Nach Entfernung eines Keyloggers + Trojaners

Roperi · 10.09.2009, 19:37

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2773
Windows 5.1.2600 Service Pack 3

10.09.2009 20:35:16
mbam-log-2009-09-10 (20-35-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 220821
Laufzeit: 28 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Acid303 · 10.09.2009, 20:56

Das sieht ja schonmal ganz gut aus aber was mir Sorgen macht ist immernoch

Code:

ATTFilter

C:\WINDOWS\system32\xml_inc.dll

Hast du die auch entfernt? Lasse bitte HijackThis nochmal laufen und poste das log hier. Sollte die Datei dort wieder auftauchen lade sie bitte bei Virustotal hoch und lasse sie überprüfen.

Gruß

Acid

Roperi · 11.09.2009, 04:44

Guten Morgen,

Hi Jack This sagt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:38:30, on 11.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Genius\ioCentre\gTaskBar.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Genius\ioCentre\gMouseTask.exe
C:\Genius\ioCentre\gKbdTask.exe
C:\Genius\ioCentre\gAutoPan.exe
C:\Genius\ioCentre\gAutoScroll.exe
C:\Genius\ioCentre\gZoom.exe
C:\Genius\ioCentre\gMGlass.exe
C:\Genius\ioCentre\gIMMgm.exe
C:\Genius\ioCentre\gKbStatus.exe
C:\Genius\ioCentre\gDeskMgm.exe
C:\Genius\ioCentre\gTaskSwitch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Systemsoftware\1&1 EasyLogin\EasyLogin.exe
C:\Dokumente und Einstellungen\user\Desktop\Selten genutzt\PRINTKEY.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater6\Adobe_Updater.exe
D:\Programme\Systemsoftware\Opera\opera.exe
C:\Programme\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/cpm-redir/IE-8.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.1und1.de/suchbox/1und1suche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [mouseElf] D:\PROGRA~1\SYSTEM~1\Luxmate\MouseElf.EXE
O4 - HKLM\..\Run: [ioCentre] C:\Genius\ioCentre\gTaskBar.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Multimedia\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [xml10] RUNDLL32.EXE C:\WINDOWS\system32\xml_inc.dll,i
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] D:\Programme\Systemsoftware\1&1 EasyLogin\EasyLogin.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit PRINTKEY.lnk = C:\Dokumente und Einstellungen\user\Desktop\Selten genutzt\PRINTKEY.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Multimedia\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7469 bytes

Roperi · 11.09.2009, 04:46

Und Virus total sagt:
Die Datei wurde bereits analysiert:MD5: b652394072504247fd362a7adb39c08e
First received: 2009.09.01 12:09:18 UTC
Datum 2009.09.10 13:22:29 UTC [<1D]
Ergebnisse 9/41
Permalink: analisis/bd1c82e3c54e66a62e4da4f5d70fd7f3d80a926c81bbaf9c2b69b2335ba32463-1252588949

File size: 61440 bytes
MD5 : b652394072504247fd362a7adb39c08e
SHA1 : 1e7699a289cb7491436bf964f56ed3949da9089d
SHA256: bd1c82e3c54e66a62e4da4f5d70fd7f3d80a926c81bbaf9c2b69b2335ba32463
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4739
timedatestamp.....: 0x4A98E5B0 (Sat Aug 29 10:24:16 2009)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6940 0x7000 6.51 77381e3525974ba9111bc365185128a1
.rdata 0x8000 0x1269 0x2000 3.37 0e9493842e68946d6b3c3720a50e2aed
.data 0xA000 0x649C 0x1000 1.30 1d97c3d225501bf0b665d09d5284b99d
0EF0A0SF 0x11000 0x7D0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
ANGEL 0x12000 0x14 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x13000 0x368 0x1000 0.90 843e8fe83c6596ef55283e0daebf1fad
.reloc 0x14000 0x668 0x1000 1.90 368e8bcfd2593903c7c2a77eddd5df04

( 6 imports )

> advapi32.dll: RegCreateKeyA, RegOpenKeyExA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCloseKey
> kernel32.dll: LoadLibraryA, Sleep, DeleteFileA, WinExec, GetBinaryTypeA, GetTickCount, GetTempPathA, CreateThread, GetLocalTime, VirtualQuery, VirtualProtect, CloseHandle, GetCurrentProcess, GetModuleFileNameA, GetSystemInfo, GetFileAttributesExA, FileTimeToSystemTime, GetVersionExA, GetModuleHandleA, GetProcAddress
> msvcrt.dll: _except_handler3, calloc, _adjust_fdiv, malloc, _initterm, free, _splitpath, fgets, fopen, fclose, _stricmp, strstr, _access, rename, strncmp, strchr, __2@YAPAXI@Z, atoi, sprintf
> netapi32.dll: Netbios
> user32.dll: CharLowerA, SetWindowsHookExA, GetMessageA, TranslateMessage, DispatchMessageA, CallNextHookEx, wsprintfA
> ws2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )

> AR, GetVer, i
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 768:U/kojbMkHnn96IbYquwvBDkGI0/XM3VJ:i5nMCn4IbYquuDqr3VJ
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=8590FB19006F6F08F073004F0F7F6E009708866F
PEiD : -
RDS : NSRL Reference Data Set

Was auch immer das bedeutet.

