Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.11.2009, 14:13   #1
nobster
 
'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe' - Standard

'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'



Hallo,
nachdem AntiVir Ende letzter Woche 2 Funde angezeigt hat, bin ich bei Recherchen diesbezüglich auf das Forum hier gestoßen.

Zuerst hatte ich folgende Meldung:
Code:
ATTFilter
In der Datei 'C:\Users\Nobby\AppData\Local\Temp\0.28704912795092574.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredavi.azt' [backdoor] gefunden.
         
Nachdem ich es gelöscht habe, kam kurze Zeit noch einmal die Meldung. Ich habe die Datei dann in die Quarantäne verschieben lassen und noch mal einen vollständigen Suchlauf gemacht. Dabei gabs dann folgenden Fund:
Code:
ATTFilter
Die Datei 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
         
Hier ist die Report-Datei von AntiVir:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 27. November 2009  10:04

Es wird nach 1265407 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NOBBY-PC

Versionsinformationen:
BUILD.DAT      : 9.0.0.415     21609 Bytes  08.11.2009 09:55:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.0.1       2048 Bytes  06.11.2009 06:35:56
VBASE002.VDF   : 7.10.0.2       2048 Bytes  06.11.2009 06:35:58
VBASE003.VDF   : 7.10.0.3       2048 Bytes  06.11.2009 06:36:02
VBASE004.VDF   : 7.10.0.4       2048 Bytes  06.11.2009 06:36:04
VBASE005.VDF   : 7.10.0.5       2048 Bytes  06.11.2009 06:36:08
VBASE006.VDF   : 7.10.0.6       2048 Bytes  06.11.2009 06:36:12
VBASE007.VDF   : 7.10.0.7       2048 Bytes  06.11.2009 06:36:16
VBASE008.VDF   : 7.10.0.8       2048 Bytes  06.11.2009 06:36:18
VBASE009.VDF   : 7.10.0.9       2048 Bytes  06.11.2009 06:36:22
VBASE010.VDF   : 7.10.0.10      2048 Bytes  06.11.2009 06:36:30
VBASE011.VDF   : 7.10.0.11      2048 Bytes  06.11.2009 06:36:34
VBASE012.VDF   : 7.10.0.12      2048 Bytes  06.11.2009 06:36:38
VBASE013.VDF   : 7.10.0.13      2048 Bytes  06.11.2009 06:36:40
VBASE014.VDF   : 7.10.0.14      2048 Bytes  06.11.2009 06:36:44
VBASE015.VDF   : 7.10.0.15      2048 Bytes  06.11.2009 06:36:46
VBASE016.VDF   : 7.10.0.16      2048 Bytes  06.11.2009 06:36:48
VBASE017.VDF   : 7.10.0.17      2048 Bytes  06.11.2009 06:36:50
VBASE018.VDF   : 7.10.0.18      2048 Bytes  06.11.2009 06:36:54
VBASE019.VDF   : 7.10.0.19      2048 Bytes  06.11.2009 06:36:56
VBASE020.VDF   : 7.10.0.20      2048 Bytes  06.11.2009 06:36:58
VBASE021.VDF   : 7.10.0.21      2048 Bytes  06.11.2009 06:37:00
VBASE022.VDF   : 7.10.0.22      2048 Bytes  06.11.2009 06:37:04
VBASE023.VDF   : 7.10.0.23      2048 Bytes  06.11.2009 06:37:06
VBASE024.VDF   : 7.10.0.24      2048 Bytes  06.11.2009 06:37:10
VBASE025.VDF   : 7.10.0.25      2048 Bytes  06.11.2009 06:37:12
VBASE026.VDF   : 7.10.0.26      2048 Bytes  06.11.2009 06:37:14
VBASE027.VDF   : 7.10.0.27      2048 Bytes  06.11.2009 06:37:16
VBASE028.VDF   : 7.10.0.28      2048 Bytes  06.11.2009 06:37:18
VBASE029.VDF   : 7.10.0.29      2048 Bytes  06.11.2009 06:37:20
VBASE030.VDF   : 7.10.0.30      2048 Bytes  06.11.2009 06:37:22
VBASE031.VDF   : 7.10.0.33      2048 Bytes  06.11.2009 06:37:24
Engineversion  : 8.2.1.59 
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.2.43     528764 Bytes  08.11.2009 06:38:48
AESCN.DLL      : 8.1.2.5      127346 Bytes  08.11.2009 06:38:46
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.2      479604 Bytes  08.11.2009 06:38:42
AEPACK.DLL     : 8.2.0.3      422261 Bytes  08.11.2009 06:38:40
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.178   2093431 Bytes  08.11.2009 06:38:34
AEHELP.DLL     : 8.1.7.0      237940 Bytes  08.11.2009 06:38:30
AEGEN.DLL      : 8.1.1.71     364916 Bytes  08.11.2009 06:38:28
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.8.2      184694 Bytes  08.11.2009 06:38:24
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 27. November 2009  10:04

