\RollerCoaster Tycoon.log
Safari-->MsiExec.exe /I{D90AFDE3-3E67-407A-ACA8-F0BAAD012F08}
SAMS Teach Yourself Visual C++ 6 in 21 Days, Complete Compiler Edition-->C:\PROGRA~1\TYVCin21\SOURCE\UNWISE.EXE C:\PROGRA~1\TYVCin21\SOURCE\INSTALL.LOG
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf

Navaki · 02.09.2009, 19:58

Info - Teil 2

Code:

ATTFilter

Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sid Meier's Pirates!-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{1632FD86-1BA4-4FC4-8B25-A8C655D63F68} /l1031 
Skype™ 3.5-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Snow3 1.4.1-->"C:\Programme\Snow3\unins000.exe"
Sophies Freunde Mode-Designer-->"C:\Programme\InstallShield Installation Information\{DAE76241-A047-407E-9237-26120C7BA6CE}\Setup.exe" -runfromtemp -l0x0007 -removeonly
Starcraft-->C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat
Suite Specific-->MsiExec.exe /I{C49DAA9C-5BA8-459A-8244-E57B69DF0F04}
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6c-->C:\Programme\VideoLAN\VLC\uninstall.exe
VirtualCloneDrive-->"C:\Programme\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Programme\Elaborate Bytes\VirtualCloneDrive"
VMware Player-->MsiExec.exe /I{31799B14-B3E7-4522-B393-6206C03EC5D3}
Wacom Tablett-->C:\Programme\Tablet\Wacom\Remove.exe /u
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WinSCP 3.7.5 beta-->"C:\Programme\WinSCP3\unins000.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
Zoo Tycoon: Complete Collection-->"C:\Programme\Microsoft Games\Zoo Tycoon\UNINSTAL.EXE" /runtemp /addremove

=====HijackThis Backups=====

O1 - Hosts: 91.44.165.36 nProtect.lineage2.com [2009-09-02]
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing) [2009-09-02]
O1 - Hosts: 91.44.165.36 update.nProtect.net [2009-09-02]
O1 - Hosts: 91.44.165.36 L2testauthd.lineage2.com [2009-09-02]
O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\***\LOKALE~1\Temp\b.exe [2009-09-02]
O1 - Hosts: 91.44.165.36 L2authd.lineage2.com [2009-09-02]
O1 - Hosts: 91.44.165.36 update.nProtect.com [2009-09-02]

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: COMODO Firewall

======System event log======

Computer Name: WS05
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 36684
Source Name: EventLog
Time Written: 20090715165055.000000+120
Event Type: Informationen
User: 

Computer Name: WS05
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 36683
Source Name: EventLog
Time Written: 20090715165055.000000+120
Event Type: Informationen
User: 

Computer Name: WS05
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 36682
Source Name: EventLog
Time Written: 20090715130107.000000+120
Event Type: Informationen
User: 

Computer Name: WS05
Event Code: 19
Message: Installation erfolgreich: Das folgende Update wurde installiert. Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB973346)

Record Number: 36681
Source Name: Windows Update Agent
Time Written: 20090715130101.000000+120
Event Type: Informationen
User: 

Computer Name: WS05
Event Code: 4377
Message: Windows XP, Hotfix KB973346 wurde installiert.

Record Number: 36680
Source Name: NtServicePack
Time Written: 20090715130101.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: WS05
Event Code: 101
Message: Informationsebene: success

Automatisches LiveUpdate wurde beendet.

Record Number: 18884
Source Name: Automatic LiveUpdate Scheduler
Time Written: 20090601142712.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: WS05
Event Code: 101
Message: Informationsebene: success

Scheduler hat das Automatische LiveUpdate gestartet.

Record Number: 18883
Source Name: Automatic LiveUpdate Scheduler
Time Written: 20090601142636.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: WS05
Event Code: 101
Message: Informationsebene: success

Die nächste Ausführung ist geplant am 2:26 um PM.

Record Number: 18882
Source Name: Automatic LiveUpdate Scheduler
Time Written: 20090601105628.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: WS05
Event Code: 101
Message: Informationsebene: success

Automatisches LiveUpdate wurde beendet.