Franz1968 · 11.09.2009, 16:02

Das bedeutet, dass du hoffentlich noch keinen Gebrauch von deinen neuen Zugangsdaten gemacht hast.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\xml_inc.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" dass der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Roperi · 11.09.2009, 17:10

Wie vorgeschlagen erledigt. Natürlich gibt mir Windows eine Fehlermeldung, das die entsprechende .dll nicht gefunden wurde. Avenger sagt:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\xml_inc.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und ich habe die neuen Logins schon genutzt, also ändere ich mal zügig am anderen Rechner.

Kann mir jemand mal erklären, was hier gerade läuft, außer das 2 erfahrene User einem Noob helfen? Ich kann dem ganzen nicht mehr folgen.

john.doe · 11.09.2009, 17:35

Hallo und

Da hier sowieso schon jeder reingepostet hat, schließe ich mich an.

Zitat:

Natürlich gibt mir Windows eine Fehlermeldung, das die entsprechende .dll nicht gefunden wurde.

Das ist gut so, denn das bedeutet, dass sie nicht nachgeladen wurde. Was wurde denn überhaupt gefunden:

Code:

ATTFilter

Datei xml_inc.dll empfangen 2009.09.10 13:22:29 (UTC)
Status: Beendet 
Ergebnis: 9/41 (21.95%)
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.09.10	-
AhnLab-V3	5.0.0.2	2009.09.10	-
AntiVir	7.9.1.14	2009.09.10	-
Antiy-AVL	2.0.3.7	2009.09.10	-
Authentium	5.1.2.4	2009.09.09	W32/Bongler-based!Maximus
Avast	4.8.1351.0	2009.09.09	-
AVG	8.5.0.412	2009.09.10	-
BitDefender	7.2	2009.09.10	-
CAT-QuickHeal	10.00	2009.09.10	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.09.10	-
Comodo	2274	2009.09.10	-
DrWeb	5.0.0.12182	2009.09.10	Trojan.PWS.Gamania.20091
eSafe	7.0.17.0	2009.09.10	-
eTrust-Vet	31.6.6728	2009.09.09	Win32/Wowpa.NY
F-Prot	4.5.1.85	2009.09.09	W32/Bongler-based!Maximus
F-Secure	8.0.14470.0	2009.09.10	-
Fortinet	3.120.0.0	2009.09.10	PossibleThreat
GData	19	2009.09.10	-
Ikarus	T3.1.1.72.0	2009.09.10	-
Jiangmin	11.0.800	2009.09.10	-
K7AntiVirus	7.10.840	2009.09.09	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.09.10	-
McAfee	5736	2009.09.09	-
McAfee+Artemis	5736	2009.09.09	Artemis!B65239407250
McAfee-GW-Edition	6.8.5	2009.09.10	-
Microsoft	1.5005	2009.09.10	-
NOD32	4414	2009.09.10	-
Norman	6.01.09	2009.09.10	-
nProtect	2009.1.8.0	2009.09.10	-
Panda	10.0.2.2	2009.09.09	-
PCTools	4.4.2.0	2009.09.10	-
Prevx	3.0	2009.09.10	Medium Risk Malware
Rising	21.46.34.00	2009.09.10	-
Sophos	4.45.0	2009.09.10	-
Sunbelt	3.2.1858.2	2009.09.10	-
Symantec	1.4.4.12	2009.09.10	-
TheHacker	6.3.4.3.399	2009.09.09	-
TrendMicro	8.950.0.1094	2009.09.10	-
VBA32	3.12.10.10	2009.09.09	-
ViRobot	2009.9.10.1928	2009.09.10	-
VirusBuster	4.6.5.0	2009.09.09	-
weitere Informationen
File size: 61440 bytes
MD5   : b652394072504247fd362a7adb39c08e
SHA1  : 1e7699a289cb7491436bf964f56ed3949da9089d
SHA256: bd1c82e3c54e66a62e4da4f5d70fd7f3d80a926c81bbaf9c2b69b2335ba32463
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4739
timedatestamp.....: 0x4A98E5B0 (Sat Aug 29 10:24:16 2009)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6940 0x7000 6.51 77381e3525974ba9111bc365185128a1
.rdata 0x8000 0x1269 0x2000 3.37 0e9493842e68946d6b3c3720a50e2aed
.data 0xA000 0x649C 0x1000 1.30 1d97c3d225501bf0b665d09d5284b99d
0EF0A0SF 0x11000 0x7D0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
ANGEL 0x12000 0x14 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x13000 0x368 0x1000 0.90 843e8fe83c6596ef55283e0daebf1fad
.reloc 0x14000 0x668 0x1000 1.90 368e8bcfd2593903c7c2a77eddd5df04