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '124446' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFCreator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynToshiba.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPwrMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosCoSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TNaviSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '67' Prozesse mit '67' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Nobby\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\063K6E1O\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Nobby\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QXVOK8DH\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Nobby\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\UBMBOB23\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Nobby\AppData\Local\Temp\spool.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
Beginne mit der Suche in 'E:\' <Data>

Beginne mit der Desinfektion:
C:\Users\Nobby\AppData\Local\Temp\spool.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7eabe6.qua' verschoben!


Ende des Suchlaufs: Freitag, 27. November 2009  11:35
Benötigte Zeit:  1:21:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  24960 Verzeichnisse wurden überprüft
 565161 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 565158 Dateien ohne Befall
  18968 Archive wurden durchsucht
      8 Warnungen
      3 Hinweise
 124446 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Im folgenden habe ich dann die Schritte abgearbeitet, die beim Eröffnen eines Themas aufgefürht sind.

Leider passt nicht alles in einen Beitrag, deswegen trenne ich das ganze jetzt.

Alt 30.11.2009, 14:15   #2
nobster
 
'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe' - Standard

'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'



Beim CCleaner hatte ich das Problem, das am Ende immer wieder die beiden gleichen Fehler in der Registry geblieben sind. Ist das schlimm? Ich habe einen Screenshot gemacht (http://s8.directupload.net/file/d/1994/bmfrbs3f_jpg.htm), vielleicht hilft das.

Danach habe ich Malwarebytes scannen lassen. Kein Fund. Hier der Report:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3260
Windows 6.0.6002 Service Pack 2

30.11.2009 13:11:18
mbam-log-2009-11-30 (13-11-18).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 259689
Laufzeit: 1 hour(s), 8 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Und zu guter letzt die RSIT-Logfiles:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Nobby at 2009-11-30 13:25:35
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 19 GB (25%) free of 77 GB
Total RAM: 1917 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:26:02, on 30.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\explorer.exe
C:\Users\Nobby\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\trend micro\Nobby.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = *tt*://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *tt*://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *tt*://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = *tt*://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = *tt*://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *tt*://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Updater shortcut] C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O4 - Global Startup: Privoxy.lnk.disabled
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - *tt*://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - *tt*://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7212 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
FGCatchUrl - C:\Program Files\FlashGet\jccatch.dll [2007-08-06 94308]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2007-08-31 1122128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F156768E-81EF-470C-9057-481BA8380DBA}]
FlashGet GetFlash Class - C:\Program Files\FlashGet\getflash.dll [2007-05-18 163840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"SynTPStart"=C:\Program Files\Synaptics\SynTP\SynTPStart.exe [2007-08-15 102400]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-08-09 4702208]
"TPwrMain"=C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE [2007-03-29 411192]
"SmoothView"=C:\Program Files\Toshiba\SmoothView\SmoothView.exe [2007-04-03 509496]
"Acronis Scheduler2 Service"=C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [2007-10-30 140568]
"AcronisTimounterMonitor"=C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe [2007-10-30 909208]
"TrueImageMonitor.exe"=C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe [2007-10-30 2595616]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-03-03 959976]
"Skytel"=C:\Windows\Skytel.exe [2007-08-03 1826816]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"Windows Mobile-based device management"=C:\Windows\WindowsMobile\wmdSync.exe [2006-11-02 215552]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe [2008-08-04 36352]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-08-14 1348904]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"=TOSCDSPD.EXE []
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2007-08-31 1460560]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]
"Updater shortcut"=C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe []

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE
PDFCreator.lnk - C:\Program Files\PDFCreator\PDFCreator.exe
Privoxy.lnk.disabled - C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Yahoo!\Yahoo! Music Jukebox\YahooMusicEngine.exe"="C:\Program Files\Yahoo!\Yahoo! Music Jukebox\YahooMusicEngine.exe:*:Enabled:Yahoo! Music Jukebox"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-11-30 13:25:35 ----D---- C:\rsit
2009-11-30 13:25:35 ----D---- C:\Program Files\trend micro
2009-11-30 11:27:50 ----D---- C:\Users\Nobby\AppData\Roaming\Malwarebytes
2009-11-30 11:27:43 ----D---- C:\ProgramData\Malwarebytes
2009-11-30 11:27:43 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-11-28 11:08:02 ----D---- C:\Program Files\CCleaner
2009-11-27 23:28:01 ----D---- C:\Users\Nobby\AppData\Roaming\Mp3tag
2009-11-27 23:27:53 ----D---- C:\Program Files\Mp3tag
2009-11-27 09:59:41 ----D---- C:\ProgramData\Avira
2009-11-27 09:59:41 ----D---- C:\Program Files\Avira
2009-11-27 00:08:22 ----D---- C:\Windows\system32\eu-ES
2009-11-27 00:08:22 ----D---- C:\Windows\system32\ca-ES
2009-11-27 00:08:20 ----D---- C:\Windows\system32\vi-VN
2009-11-26 18:09:21 ----D---- C:\Windows\system32\EventProviders
2009-11-26 09:47:52 ----A---- C:\Windows\system32\tzres.dll
2009-11-25 20:47:36 ----A---- C:\Windows\system32\msxml6.dll
2009-11-25 20:47:35 ----A---- C:\Windows\system32\msxml3.dll
2009-11-16 12:13:08 ----D---- C:\Program Files\DVDVideoSoft
2009-11-16 12:13:08 ----D---- C:\Program Files\Common Files\DVDVideoSoft
2009-11-11 14:21:14 ----A---- C:\Windows\system32\WSDApi.dll
2009-11-04 08:57:59 ----A---- C:\Windows\system32\mshtml.dll