Record Number: 18881
Source Name: Automatic LiveUpdate Scheduler
Time Written: 20090601105628.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: WS05
Event Code: 101
Message: Informationsebene: success

Scheduler hat das Automatische LiveUpdate gestartet.

Record Number: 18880
Source Name: Automatic LiveUpdate Scheduler
Time Written: 20090601105554.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=C:\Programme\PHP\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Adobe\AGL;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"XPCDrive"=D:\
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip
"PHPRC"=C:\Programme\PHP\

-----------------EOF-----------------

Chris4You · 03.09.2009, 06:36

Hi,

das sieht gut aus, zwar einige gestoppte Treiber in Temp-Verzeichnissen, aber die werden wir wohl nicht finden (gelöscht).

Der Job ist noch da und muß gelöscht werden, eine Exe muß überprüft werden ...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Job löschen:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dann ist auffällig, dass jede Menge Treiber laufen, kein Wunder das die Kiste lahm ist (Webcam usb, Webcam seriell etc.)...

Was hat MAM noch ausgespuckt?

chris

Navaki · 03.09.2009, 09:27

Guten Morgen,

VirusTotal spuckt folgendes aus:

Code:

ATTFilter

 Datei mdm.exe empfangen 2009.09.03 08:21:30 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.09.03	-
AhnLab-V3	5.0.0.2	2009.09.02	-
AntiVir	7.9.1.7	2009.09.03	-
Antiy-AVL	2.0.3.7	2009.09.03	-
Authentium	5.1.2.4	2009.09.03	-
Avast	4.8.1335.0	2009.09.02	-
AVG	8.5.0.409	2009.09.02	-
BitDefender	7.2	2009.09.03	-
CAT-QuickHeal	10.00	2009.09.02	-
ClamAV	0.94.1	2009.09.03	-
Comodo	2191	2009.09.03	-
DrWeb	5.0.0.12182	2009.09.03	-
eSafe	7.0.17.0	2009.09.02	-
eTrust-Vet	31.6.6718	2009.09.03	-
F-Prot	4.5.1.85	2009.09.01	-
F-Secure	8.0.14470.0	2009.09.03	-
Fortinet	3.120.0.0	2009.09.03	-
GData	19	2009.09.03	-
Ikarus	T3.1.1.68.0	2009.09.03	-
Jiangmin	11.0.800	2009.09.03	-
K7AntiVirus	7.10.834	2009.09.02	-
Kaspersky	7.0.0.125	2009.09.03	-
McAfee	5729	2009.09.03	-
McAfee+Artemis	5729	2009.09.03	-
McAfee-GW-Edition	6.8.5	2009.09.03	-
Microsoft	1.5005	2009.09.03	-
NOD32	4390	2009.09.02	-
Norman		2009.09.02	-
nProtect	2009.1.8.0	2009.09.02	-
Panda	10.0.2.2	2009.09.02	-
PCTools	4.4.2.0	2009.09.02	-
Prevx	3.0	2009.09.03	-
Rising	21.45.14.00	2009.09.01	-
Sophos	4.45.0	2009.09.03	-
Sunbelt	3.2.1858.2	2009.09.02	-
Symantec	1.4.4.12	2009.09.03	-
TheHacker	6.3.4.3.396	2009.09.03	-
TrendMicro	8.950.0.1094	2009.09.03	-
VBA32	3.12.10.10	2009.09.03	-
ViRobot	2009.9.3.1915	2009.09.03	-
VirusBuster	4.6.5.0	2009.09.02	-
weitere Informationen
File size: 322120 bytes
MD5...: 11f714f85530a2bd134074dc30e99fca
SHA1..: 34ea5694ae49339c04e28b78f838378957378dda
SHA256: bdb5fd3b2df4add19b31965b3e789768b59e872b3ea85912b1ffb32b2af9d5d8
ssdeep: 6144:nCPmgvo/NP+Wnr4qN9Hw81mY3khrUySQeuRnmKFaGn:nCBvQNPRnrNC8Z2U
ySFuXn
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1488
timedatestamp.....: 0x3c372323 (Sat Jan 05 16:00:35 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44d70 0x45000 6.50 677f322103f20712c6ff2e0d214d22aa
.data 0x46000 0x29a4 0x3000 0.94 32a7a49687c15bd06bde4706450849d3
.rsrc 0x49000 0x3290 0x4000 3.81 43d1bdf8c200761cf6b963c983de6f48