( 6 imports )

> advapi32.dll: RegCreateKeyA, RegOpenKeyExA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCloseKey
> kernel32.dll: LoadLibraryA, Sleep, DeleteFileA, WinExec, GetBinaryTypeA, GetTickCount, GetTempPathA, CreateThread, GetLocalTime, VirtualQuery, VirtualProtect, CloseHandle, GetCurrentProcess, GetModuleFileNameA, GetSystemInfo, GetFileAttributesExA, FileTimeToSystemTime, GetVersionExA, GetModuleHandleA, GetProcAddress
> msvcrt.dll: _except_handler3, calloc, _adjust_fdiv, malloc, _initterm, free, _splitpath, fgets, fopen, fclose, _stricmp, strstr, _access, rename, strncmp, strchr, __2@YAPAXI@Z, atoi, sprintf
> netapi32.dll: Netbios
> user32.dll: CharLowerA, SetWindowsHookExA, GetMessageA, TranslateMessage, DispatchMessageA, CallNextHookEx, wsprintfA
> ws2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )

> AR, GetVer, i
TrID  : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 768:U/kojbMkHnn96IbYquwvBDkGI0/XM3VJ:i5nMCn4IbYquuDqr3VJ
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=8590FB19006F6F08F073004F0F7F6E009708866F
PEiD  : -
RDS   : NSRL Reference Data Set

Zitat:

Kann mir jemand mal erklären, was hier gerade läuft, außer das 2 erfahrene User einem Noob helfen?

Leider nicht zwei erfahrene Helfer.

Die Meldungen der AVPs lassen erkennen, dass das genannte Programm nur einen Zweck hat: Kennwörter klauen. Besonders scharf scheinen sie auf den WoW-Account zu sein. Das Programm war aktiv. Kennwörter hast du ja schon gewechselt.

1.) Packe den Ordner C:\Avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.

2.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O2, O8, O9, O15 und O16-Einträge
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Multimedia\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [xml10] RUNDLL32.EXE C:\WINDOWS\system32\xml_inc.dll,i
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office10\OSA.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

=> Fix checked => Neustart

3.) Poste beide Logs von RSIT.

ciao, andreas

Roperi · 11.09.2009, 17:42

PN mit dem Avenger Link ist raus.

Jetzt HJT, aber welche beiden Logs von RSIT?

Den von gestern und den von gleich, nach HJT?

john.doe · 11.09.2009, 17:47

Zitat:

Jetzt HJT

Kannst du dir sparen.

Zitat:

aber welche beiden Logs von RSIT?

Klicke im letzten Post auf das blaue RSIT. Dort findest du den Downloadlink und eine Anleitung.

ciao, andreas

Roperi · 11.09.2009, 17:54

HJT hab ich schon gemacht, die DLL haben nach dem Reboot keine Fehlermeldung gegeben, die ich markieren sollte.

Hier der erste RSIT Log (ich weiss immer noch nicht, wie das mit dem Code geht.