======List of files/folders modified in the last 1 months======

2009-11-30 13:25:53 ----D---- C:\Windows\Prefetch
2009-11-30 13:25:44 ----D---- C:\Windows\Temp
2009-11-30 13:25:35 ----D---- C:\Program Files
2009-11-30 13:25:09 ----D---- C:\Windows\System32
2009-11-30 13:25:09 ----D---- C:\Windows\inf
2009-11-30 13:25:09 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-11-30 13:22:22 ----D---- C:\Windows\Internet Logs
2009-11-30 11:52:00 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-11-30 11:27:45 ----D---- C:\Windows\system32\drivers
2009-11-30 11:27:43 ----HD---- C:\ProgramData
2009-11-28 11:17:01 ----D---- C:\Windows\Minidump
2009-11-28 11:17:01 ----D---- C:\Windows\Debug
2009-11-28 11:17:01 ----D---- C:\Windows
2009-11-27 15:47:11 ----D---- C:\Windows\Microsoft.NET
2009-11-27 15:47:01 ----RSD---- C:\Windows\assembly
2009-11-27 13:36:40 ----D---- C:\Windows\winsxs
2009-11-27 13:36:33 ----D---- C:\Windows\system32\catroot
2009-11-27 13:36:32 ----D---- C:\Windows\system32\catroot2
2009-11-27 13:35:55 ----SHD---- C:\System Volume Information
2009-11-27 09:57:36 ----SHD---- C:\Windows\Installer
2009-11-27 00:32:14 ----D---- C:\Windows\rescache
2009-11-27 00:18:58 ----SHD---- C:\Boot
2009-11-27 00:10:09 ----D---- C:\Program Files\Windows Mail
2009-11-27 00:10:09 ----D---- C:\Program Files\Windows Calendar
2009-11-27 00:10:08 ----D---- C:\Program Files\Movie Maker
2009-11-27 00:10:06 ----D---- C:\Program Files\Windows Sidebar
2009-11-27 00:10:06 ----D---- C:\Program Files\Windows Media Player
2009-11-27 00:10:06 ----D---- C:\Program Files\Internet Explorer
2009-11-27 00:10:05 ----D---- C:\Program Files\Windows Journal
2009-11-27 00:10:05 ----D---- C:\Program Files\Windows Collaboration
2009-11-27 00:10:03 ----D---- C:\Program Files\Windows Photo Gallery
2009-11-27 00:10:03 ----D---- C:\Program Files\Common Files\System
2009-11-27 00:09:58 ----D---- C:\Windows\servicing
2009-11-27 00:09:58 ----D---- C:\Windows\ehome
2009-11-27 00:09:58 ----D---- C:\Program Files\Windows Defender
2009-11-27 00:09:39 ----D---- C:\Windows\IME
2009-11-27 00:09:38 ----D---- C:\Windows\system32\XPSViewer
2009-11-27 00:09:38 ----D---- C:\Windows\system32\lv-LV
2009-11-27 00:09:38 ----D---- C:\Windows\system32\hr-HR
2009-11-27 00:09:38 ----D---- C:\Windows\system32\et-EE
2009-11-27 00:09:38 ----D---- C:\Windows\system32\da-DK
2009-11-27 00:09:37 ----D---- C:\Windows\system32\sk-SK
2009-11-27 00:09:37 ----D---- C:\Windows\system32\ko-KR
2009-11-27 00:09:37 ----D---- C:\Windows\system32\en-US
2009-11-27 00:09:35 ----D---- C:\Windows\system32\de-DE
2009-11-27 00:09:33 ----D---- C:\Windows\system32\oobe
2009-11-27 00:09:33 ----D---- C:\Windows\system32\migration
2009-11-27 00:09:33 ----D---- C:\Windows\system32\it-IT
2009-11-27 00:09:33 ----D---- C:\Windows\system32\el-GR
2009-11-27 00:09:27 ----D---- C:\Windows\system32\sv-SE
2009-11-27 00:09:27 ----D---- C:\Windows\system32\setup
2009-11-27 00:09:27 ----D---- C:\Windows\system32\ru-RU
2009-11-27 00:09:27 ----D---- C:\Windows\system32\he-IL
2009-11-27 00:09:27 ----D---- C:\Windows\system32\fr-FR
2009-11-27 00:09:27 ----D---- C:\Windows\system32\AdvancedInstallers
2009-11-27 00:09:26 ----D---- C:\Windows\system32\zh-TW
2009-11-27 00:09:26 ----D---- C:\Windows\system32\zh-CN
2009-11-27 00:09:26 ----D---- C:\Windows\system32\uk-UA
2009-11-27 00:09:26 ----D---- C:\Windows\system32\sr-Latn-CS
2009-11-27 00:09:26 ----D---- C:\Windows\system32\SLUI
2009-11-27 00:09:26 ----D---- C:\Windows\system32\sl-SI
2009-11-27 00:09:26 ----D---- C:\Windows\system32\ro-RO
2009-11-27 00:09:26 ----D---- C:\Windows\system32\pt-PT
2009-11-27 00:09:26 ----D---- C:\Windows\system32\pl-PL
2009-11-27 00:09:26 ----D---- C:\Windows\system32\manifeststore
2009-11-27 00:09:26 ----D---- C:\Windows\system32\ja-JP
2009-11-27 00:09:26 ----D---- C:\Windows\system32\hu-HU
2009-11-27 00:09:26 ----D---- C:\Windows\system32\fi-FI
2009-11-27 00:09:26 ----D---- C:\Windows\system32\es-ES
2009-11-27 00:09:26 ----D---- C:\Windows\system32\cs-CZ
2009-11-27 00:09:26 ----D---- C:\Windows\system32\bg-BG
2009-11-27 00:09:25 ----D---- C:\Windows\system32\th-TH
2009-11-27 00:09:23 ----D---- C:\Windows\system32\wbem
2009-11-27 00:09:23 ----D---- C:\Windows\system32\tr-TR
2009-11-27 00:09:21 ----D---- C:\Windows\system32\nl-NL
2009-11-27 00:09:21 ----D---- C:\Windows\system32\nb-NO
2009-11-27 00:09:21 ----D---- C:\Windows\system32\lt-LT
2009-11-27 00:09:21 ----D---- C:\Windows\system32\ar-SA
2009-11-27 00:09:20 ----D---- C:\Windows\system32\pt-BR
2009-11-27 00:09:20 ----D---- C:\Windows\system32\migwiz
2009-11-27 00:08:29 ----RSD---- C:\Windows\Fonts
2009-11-27 00:08:29 ----D---- C:\Windows\AppPatch
2009-11-27 00:08:20 ----D---- C:\Windows\system32\Boot
2009-11-27 00:06:17 ----D---- C:\Windows\system32\RTCOM
2009-11-26 17:38:21 ----D---- C:\Program Files\Trillian
2009-11-26 17:36:17 ----D---- C:\Program Files\Common Files
2009-11-11 19:21:04 ----SD---- C:\Users\Nobby\AppData\Roaming\Microsoft
2009-11-05 18:36:21 ----A---- C:\Windows\system32\mrt.exe
2009-11-02 20:42:06 ----N---- C:\Windows\system32\MpSigStub.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys [2008-03-03 279440]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2007-02-24 39936]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-01-23 42496]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-03-21 37376]
R2 tifsfilter;Acronis True Image FS Filter; C:\Windows\system32\DRIVERS\tifsfilt.sys [2007-12-26 44384]
R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-28 1161888]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-07-27 2929664]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 FwLnk;FwLnk Driver; C:\Windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-08-10 1941848]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-04-30 81408]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter; C:\Windows\system32\DRIVERS\RTL8187B.sys [2007-06-01 252416]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2009-04-11 89088]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-08-14 203312]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\Windows\system32\DRIVERS\ewusbmdm.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 Tosrfcom;Tosrfcom; C:\Windows\system32\drivers\Tosrfcom.sys []
S3 tosrfec;Bluetooth ACPI; C:\Windows\system32\DRIVERS\tosrfec.sys [2006-10-23 9216]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2006-11-02 132352]
S3 winusb;WinUSB Service; C:\Windows\system32\DRIVERS\winusb.sys [2009-04-11 31616]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S4 KR10I;KR10I; C:\Windows\system32\drivers\kr10i.sys [2007-01-18 219392]
S4 KR10N;KR10N; C:\Windows\system32\drivers\kr10n.sys [2007-01-18 211072]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [2007-10-30 427288]
R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2006-10-05 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-07-27 610304]
R2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2007-08-31 600912]
R2 TNaviSrv;TOSHIBA Navi Support Service; C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe [2007-08-01 77824]
R2 TosCoSrv;TOSHIBA Power Saver; C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe [2007-03-29 427576]
R2 TryAndDecideService;Acronis Try And Decide Service; C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\System32\ZoneLabs\vsmon.exe [2008-03-03 79400]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-19 21504]