( 9 imports )
> ADVAPI32.dll: RegOpenKeyExW, RegQueryValueExW, QueryServiceStatus, LookupAccountSidA, PrivilegeCheck, GetSecurityDescriptorLength, IsValidSecurityDescriptor, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorSacl, MakeAbsoluteSD, SetSecurityDescriptorDacl, MakeSelfRelativeSD, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, GetUserNameA, AllocateAndInitializeSid, GetSidLengthRequired, CopySid, FreeSid, LookupAccountNameA, LookupAccountSidW, IsValidSid, EqualSid, RegConnectRegistryA, RegSetKeySecurity, RegCreateKeyA, DuplicateToken, RegOpenKeyA, RegQueryValueExA, RegEnumValueA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, CreateServiceA, ChangeServiceConfigA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, ControlService, DeleteService, RegEnumKeyExA, OpenThreadToken, GetTokenInformation, LookupPrivilegeValueA, OpenProcessToken, AdjustTokenPrivileges, SetServiceStatus, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetThreadToken, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegSetValueExA, RegQueryInfoKeyA, RegEnumKeyA
> KERNEL32.dll: HeapCreate, DuplicateHandle, MapViewOfFile, CreateFileMappingA, GetExitCodeProcess, CreateProcessW, GetStartupInfoA, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetOEMCP, GetCPInfo, HeapSize, VirtualAlloc, ExitProcess, RtlUnwind, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsFree, TlsSetValue, TlsGetValue, IsBadWritePtr, VirtualProtect, GetSystemInfo, VirtualQuery, LCMapStringA, LCMapStringW, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, SetEndOfFile, lstrcpyA, HeapDestroy, GetCurrentThreadId, InterlockedIncrement, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, InterlockedDecrement, FreeLibrary, MultiByteToWideChar, GetProcAddress, GetModuleFileNameA, GetModuleHandleA, LoadLibraryA, CloseHandle, RaiseException, WaitForSingleObject, GetLastError, CreateEventA, SetEvent, OpenEventA, TerminateThread, CreateThread, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, lstrlenA, GetComputerNameA, WideCharToMultiByte, lstrlenW, FlushInstructionCache, GetCurrentProcess, HeapAlloc, GetProcessHeap, lstrcmpiA, UnmapViewOfFile, lstrcatA, LocalFree, FormatMessageA, GetFileAttributesA, GetCurrentThread, lstrcpynA, IsDBCSLeadByte, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, SetUnhandledExceptionFilter, GetCommandLineA, GetCurrentProcessId, SetErrorMode, GetPrivateProfileStringA, OpenProcess, TerminateProcess, GetProcessTimes, CreateDirectoryA, GetProfileStringA, WritePrivateProfileStringA, WriteProfileStringA, GetPrivateProfileSectionNamesA, ResumeThread, HeapFree, LocalAlloc, GetVersion, GetTickCount, CreateProcessA, LockResource, SetEnvironmentVariableA, GetSystemDirectoryA, ReleaseMutex, CreateMutexA, GetModuleHandleW, FindClose, FindFirstFileA, LocalSize, ReadFile, SetFilePointer, CreateFileA, SetLastError, ReadProcessMemory, FindResourceExA, CompareStringA, CompareStringW, TlsAlloc
> ole32.dll: CoTaskMemAlloc, CoTaskMemFree, CoTaskMemRealloc, StringFromGUID2, CoDisconnectObject, CoUninitialize, CoInitializeEx, CoInitializeSecurity, CoCreateInstanceEx, CoRegisterClassObject, CoSetProxyBlanket, CoQueryProxyBlanket, CLSIDFromString, StringFromCLSID, StringFromIID, IIDFromString, CoGetClassObject, CoGetCallContext, CoRevokeClassObject, CoRevertToSelf, CoCreateGuid, CoImpersonateClient, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> RPCRT4.dll: RpcStringFreeA, RpcBindingFromStringBindingA, RpcStringBindingComposeA, NdrClientCall, RpcBindingSetAuthInfoA
> SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHBrowseForFolderA, SHGetPathFromIDListA
> SHLWAPI.dll: PathFindExtensionA
> USER32.dll: UnregisterClassA, wsprintfW, CharUpperA, EnumWindows, GetWindowThreadProcessId, IsWindowVisible, GetWindowTextA, SetForegroundWindow, EndDialog, EnableWindow, GetParent, GetWindow, GetWindowRect, SystemParametersInfoA, GetClientRect, MapWindowPoints, SetWindowPos, GetDlgItem, SetDlgItemTextA, SendDlgItemMessageA, IsDlgButtonChecked, PostThreadMessageA, KillTimer, GetMessageA, SetTimer, PeekMessageA, SetWindowLongA, CharNextA, MessageBoxA, LoadStringA, DialogBoxParamA, DispatchMessageA, RegisterWindowMessageA, wsprintfA, GetWindowLongA, SendMessageA, CheckDlgButton, GetDlgItemInt, GetDlgItemTextA
> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=11f714f85530a2bd134074dc30e99fca' target='_blank'>http://www.threatexpert.com/report.aspx?md5=11f714f85530a2bd134074dc30e99fca</a>