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by user at 2009-09-11 18:52:56
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 16 GB (32%) free of 50 GB
Total RAM: 3327 MB (87% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:59, on 11.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Genius\ioCentre\gTaskBar.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Genius\ioCentre\gMouseTask.exe
C:\Genius\ioCentre\gKbdTask.exe
C:\Genius\ioCentre\gAutoPan.exe
C:\Genius\ioCentre\gAutoScroll.exe
C:\Genius\ioCentre\gZoom.exe
C:\Genius\ioCentre\gMGlass.exe
C:\Genius\ioCentre\gIMMgm.exe
C:\Genius\ioCentre\gKbStatus.exe
C:\Genius\ioCentre\gDeskMgm.exe
C:\Genius\ioCentre\gTaskSwitch.exe
D:\Programme\Systemsoftware\1&1 EasyLogin\EasyLogin.exe
C:\Dokumente und Einstellungen\user\Desktop\Selten genutzt\PRINTKEY.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\user\Desktop\Sicherheit\RSIT.exe
C:\Programme\trend micro\HijackThis\user.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [mouseElf] D:\PROGRA~1\SYSTEM~1\Luxmate\MouseElf.EXE
O4 - HKLM\..\Run: [ioCentre] C:\Genius\ioCentre\gTaskBar.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [1&1 EasyLogin] D:\Programme\Systemsoftware\1&1 EasyLogin\EasyLogin.exe
O4 - Startup: Verknüpfung mit PRINTKEY.lnk = C:\Dokumente und Einstellungen\user\Desktop\Selten genutzt\PRINTKEY.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Multimedia\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4139 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-08-20 16384512]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"mouseElf"=D:\PROGRA~1\SYSTEM~1\Luxmate\MouseElf.EXE [2004-08-26 192512]
"ioCentre"=C:\Genius\ioCentre\gTaskBar.exe [2007-12-17 61440]
"CmUsbSound"=RunDll32 cmcnfgu.cpl,CMICtrlWnd []
"nwiz"=C:\Programme\NVIDIA Corporation\nView\nwiz.exe [2009-07-09 1657376]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-07-14 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-07-14 13877248]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"1&1 EasyLogin"=D:\Programme\Systemsoftware\1&1 EasyLogin\EasyLogin.exe [2009-08-18 2227200]

C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart
Verknüpfung mit PRINTKEY.lnk - C:\Dokumente und Einstellungen\user\Desktop\Selten genutzt\PRINTKEY.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqste08.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpofxm08.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hposfx08.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hposid01.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqscnvw.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqkygrp.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqCopy.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpfccopy.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpzwiz01.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\Unload\HpqPhUnl.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpoews01.exe"="D:\Programme\Systemsoftware\Drucker\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Programme\Spiele\Neverwinter Nights 2\nwn2main.exe"="D:\Programme\Spiele\Neverwinter Nights 2\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"
"D:\Programme\Spiele\Neverwinter Nights 2\nwn2main_amdxp.exe"="D:\Programme\Spiele\Neverwinter Nights 2\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"
"D:\Programme\Spiele\Neverwinter Nights 2\nwupdate.exe"="D:\Programme\Spiele\Neverwinter Nights 2\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"
"D:\Programme\Spiele\Neverwinter Nights 2\nwn2server.exe"="D:\Programme\Spiele\Neverwinter Nights 2\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"
"D:\Programme\Systemsoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\RpcSandraSrv.exe"="D:\Programme\Systemsoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"D:\Programme\Spiele\World of Warcraft\BackgroundDownloader.exe"="D:\Programme\Spiele\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 032fdb60\Launcher.exe"="C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 032fdb60\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 02a4dd58\Launcher.exe"="C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\Blizzard Launcher Temporary - 02a4dd58\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
"D:\Programme\Spiele\World of Warcraft\Launcher.exe"="D:\Programme\Spiele\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher"
"D:\Programme\Spiele\B&W\runblack.exe"="D:\Programme\Spiele\B&W\runblack.exe:*:Enabled:lh"
"D:\Programme\Spiele\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"="D:\Programme\Spiele\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\Programme\Curse\CurseClient.exe"="D:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"D:\Programme\Spiele\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"="D:\Programme\Spiele\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\World of Warcraft\WoW-3.2.0-deDE-downloader.exe"="C:\World of Warcraft\WoW-3.2.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\World of Warcraft\Launcher.exe"="C:\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"="C:\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe:*:Enabled:Blizzard Downloader"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-09-11 18:07:15 ----D---- C:\Avenger
2009-09-11 18:07:15 ----A---- C:\avenger.txt
2009-09-09 07:28:03 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-09 07:28:00 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-09 07:27:57 ----A---- C:\WINDOWS\imsins.BAK
2009-09-08 21:40:01 ----D---- C:\Programme\trend micro
2009-09-08 21:40:00 ----D---- C:\rsit
2009-09-08 21:35:12 ----D---- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes
2009-09-08 21:35:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-08 21:35:03 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-05 13:47:50 ----D---- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Bump Technologies, Inc
2009-09-05 13:47:32 ----D---- C:\Programme\BumpTop
2009-09-04 07:22:44 ----D---- C:\Programme\Avira
2009-09-04 07:22:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-09-04 00:32:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-09-03 22:17:20 ----D---- C:\Programme\VideoLAN
2009-09-03 22:04:45 ----D---- C:\Programme\DivX
2009-09-03 21:38:23 ----D---- C:\World of Warcraft
2009-08-16 10:56:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-08-16 10:52:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2009-08-16 10:51:34 ----A---- C:\WINDOWS\system32\nvcuvid.dll
2009-08-16 10:51:34 ----A---- C:\WINDOWS\system32\nvcuvenc.dll
2009-08-16 10:47:25 ----RA---- C:\WINDOWS\system32\fdco1.dll
2009-08-16 10:47:23 ----A---- C:\WINDOWS\system32\nvunrm.exe
2009-08-16 10:46:53 ----RA---- C:\WINDOWS\system32\nvconrm.dll
2009-08-16 10:46:53 ----RA---- C:\WINDOWS\system32\bdco1.dll
2009-08-16 10:45:37 ----D---- C:\WINDOWS\nview
2009-08-16 10:45:37 ----A---- C:\WINDOWS\system32\nvuninst.exe
2009-08-16 10:45:37 ----A---- C:\WINDOWS\system32\nvudisp.exe