-----------------EOF-----------------
         
__________________


Alt 30.11.2009, 14:16   #3
nobster
 
'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe' - Standard

'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'



Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Nobby at 2009-11-30 13:25:35
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 19 GB (25%) free of 77 GB
Total RAM: 1917 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:26:02, on 30.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\explorer.exe
C:\Users\Nobby\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\trend micro\Nobby.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = *tt*://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *tt*://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *tt*://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = *tt*://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = *tt*://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *tt*://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Updater shortcut] C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O4 - Global Startup: Privoxy.lnk.disabled
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - *tt*://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - *tt*://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7212 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
FGCatchUrl - C:\Program Files\FlashGet\jccatch.dll [2007-08-06 94308]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2007-08-31 1122128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F156768E-81EF-470C-9057-481BA8380DBA}]
FlashGet GetFlash Class - C:\Program Files\FlashGet\getflash.dll [2007-05-18 163840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"SynTPStart"=C:\Program Files\Synaptics\SynTP\SynTPStart.exe [2007-08-15 102400]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-08-09 4702208]
"TPwrMain"=C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE [2007-03-29 411192]
"SmoothView"=C:\Program Files\Toshiba\SmoothView\SmoothView.exe [2007-04-03 509496]
"Acronis Scheduler2 Service"=C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [2007-10-30 140568]
"AcronisTimounterMonitor"=C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe [2007-10-30 909208]
"TrueImageMonitor.exe"=C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe [2007-10-30 2595616]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-03-03 959976]
"Skytel"=C:\Windows\Skytel.exe [2007-08-03 1826816]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"Windows Mobile-based device management"=C:\Windows\WindowsMobile\wmdSync.exe [2006-11-02 215552]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe [2008-08-04 36352]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-08-14 1348904]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"=TOSCDSPD.EXE []
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2007-08-31 1460560]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]
"Updater shortcut"=C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe []

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE
PDFCreator.lnk - C:\Program Files\PDFCreator\PDFCreator.exe
Privoxy.lnk.disabled - C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Yahoo!\Yahoo! Music Jukebox\YahooMusicEngine.exe"="C:\Program Files\Yahoo!\Yahoo! Music Jukebox\YahooMusicEngine.exe:*:Enabled:Yahoo! Music Jukebox"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-11-30 13:25:35 ----D---- C:\rsit
2009-11-30 13:25:35 ----D---- C:\Program Files\trend micro
2009-11-30 11:27:50 ----D---- C:\Users\Nobby\AppData\Roaming\Malwarebytes
2009-11-30 11:27:43 ----D---- C:\ProgramData\Malwarebytes
2009-11-30 11:27:43 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-11-28 11:08:02 ----D---- C:\Program Files\CCleaner
2009-11-27 23:28:01 ----D---- C:\Users\Nobby\AppData\Roaming\Mp3tag
2009-11-27 23:27:53 ----D---- C:\Program Files\Mp3tag
2009-11-27 09:59:41 ----D---- C:\ProgramData\Avira
2009-11-27 09:59:41 ----D---- C:\Program Files\Avira
2009-11-27 00:08:22 ----D---- C:\Windows\system32\eu-ES
2009-11-27 00:08:22 ----D---- C:\Windows\system32\ca-ES
2009-11-27 00:08:20 ----D---- C:\Windows\system32\vi-VN
2009-11-26 18:09:21 ----D---- C:\Windows\system32\EventProviders
2009-11-26 09:47:52 ----A---- C:\Windows\system32\tzres.dll
2009-11-25 20:47:36 ----A---- C:\Windows\system32\msxml6.dll
2009-11-25 20:47:35 ----A---- C:\Windows\system32\msxml3.dll
2009-11-16 12:13:08 ----D---- C:\Program Files\DVDVideoSoft
2009-11-16 12:13:08 ----D---- C:\Program Files\Common Files\DVDVideoSoft
2009-11-11 14:21:14 ----A---- C:\Windows\system32\WSDApi.dll
2009-11-04 08:57:59 ----A---- C:\Windows\system32\mshtml.dll