Ich hoffe das ist diesmal alles!?
MAM? Meinst du damit Malewarebytes??

Habe mit Malewarebytes bis jetzt keinen weiteren Scan durchgeführt.

Ich lösche jetzt den Job, damit das nicht noch länger was nachsaugt, die mdm.exe bleibt ja davon unberührt!

/edit: So Avenger ist durch und meldet:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Chris4You · 03.09.2009, 09:55

Hi,

okay, dann wären wir durch...
Zur Sicherheit noch abschließend einen Scan mit Prevx:

http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

Navaki · 03.09.2009, 10:07

Prevx 3.0 hat nochmal etwas gefunden...

b.exe hat ein Problem festgestellt...-scan.jpg

Chris4You · 03.09.2009, 10:16

Hmm,

kann ich nicht richtig erkennen, lass das Teil mal bei virustotal.com prüfen...
Wahrscheinlichkeit ist allerdings hoch...!
Hmm, taucht in keinem Log auf (spoolsrv.exe)...

chris

Navaki · 03.09.2009, 10:28

Blöd das die Grafik nochmal verkleinert wurde...grrr...

Das Rootkit "spoolsrv.exe" soll sich unter c:\windows\system32 befinden, allerdings versteckt. Ich hab die Datei unter c:\windows\system32 und c:\windows\ nicht gefunden, trotz entsprechender Ordnereinstellung. Es gibt zwar ähnlich benannte Dateien, aber nicht exakt "spoolsrv.exe".

Der Thread ist in der Registry...keine Ahnung wie ich das wegbekomme...soll ich den CCleaner mal ausführen?

Danke für deine Betreuung,
Navaki

Chris4You · 03.09.2009, 10:37

Hi,

nachdem GMER nichts gefunden hat, ist mir das zu heiss...

Du kannst probieren, ob es geht wenn Du bei Virustotal den gesamten Pfad einfach reinkopierst und dann hochladen lässt:

Code:

ATTFilter

C:\windows\system32\spoolsrv.exe

Wir lassen ComboFix mal scannen:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Navaki · 03.09.2009, 10:46

Zitat:

Zitat von Chris4You

Du kannst probieren, ob es geht wenn Du bei Virustotal den gesamten Pfad einfach reinkopierst und dann hochladen lässt:

Da kommt leider nur die Meldung, dass der Pfad nicht gefunden wurde.

Zitat:

Zitat von Chris4You

Wir lassen ComboFix mal scannen:

In Ordnung, dann leg ich mal los...