======List of files/folders modified in the last 1 months======

2009-09-11 18:51:10 ----D---- C:\WINDOWS\Temp
2009-09-11 18:51:09 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-11 18:49:55 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-11 18:49:38 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-09-11 18:49:37 ----D---- C:\WINDOWS\system32
2009-09-11 18:19:13 ----D---- C:\WINDOWS\Prefetch
2009-09-11 18:19:10 ----D---- C:\WINDOWS\system32\drivers
2009-09-10 16:26:15 ----SHD---- C:\WINDOWS\Installer
2009-09-10 16:26:12 ----HD---- C:\Config.Msi
2009-09-10 16:24:43 ----D---- C:\Programme\Google
2009-09-10 16:24:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2009-09-10 16:23:48 ----RD---- C:\Programme
2009-09-09 21:04:02 ----D---- C:\Dokumente und Einstellungen\user\Anwendungsdaten\teamspeak2
2009-09-09 19:31:36 ----AD---- C:\WINDOWS
2009-09-09 07:28:10 ----D---- C:\WINDOWS\Debug
2009-09-09 07:28:04 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-09 07:28:04 ----HD---- C:\WINDOWS\inf
2009-09-09 07:27:59 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-09 07:27:54 ----D---- C:\WINDOWS\ie8updates
2009-09-05 18:35:06 ----D---- C:\WINDOWS\system32\LogFiles
2009-09-05 13:49:52 ----D---- C:\WINDOWS\WinSxS
2009-09-04 07:07:27 ----D---- C:\Dokumente und Einstellungen
2009-09-04 07:03:57 ----D---- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2009-09-03 22:23:12 ----D---- C:\Programme\MediaCoder
2009-09-03 22:22:56 ----HD---- C:\Programme\InstallShield Installation Information
2009-09-03 22:22:02 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-03 22:20:24 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-03 22:10:56 ----D---- C:\Programme\DVDVideoSoft
2009-09-03 22:10:55 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-09-03 22:07:50 ----D---- C:\Dokumente und Einstellungen\user\Anwendungsdaten\DivX
2009-09-03 18:29:04 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe
2009-08-26 00:03:22 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-22 14:32:05 ----D---- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Ahead
2009-08-22 13:42:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-08-16 16:32:28 ----D---- C:\WINDOWS\network diagnostic
2009-08-16 10:54:03 ----D---- C:\WINDOWS\Help
2009-08-16 10:53:39 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-16 10:53:26 ----D---- C:\Programme\AGEIA Technologies
2009-08-16 10:53:00 ----D---- C:\Programme\NVIDIA Corporation
2009-08-16 10:52:47 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-08-16 10:51:31 ----D---- C:\NVIDIA
2009-08-16 10:51:05 ----D---- C:\Program Files
2009-08-16 10:47:06 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-08-16 10:34:29 ----D---- C:\WINDOWS\nvidia icons
2009-08-16 10:33:00 ----D---- C:\Programme\SystemRequirementsLab
2009-08-13 00:58:51 ----D---- C:\Programme\Outlook Express