======List of files/folders modified in the last 1 months======

2009-11-30 13:25:53 ----D---- C:\Windows\Prefetch
2009-11-30 13:25:44 ----D---- C:\Windows\Temp
2009-11-30 13:25:35 ----D---- C:\Program Files
2009-11-30 13:25:09 ----D---- C:\Windows\System32
2009-11-30 13:25:09 ----D---- C:\Windows\inf
2009-11-30 13:25:09 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-11-30 13:22:22 ----D---- C:\Windows\Internet Logs
2009-11-30 11:52:00 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-11-30 11:27:45 ----D---- C:\Windows\system32\drivers
2009-11-30 11:27:43 ----HD---- C:\ProgramData
2009-11-28 11:17:01 ----D---- C:\Windows\Minidump
2009-11-28 11:17:01 ----D---- C:\Windows\Debug
2009-11-28 11:17:01 ----D---- C:\Windows
2009-11-27 15:47:11 ----D---- C:\Windows\Microsoft.NET
2009-11-27 15:47:01 ----RSD---- C:\Windows\assembly
2009-11-27 13:36:40 ----D---- C:\Windows\winsxs
2009-11-27 13:36:33 ----D---- C:\Windows\system32\catroot
2009-11-27 13:36:32 ----D---- C:\Windows\system32\catroot2
2009-11-27 13:35:55 ----SHD---- C:\System Volume Information
2009-11-27 09:57:36 ----SHD---- C:\Windows\Installer
2009-11-27 00:32:14 ----D---- C:\Windows\rescache
2009-11-27 00:18:58 ----SHD---- C:\Boot
2009-11-27 00:10:09 ----D---- C:\Program Files\Windows Mail
2009-11-27 00:10:09 ----D---- C:\Program Files\Windows Calendar
2009-11-27 00:10:08 ----D---- C:\Program Files\Movie Maker
2009-11-27 00:10:06 ----D---- C:\Program Files\Windows Sidebar
2009-11-27 00:10:06 ----D---- C:\Program Files\Windows Media Player
2009-11-27 00:10:06 ----D---- C:\Program Files\Internet Explorer
2009-11-27 00:10:05 ----D---- C:\Program Files\Windows Journal
2009-11-27 00:10:05 ----D---- C:\Program Files\Windows Collaboration
2009-11-27 00:10:03 ----D---- C:\Program Files\Windows Photo Gallery
2009-11-27 00:10:03 ----D---- C:\Program Files\Common Files\System
2009-11-27 00:09:58 ----D---- C:\Windows\servicing
2009-11-27 00:09:58 ----D---- C:\Windows\ehome
2009-11-27 00:09:58 ----D---- C:\Program Files\Windows Defender
2009-11-27 00:09:39 ----D---- C:\Windows\IME
2009-11-27 00:09:38 ----D---- C:\Windows\system32\XPSViewer
2009-11-27 00:09:38 ----D---- C:\Windows\system32\lv-LV
2009-11-27 00:09:38 ----D---- C:\Windows\system32\hr-HR
2009-11-27 00:09:38 ----D---- C:\Windows\system32\et-EE
2009-11-27 00:09:38 ----D---- C:\Windows\system32\da-DK
2009-11-27 00:09:37 ----D---- C:\Windows\system32\sk-SK
2009-11-27 00:09:37 ----D---- C:\Windows\system32\ko-KR
2009-11-27 00:09:37 ----D---- C:\Windows\system32\en-US
2009-11-27 00:09:35 ----D---- C:\Windows\system32\de-DE
2009-11-27 00:09:33 ----D---- C:\Windows\system32\oobe
2009-11-27 00:09:33 ----D---- C:\Windows\system32\migration
2009-11-27 00:09:33 ----D---- C:\Windows\system32\it-IT
2009-11-27 00:09:33 ----D---- C:\Windows\system32\el-GR
2009-11-27 00:09:27 ----D---- C:\Windows\system32\sv-SE
2009-11-27 00:09:27 ----D---- C:\Windows\system32\setup
2009-11-27 00:09:27 ----D---- C:\Windows\system32\ru-RU
2009-11-27 00:09:27 ----D---- C:\Windows\system32\he-IL
2009-11-27 00:09:27 ----D---- C:\Windows\system32\fr-FR
2009-11-27 00:09:27 ----D---- C:\Windows\system32\AdvancedInstallers
2009-11-27 00:09:26 ----D---- C:\Windows\system32\zh-TW
2009-11-27 00:09:26 ----D---- C:\Windows\system32\zh-CN
2009-11-27 00:09:26 ----D---- C:\Windows\system32\uk-UA
2009-11-27 00:09:26 ----D---- C:\Windows\system32\sr-Latn-CS
2009-11-27 00:09:26 ----D---- C:\Windows\system32\SLUI
2009-11-27 00:09:26 ----D---- C:\Windows\system32\sl-SI
2009-11-27 00:09:26 ----D---- C:\Windows\system32\ro-RO
2009-11-27 00:09:26 ----D---- C:\Windows\system32\pt-PT
2009-11-27 00:09:26 ----D---- C:\Windows\system32\pl-PL
2009-11-27 00:09:26 ----D---- C:\Windows\system32\manifeststore