Chris4You · 03.09.2009, 10:57

Hi,

ich habe noch mal versucht das Bild zu entziffern.
Wenn ich es richtig sehe ist ein ":" zwischen dem Pfad und der exe, C:\windows\system32:spoolsrv.exe. Das ist jetzt nicht mein Fachgebiet, das sieht aber aus wie ein alternativer Datenstrom (ADS), der an das Verzeichnis system32 angehängt wurde. Der ist so nicht sichtbar... Das deutet eindeutig auf Malware hin...
Du verwendest doch NTFS als Filesystem, oder?

Falls CF es nicht schafft, muss ich mich mal schlau machen...

chris

Navaki · 03.09.2009, 11:06

Zitat:

Zitat von Chris4You

Wenn ich es richtig sehe ist ein : zwischen dem Pfad und er exe, C:\windows\system32:spoolsrv.exe. Das ist jetzt nicht mein Fachgebiet, das sieht aber aus wie ein alternativer Datenstrom (ADS), der an das Verzeichnis system32 angehängt wurde. Der ist so nicht sichtbar... Das deutet eindeutig auf Malware hin...

Ein alternativer Datenstrom...wuhu... klingt nicht so gut.

Zitat:

Zitat von Chris4You

Du verwendest doch NTFS als Filesystem, oder?

Ja, ich verwende NTFS

Zitat:

Zitat von Chris4You

Falls CF es nicht schafft, muss ich mich mal schlau machen...

Combofix ist durch:

Code:

ATTFilter

ComboFix 09-09-02.02 - *** 03.09.2009 11:56.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2037.1304 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Datensicherung\Reinigungstools\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
 ADS - system32: deleted 180752 bytes in 2 streams. 
 ADS - WINDOWS: deleted 72 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Norton AntiVirus.lnk
C:\install.exe
c:\windows\Installer\2737f9a.msi

.
(((((((((((((((((((((((   Dateien erstellt von 2009-08-03 bis 2009-09-03  ))))))))))))))))))))))))))))))
.

2009-09-03 09:00 . 2009-09-03 09:00	27656	----a-w-	c:\windows\system32\drivers\pxsec.sys
2009-09-03 09:00 . 2009-09-03 09:00	22024	----a-w-	c:\windows\system32\drivers\pxscan.sys
2009-09-03 09:00 . 2009-09-03 09:00	--------	d-----w-	c:\programme\Prevx
2009-09-03 08:59 . 2009-09-03 09:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-09-02 18:15 . 2009-09-02 18:16	--------	d-----w-	C:\rsit
2009-09-02 09:17 . 2009-09-02 09:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-02 09:17 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-02 09:17 . 2009-09-02 09:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-02 09:17 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-02 09:17 . 2009-09-02 09:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-09-02 08:28 . 2009-09-02 08:28	--------	d-----w-	c:\programme\Lavalys
2009-08-14 09:00 . 2009-07-10 13:26	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 08:38 . 2008-06-15 16:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-09-03 08:38 . 2008-07-27 15:00	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\WTablet
2009-09-03 08:38 . 2008-06-15 16:29	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-09-02 09:58 . 2007-09-16 18:27	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-09-01 16:59 . 2008-08-29 16:56	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet
2009-08-31 18:57 . 2007-09-15 20:17	39688	-c--a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-28 12:50 . 2008-12-18 07:43	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks
2009-08-26 15:28 . 2009-02-19 15:52	179792	----a-w-	c:\windows\system32\guard32.dll
2009-08-26 15:28 . 2009-02-19 15:52	87104	----a-w-	c:\windows\system32\drivers\inspect.sys
2009-08-26 15:28 . 2009-02-19 15:52	25160	----a-w-	c:\windows\system32\drivers\cmdhlp.sys
2009-08-26 15:28 . 2009-02-19 15:52	132168	----a-w-	c:\windows\system32\drivers\cmdguard.sys
2009-08-07 11:23 . 2007-09-16 18:31	--------	d-----w-	c:\programme\Java
2009-08-05 08:59 . 2006-02-28 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-28 10:00 . 2007-10-06 05:39	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-07-25 03:23 . 2008-12-11 07:08	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-22 10:45 . 2009-07-22 10:43	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Audacity
2009-07-22 10:45 . 2007-11-11 10:18	--------	d-----w-	c:\programme\Audacity
2009-07-22 10:43 . 2009-07-22 10:43	--------	d-----w-	c:\programme\Audacity 1.3 Beta (Unicode)
2009-07-17 19:01 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-02-28 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-12 13:41 . 2009-02-22 12:41	--------	d-----w-	c:\programme\FileZilla Server
2009-07-12 13:19 . 2008-12-22 14:38	--------	d-----w-	c:\programme\Lin]e[age Server
2009-07-12 13:01 . 2009-02-22 16:11	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\MySQL
2009-07-03 16:55 . 2006-02-28 12:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-06-16 14:36 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 12:00	82944	----a-w-	c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2007-09-15 19:36	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2008-08-30 17:30 . 2008-08-30 17:30	0	-csha-w-	c:\windows\SA2A34C2C.tmp
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"Nero PhotoShow Media Manager"="c:\progra~1\Nero\PHOTOS~1\data\Xtras\mssysmgr.exe" [2008-02-12 353544]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-20 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-20 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-20 138008]
"Adobe Version Cue CS2"="c:\programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 851968]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"AVMFBoxMonitor"="c:\programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2008-06-03 1508656]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-05-14 35328]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2009-08-26 1796368]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-02-29 76304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-2-21 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"=
"c:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Miranda IM Portable\\miranda32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Gameforge4D\AirRivals_DE\Launcher.atm"= c:\programme\Gameforge4D\AirRivals_DE\Launcher.atm:Enabled:GameExe2
"c:\programme\Gameforge4D\AirRivals_DE\Res-Voip\SCVoIP.exe"= c:\programme\Gameforge4D\AirRivals_DE\Res-Voip\SCVoIP.exe:Enabled:GameVoIP
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:MySQL Server