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-09-05 28520]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2008-08-04 278984]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-09-05 55656]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2008-08-04 25416]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-09-20 99648]
R3 cmudau;C-Media USB Sound Interface; C:\WINDOWS\system32\drivers\cmudau.sys [2004-08-05 828160]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-08 51120]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-08 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-08 21744]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-08-28 4609024]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-07-14 7741664]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2007-09-20 53632]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2007-09-20 22016]
R3 nvsmu;nvsmu; C:\WINDOWS\system32\DRIVERS\nvsmu.sys [2007-07-07 12032]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 CrystalSysInfo;CrystalSysInfo; \??\C:\Programme\MediaCoder\SysInfo.sys []
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 genmcmnUSB;USB Scroll Mouse Driver; C:\WINDOWS\system32\DRIVERS\gflmouhid.sys [2004-04-19 6656]
S3 gHidPnp;USB Device Enhanced Function Driver; C:\WINDOWS\System32\Drivers\gHidPnp.Sys [2008-04-01 16896]
S3 gMouPS2;PS2 Scroll Mouse Device; C:\WINDOWS\system32\DRIVERS\gMouPS2.sys [2006-07-12 17408]
S3 gMouUsb;USB Mouse Device Drv; C:\WINDOWS\system32\DRIVERS\gMouUsb.sys [2007-07-20 9856]
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 KMWDFilter;KMWDFilter; \??\C:\WINDOWS\System32\Drivers\KMWDFilter.SYS []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 RT73;RT73 USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\rt73.sys []
S3 SANDRA;SANDRA; \??\D:\Programme\Systemsoftware\SiSoftware Sandra Lite XII.SP2c\WNt500x86\Sandra.sys []
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-09-05 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-09-05 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2007-07-25 79136]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-07-14 168004]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2007-08-09 73728]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NBService;NBService; D:\Programme\Multimedia\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-04-13 792112]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-01 271920]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Roperi · 11.09.2009, 17:57

Und die 2. Rsit Datei.