2009-11-27 00:09:26 ----D---- C:\Windows\system32\ja-JP
2009-11-27 00:09:26 ----D---- C:\Windows\system32\hu-HU
2009-11-27 00:09:26 ----D---- C:\Windows\system32\fi-FI
2009-11-27 00:09:26 ----D---- C:\Windows\system32\es-ES
2009-11-27 00:09:26 ----D---- C:\Windows\system32\cs-CZ
2009-11-27 00:09:26 ----D---- C:\Windows\system32\bg-BG
2009-11-27 00:09:25 ----D---- C:\Windows\system32\th-TH
2009-11-27 00:09:23 ----D---- C:\Windows\system32\wbem
2009-11-27 00:09:23 ----D---- C:\Windows\system32\tr-TR
2009-11-27 00:09:21 ----D---- C:\Windows\system32\nl-NL
2009-11-27 00:09:21 ----D---- C:\Windows\system32\nb-NO
2009-11-27 00:09:21 ----D---- C:\Windows\system32\lt-LT
2009-11-27 00:09:21 ----D---- C:\Windows\system32\ar-SA
2009-11-27 00:09:20 ----D---- C:\Windows\system32\pt-BR
2009-11-27 00:09:20 ----D---- C:\Windows\system32\migwiz
2009-11-27 00:08:29 ----RSD---- C:\Windows\Fonts
2009-11-27 00:08:29 ----D---- C:\Windows\AppPatch
2009-11-27 00:08:20 ----D---- C:\Windows\system32\Boot
2009-11-27 00:06:17 ----D---- C:\Windows\system32\RTCOM
2009-11-26 17:38:21 ----D---- C:\Program Files\Trillian
2009-11-26 17:36:17 ----D---- C:\Program Files\Common Files
2009-11-11 19:21:04 ----SD---- C:\Users\Nobby\AppData\Roaming\Microsoft
2009-11-05 18:36:21 ----A---- C:\Windows\system32\mrt.exe
2009-11-02 20:42:06 ----N---- C:\Windows\system32\MpSigStub.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys [2008-03-03 279440]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2007-02-24 39936]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-01-23 42496]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-03-21 37376]
R2 tifsfilter;Acronis True Image FS Filter; C:\Windows\system32\DRIVERS\tifsfilt.sys [2007-12-26 44384]
R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-28 1161888]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-07-27 2929664]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 FwLnk;FwLnk Driver; C:\Windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-08-10 1941848]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-04-30 81408]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter; C:\Windows\system32\DRIVERS\RTL8187B.sys [2007-06-01 252416]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2009-04-11 89088]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-08-14 203312]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\Windows\system32\DRIVERS\ewusbmdm.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 Tosrfcom;Tosrfcom; C:\Windows\system32\drivers\Tosrfcom.sys []
S3 tosrfec;Bluetooth ACPI; C:\Windows\system32\DRIVERS\tosrfec.sys [2006-10-23 9216]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2006-11-02 132352]
S3 winusb;WinUSB Service; C:\Windows\system32\DRIVERS\winusb.sys [2009-04-11 31616]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S4 KR10I;KR10I; C:\Windows\system32\drivers\kr10i.sys [2007-01-18 219392]
S4 KR10N;KR10N; C:\Windows\system32\drivers\kr10n.sys [2007-01-18 211072]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [2007-10-30 427288]
R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2006-10-05 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-07-27 610304]
R2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2007-08-31 600912]
R2 TNaviSrv;TOSHIBA Navi Support Service; C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe [2007-08-01 77824]
R2 TosCoSrv;TOSHIBA Power Saver; C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe [2007-03-29 427576]
R2 TryAndDecideService;Acronis Try And Decide Service; C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\System32\ZoneLabs\vsmon.exe [2008-03-03 79400]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-19 21504]