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [03.09.2009 11:00 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [03.09.2009 11:00 27656]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [19.02.2009 17:52 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [19.02.2009 17:52 25160]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [16.09.2007 12:43 554352]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [03.09.2009 11:00 4368952]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [27.07.2008 17:00 3406120]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [15.09.2007 21:51 108032]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [27.07.2008 17:00 15656]
S3 kvpndev;Kerio VPN adapter;c:\windows\system32\drivers\kvpndrv.sys [28.08.2007 09:48 65024]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys --> c:\windows\system32\DRIVERS\kwflower.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [02.09.2009 11:17 38160]
S3 npkycryp;npkycryp;\??\c:\programme\Lineage II\system\npkycryp.sys --> c:\programme\Lineage II\system\npkycryp.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CSISCANNER
*NewlyCreated* - PXSCAN
*NewlyCreated* - PXSEC

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D97A8762-C04A-D035-3133-BC39230D0A40}]
c:\windows\system32:spoolsrv.exe
.
Inhalt des "geplante Tasks" Ordners

2009-06-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.trojaner-board.de/
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\extensions\flashplugin@idm\platform\WINNT\plugins\npidmdcp.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-03 12:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1212)
c:\windows\system32\guard32.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(1268)
c:\windows\system32\guard32.dll
.
Zeit der Fertigstellung: 2009-09-03 12:01
ComboFix-quarantined-files.txt  2009-09-03 10:01

Vor Suchlauf: 18 Verzeichnis(se), 273.610.940.416 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 273.947.406.336 Bytes frei

207	--- E O F ---	2009-09-02 19:14

Chris4You · 03.09.2009, 11:09

Hi,

die ADS sind weg:

Zitat:

ADS - system32: deleted 180752 bytes in 2 streams.
(da hat sich die Saubacke versteckt, äh, Tschuldigung...)
ADS - WINDOWS: deleted 72 bytes in 1 streams.

Schau jetzt mal das Log durch...

chris

Navaki · 03.09.2009, 11:16

Zitat:

Zitat von Chris4You

die ADS sind weg:
Schau jetzt mal das Log durch...

Juchu!!

b.exe hat ein Problem festgestellt...

Plagegeister aller Art und deren Bekämpfung: b.exe hat ein Problem festgestellt...