info.txt logfile of random's system information tool 1.06 2009-09-11 18:56:16

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->D:\Programme\Multimedia\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1&1 EasyLogin-->D:\Programme\Systemsoftware\1&1 EasyLogin\Uninstall.exe
1und1 Internet Explorer Add-On-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{411234A5-A7C5-4628-A4D3-64C942F8C38C}\1und1 Internet Explorer Add-On.exe" REMOVE=TRUE MODIFY=FALSE
1und1 Internet Explorer Add-On-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{411234A5-A7C5-4628-A4D3-64C942F8C38C}\1und1 Internet Explorer Add-On.exe
Action Replay Code Manager-->"C:\Programme\Datel\Action Replay Code Manager\unins000.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Agama-->C:\Programme\InstallShield Installation Information\{42C9C702-67B3-4308-9747-9E29B1D596E9}\setup.exe -runfromtemp -l0x0007 -removeonly
AnyDVD-->"D:\Programme\Multimedia\Any DVD\AnyDVD\AnyDVD-uninst.exe" /D="D:\Programme\Multimedia\Any DVD\AnyDVD"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"D:\Programme\Systemsoftware\CC Cleaner\CCleaner\uninst.exe"
CDex extraction audio-->"D:\Programme\Multimedia\CDex_170b2\uninstall.exe"
CloneDVD2-->"D:\Programme\Multimedia\Clone DVD\CloneDVD2\CloneDVD2-uninst.exe" /D="D:\Programme\Multimedia\Clone DVD\CloneDVD2"
C-Media USB Sound Driver-->C:\WINDOWS\system32\cmdrvrmu.exe
Crazy Machines II-->MsiExec.exe /X{112B0ED9-57F8-4883-8E6A-5BEAABDABBC1}
Defraggler (remove only)-->"D:\Programme\Systemsoftware\Defraggler\uninst.exe"
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
Dofus 1.24.0-->D:\Programme\Spiele\Dofus\uninstall.exe
DVD Shrink 3.2 deutsch-->"D:\Programme\Multimedia\DVD Shrink DE\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
Full Tilt Poker.Net-->"C:\Programme\InstallShield Installation Information\{E07B7A31-E160-466D-A003-3BB7B8989D52}\setup.exe" -runfromtemp -l0x0007 -removeonly
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
HP Document Viewer 5.3-->D:\Programme\Systemsoftware\Drucker\Digital Imaging\DocumentViewer\hpzscr01.exe -datfile hpqbud04.dat
HP Extended Capabilities 5.3-->D:\Programme\Systemsoftware\Drucker\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Image Zone 5.3-->D:\Programme\Systemsoftware\Drucker\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP Imaging Device Functions 5.3-->D:\Programme\Systemsoftware\Drucker\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP PSC & OfficeJet 5.3.B-->"D:\Programme\Systemsoftware\Drucker\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\setup\hpzscr01.exe" -datfile hposcr07.dat
HP Software Update-->MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.3-->D:\Programme\Systemsoftware\Drucker\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
ioCentre-->C:\Programme\InstallShield Installation Information\{A2B4621B-CEB9-4E44-95FD-3500D4DB3727}\setup.exe -runfromtemp -l0x0007 -removeonly
IrfanView (remove only)-->D:\Programme\Multimedia\Irfan View\iv_uninstall.exe
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marine Park Empire-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe /M{977CD9E4-2CE7-46AC-BBEC-FC2B9696464B} /l1031
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MobMap 3.42-->"D:\Programme\Spiele\MobMapUpdater\unins000.exe"
Monsterz 0.6.0-->"D:\Programme\Spiele\Monsterz\unins000.exe"
Mozilla Firefox (3.5.1)-->D:\Programme\Multimedia\Fire Fox\uninstall\helper.exe
MP3Gain-->C:\WINDOWS\st6unst.exe -n "D:\Programme\Multimedia\MP3 Gain\ST6UNST.LOG"
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Nero 7 Essentials-->MsiExec.exe /X{1A6A6531-08FC-47AD-BAC4-C41497E71031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Neverwinter Nights 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F20C1251-1D0A-4944-B2AE-678581B33B19}\SETUP.exe" -l0x7 -removeonly
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA nView Desktop Manager-->C:\Programme\NVIDIA Corporation\nView\nViewSetup.exe -uninstall
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
OpenAL-->"C:\Programme\OpenAL\oalinst.exe" /U
Opera 10.00-->MsiExec.exe /X{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}
Pdf995-->C:\Programme\pdf995\setup.exe uninstall
PokerStars-->"D:\Programme\Spiele\Poker\Poker Stars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
Runes of Magic-->"D:\Programme\Spiele\Runes of Magic\unins000.exe"
SA30xx Device Manager-->C:\Programme\InstallShield Installation Information\{289CDCBA-1E82-460A-9DCA-E9FB6BAC1A42}\setup.exe -runfromtemp -l0x0007 -removeonly
SA30xx Media Converter-->C:\Programme\InstallShield Installation Information\{1E06D48E-5448-4BCC-9F87-9FB4EBD59898}\setup.exe -runfromtemp -l0x0007 -removeonly
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sony Ericsson PC Suite-->MsiExec.exe /I{FC906D5C-91F9-4DA4-A765-6DCBB669F317}
Spellforce 2 Gold-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{746F49C9-3789-4F8E-AF3A-3A4B42ACFAF8}\setup.exe" -l0x7 -removeonly
SpellForce 2 Patch-->MsiExec.exe /I{7E8242F8-BD2A-44D7-BCED-9B231A02B367}
SpellForce-->D:\PROGRA~1\Spiele\SPELLF~1\unwise.exe D:\PROGRA~1\Spiele\SPELLF~1\install.log
System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TES Construction Set-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\Spiele\Morrowind\CSUninstall\Setup.exe" -l0x7
TestPokerStars.com-->"D:\Programme\Spiele\Poker\Test Poker Stars\PokerStarsUninstall.exe" /u:TestPokerStars.com
Total Commander (Remove or Repair)-->D:\Programme\Systemsoftware\totalcmd\tcuninst.exe
TwinTouch LuxeMate-->D:\Programme\Systemsoftware\Luxmate\Setup.exe /Uninstall
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB968220)-->"C:\WINDOWS\ie8updates\KB968220-IE8\spuninst\spuninst.exe"
USB 3D Sound Configuration-->C:\WINDOWS\CmiUSB2Uninstall.exe C:\Programme\USB 3D Sound Configuration#USB 3D Sound Configuration#USB 3D Sound Configuration#C:\WINDOWS\ICON.ico
Winamp-->"D:\Programme\Multimedia\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\Wrath of the Lich King\Uninstall.exe
Zanzarah - Das verborgene Portal-->C:\WINDOWS\IsUn0407.exe -fd:\PROGRA~1\Spiele\Zanzarah\Uninst.isu -cd:\PROGRA~1\Spiele\Zanzarah\System\UNINST~1.DLL

=====HijackThis Backups=====

O4 - HKLM\..\Run: [xml10] RUNDLL32.EXE C:\WINDOWS\system32\xml_inc.dll,i [2009-09-11]
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [2009-09-11]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/cpm-redir/IE-8.html [2009-09-11]
O15 - Trusted Zone: http://www.msi.com.tw [2009-09-11]
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [2009-09-11]
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab [2009-09-11]
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') [2009-09-11]
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll [2009-09-11]
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" [2009-09-11]
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Multimedia\Quick Time\qttask.exe" -atboottime [2009-09-11]
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') [2009-09-11]
O15 - Trusted Zone: http://asia.msi.com.tw [2009-09-11]
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') [2009-09-11]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-09-11]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-09-11]
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 [2009-09-11]
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office10\OSA.EXE [2009-09-11]
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-09-11]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG [2009-09-11]
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') [2009-09-11]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-11]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ [2009-09-11]
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-09-11]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.1und1.de/suchbox/1und1suche?su=%s [2009-09-11]
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-09-11]
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2009-09-11]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-09-11]
O15 - Trusted Zone: http://global.msi.com.tw [2009-09-11]
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2009-09-11]
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab [2009-09-11]
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab [2009-09-11]

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: TEC-186A8A2B120
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 44229
Source Name: EventLog
Time Written: 20090816105450.000000+120
Event Type: Informationen
User:

Computer Name: TEC-186A8A2B120
Event Code: 7036
Message: Dienst "Windows Installer" befindet sich jetzt im Status "Beendet".