-----------------EOF-----------------
         
Ich hoffe ich habe mich verständlich ausgedrückt und jemand kann mir helfen. Wenn irgendwelche Informationen fehlen, die benötigt werden um zu helfen, dann gebt bitte bescheid.

Ich wäre wirklich sehr dankbar, wenn mir jemand helfen könnte.

MfG nobster
__________________

Antwort

Themen zu 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'
.dll, 0 bytes, antivir, audiodg.exe, avg, avgnt.exe, backdoor, content.ie5, desktop, dwm.exe, explorer.exe, gelöscht, internet, local\temp, logon.exe, lsass.exe, microsoft, modul, namen, nt.dll, programm, prozesse, registry, sched.exe, services.exe, suchlauf, svchost.exe, temp, tr/vundo.gen, trojan, versteckte objekte, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wmp




Ähnliche Themen: 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'


  1. TR/Agent.7375 in C:\Users\HerrTest\AppData\Local\Temp\nscA085.tmp\temp\5FT.zip
    Log-Analyse und Auswertung - 18.10.2015 (13)
  2. C:\Users\****\AppData\Local\Temp\jrscpls.exe
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (39)
  3. C:\Users\Helmut\AppData\Local\Temp\wpbt0.dll' enthielt einen Virus oder unerwünschtes Programm 'TR/Reveton.N.370' [trojan].
    Log-Analyse und Auswertung - 25.09.2013 (11)
  4. C:\Users\***\AppData\Local\Temp\addlyrics1030.exe (Trojan.StartPage)
    Log-Analyse und Auswertung - 09.04.2013 (9)
  5. C:\Users\*****\AppData\Local\Temp\jrscpls.exe
    Plagegeister aller Art und deren Bekämpfung - 23.02.2013 (3)
  6. Online- Banking gesperrt! Trojan.FakeAlert.Gen & Trojan.ZbotR.Gen in (C:\Users\\AppData\Temp & C:\Users\\AppData\Roaming\Osje\rutaap.exe)
    Log-Analyse und Auswertung - 06.02.2013 (1)
  7. C:\Users\Name\AppData\Local\Temp\g7i0ol_kaz.exe, was ist das??
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (15)
  8. TR.Dropper.gen in C:\Users\Christina\AppData\Local\Temp, Trojan/Zaccess, Trojan.Agent, ...
    Log-Analyse und Auswertung - 19.06.2012 (29)
  9. c:\users\***\appdata\local\temp\vcplt.dll
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (21)
  10. /Users/Standardbenutzer/AppData/Local/Temp/kes309523.exe <<< Is the Trojan horse TR/Reveton.A.165
    Log-Analyse und Auswertung - 06.05.2012 (20)
  11. C:\Users\***\AppData\Local\Temp!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (1)
  12. Trojan.MulDrop1.45351 in C:\Users\Darkshadow\AppData\Local\Temp\mexe.com
    Log-Analyse und Auswertung - 22.12.2011 (26)
  13. C:/Users/Appdata/Local/Temp/WAB.log
    Log-Analyse und Auswertung - 21.04.2011 (3)
  14. Trojan.Dropper in C:\Users\*****\AppData\Local\Temp\0.7247057717775541.exe
    Plagegeister aller Art und deren Bekämpfung - 14.01.2011 (12)
  15. TR/FraudPack.kvb.76 in C:\Users\***\AppData\Local\Temp\Fj0.exe
    Plagegeister aller Art und deren Bekämpfung - 31.12.2010 (4)
  16. XxX.xXx Malware in C:\Users\***\AppData\Local\Temp\XxX.xXx
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (10)
  17. BDS/Bredavi.azd in C:\Users\****\AppData\Local\Temp\****.exe
    Plagegeister aller Art und deren Bekämpfung - 29.11.2009 (8)

Zum Thema 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe' - Hallo, nachdem AntiVir Ende letzter Woche 2 Funde angezeigt hat, bin ich bei Recherchen diesbezüglich auf das Forum hier gestoßen. Zuerst hatte ich folgende Meldung: Code: Alles auswählen Aufklappen ATTFilter - 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'...
Archiv
Du betrachtest: 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe' auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.