Record Number: 44228
Source Name: Service Control Manager
Time Written: 20090816105443.000000+120
Event Type: Informationen
User:

Computer Name: TEC-186A8A2B120
Event Code: 7036
Message: Dienst "NVIDIA Display Driver Service" befindet sich jetzt im Status "Beendet".

Record Number: 44227
Source Name: Service Control Manager
Time Written: 20090816105411.000000+120
Event Type: Informationen
User:

Computer Name: TEC-186A8A2B120
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NVIDIA Display Driver Service" gesendet.

Record Number: 44226
Source Name: Service Control Manager
Time Written: 20090816105411.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: TEC-186A8A2B120
Event Code: 7036
Message: Dienst "NVIDIA Display Driver Service" befindet sich jetzt im Status "Beendet".

Record Number: 44225
Source Name: Service Control Manager
Time Written: 20090816105349.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: TEC-186A8A2B120
Event Code: 4
Message: The LightScribe Service started successfully.

Record Number: 3586
Source Name: LightScribeService
Time Written: 20090201111916.000000+060
Event Type: Informationen
User:

Computer Name: TEC-186A8A2B120
Event Code: 1517
Message: Die Registrierung des Benutzers "TEC-186A8A2B120\user" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 3585
Source Name: Userenv
Time Written: 20090201022127.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: TEC-186A8A2B120
Event Code: 0
Message:
Record Number: 3584
Source Name: gusvc
Time Written: 20090201000321.000000+060
Event Type: Informationen
User:

Computer Name: TEC-186A8A2B120
Event Code: 0
Message:
Record Number: 3583
Source Name: gusvc
Time Written: 20090131213638.000000+060
Event Type: Informationen
User:

Computer Name: TEC-186A8A2B120
Event Code: 0
Message:
Record Number: 3582
Source Name: NMIndexingService
Time Written: 20090131193659.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\Teleca Shared;D:\Programme\Multimedia\Quick Time\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_06\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_06\lib\ext\QTJava.zip

-----------------EOF-----------------

john.doe · 11.09.2009, 18:24

1.) Deinstalliere (Haken bei Updates anzeigen setzen):

1und1 Internet Explorer Add-On
Java(TM) 6 Update 6
Java(TM) 6 Update 7
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)

2.) Neues Skript für den Avenger:

Code:

ATTFilter

Drivers to delete:
GMSIPCI
JavaQuickStarterService
LightScribeService

Folders to delete:
C:\rsit
C:\WINDOWS\Downloaded Program Files
C:\Config.Msi

Ich würde dir empfehlen noch zwei Kontrollscans durchzuführen.

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Roperi · 11.09.2009, 19:11

Die Deinstallation der Programme ist, soweit gefunden, abgeschlossen, Ich finde selbst mit "Updates anzeigen" aber die IE 7 Files nicht.

Wenn ich jedoch über Datei suchen gehe, kann ich sie finden, reicht es sie manuell zu löschen?

Das Avenger File sagt nach Eingabe des Script:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "GMSIPCI" deleted successfully.
Driver "JavaQuickStarterService" deleted successfully.
Driver "LightScribeService" deleted successfully.
Folder "C:\rsit" deleted successfully.
Folder "C:\WINDOWS\Downloaded Program Files" deleted successfully.
Folder "C:\Config.Msi" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Keine Fehlermeldung nach dem Neustart, aber die Bootsequenz wurde 2 mal durchlaufen.

john.doe · 11.09.2009, 19:13

Zitat:

Wenn ich jedoch über Datei suchen gehe, kann ich sie finden, reicht es sie manuell zu löschen?

Nein, lasse sie einfach da und entferne die entsprechenden Einträge mit dem Uninstallmanager von HJT.

ciao, andreas

Roperi · 11.09.2009, 19:21

Ok, Löschung über HJT ist erfolgt, Prevx meldet keine Fehler/Dateien.

Panda scannt noch.

Nach Entfernung eines Keyloggers + Trojaners

Plagegeister aller Art und deren Bekämpfung: Nach Entfernung eines Keyloggers + Trojaners