Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Crypt.ZPACK.Gen

TR/Crypt.ZPACK.Gen


Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.12.2009, 19:21   #1
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Hallo,
ich habe das Problem, dass mein AntiVir in der Datei C:\WINDOWS\system32\tdlcmd.dll den Trojaner TR/Crypt.ZPACK.Gen findet. Wenn ich diesen lösche kommt die Meldung allerdings nach einiger Zeit wieder.

Ich bekomm den Trojaner einfach nicht los. Im Internet hab ich nur Fälle gefunden, in denen zwar die gleiche Datei infiziert war, allerdings mit einem anderen Trojaner.

Ich hoffe mir kann jemand helfen.

Hier sind noch die Logs, die ich bisher beim Scannen bekommen habe:

Malwarebytes Anti Malware (mbam.txt)

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3379
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.12.2009 15:48:58
mbam-log-2009-12-17 (15-48-58).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 175156
Laufzeit: 22 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


RSIT (info.txt)
Code:
ATTFilter
info.txt logfile of random's system information tool 1.06 2009-12-17 19:07:44

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->F:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\719d6f144d0c086a0dfa7ff76bb9ac1\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{3D7E3EC9-46CF-4359-9289-39CE01DFB82F}
Adobe Reader 8.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
Adobe Setup-->MsiExec.exe /I{FF11004C-F42A-4A31-9BCF-7F5C8FDBE53C}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
Alcohol 120% (Trial Version)-->MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{9862B19F-4CAD-4EED-920F-2F378D84393F}
AV Voice Changer Software 3.0.89-->F:\PROGRA~1\AVVCS3~1.0\UNWISE.EXE F:\PROGRA~1\AVVCS3~1.0\INSTALL.LOG
Avira AntiVir Personal - Free Antivirus-->F:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AVS Update Manager 1.0-->"C:\Programme\AVS4YOU\AVSUpdateManager\unins000.exe"
AVS Video Editor 4 4.2.1.166-->"F:\Programme\AVSVideoEditor\unins000.exe"
AVS Video Recorder 2.4 (Service Version)-->"C:\Programme\AVS4YOU\AVSVideoRecorder\unins000.exe"
AVS YouTube Uploader version 2.1-->"C:\Programme\AVS4YOU\AVSYouTubeUploader\unins000.exe"
AVS4YOU Software Navigator 1.3-->"C:\Programme\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
BOINC-->MsiExec.exe /I{2E62A09F-BF55-4C24-84CE-4A2DE7EACE29}
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0409
Canon iP4300 Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP4300\UNINST.EXE
Canon iP4300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300 /L0x0007
CCleaner-->"F:\Programme\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{0C826C5B-B131-423A-A229-C71B3CACCD6A}
Counter-Strike 1.6-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{13B792AA-C078-43A4-8A3A-8B12D629940D}\Setup.exe" -l0x19 
Counter-Strike: Source-->"G:\Spiele\Steam\steam.exe" steam://uninstall/240
CSStrat-->"F:\Programme\CSStrat2\uninstaller.exe"
Curse Client-->F:\Programme\Curse\uninstall.exe
Diablo II-->C:\WINDOWS\DIIUnin.exe C:\WINDOWS\DIIUnin.dat
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
DivX Codec-->F:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->F:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->F:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->F:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->F:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
ESL Wire 0.4.3.2017-->"F:\Programme\EslWire\unins000.exe"
Eye Candy 4000-->F:\PROGRA~1\Adobe\PHOTOS~1\ADOBEP~1\Plug-Ins\EYECAN~1\UNWISE.EXE F:\PROGRA~1\Adobe\PHOTOS~1\ADOBEP~1\Plug-Ins\EYECAN~1\INSTALL.LOG
FlashFXP-->F:\PROGRA~1\FlashFXP\UNWISE.EXE F:\PROGRA~1\FlashFXP\INSTALL.LOG
Fraps-->"F:\Fraps\uninstall.exe"
Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free YouTube Download 2.3-->"F:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"F:\Programme\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
Game Cam-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DB52432E-3AD8-41A5-A586-0F065FB6A31E}\setup.exe" 
Gamers.IRC 4.10-->F:\Programme\Gamers.IRC\unins000.exe
GeoGebra-->"F:\Programme\UninstallerData\Uninstaller.exe"
Google Earth-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x7  -removeonly
Hamachi 1.0.1.5-->F:\Programme\Hamachi\uninstall.exe
Heroes of Newerth-->G:\Spiele\HoN\uninstall.exe
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HLSW v1.3.0-->"F:\Programme\HLSW\unins000.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Indeo® Software-->C:\WINDOWS\IsUninst.exe -fC:\Programme\Ligos\Indeo\Uninst.isu
IrfanView (remove only)-->F:\Programme\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
KhalInstallWrapper-->MsiExec.exe /I{3101CB58-3482-4D21-AF1A-7057FC935355}
K-Lite Codec Pack 3.5.3 Full-->"C:\Programme\K-Lite Codec Pack\unins000.exe"
Logitech Registration-->MsiExec.exe /I{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}
Logitech SetPoint-->C:\Programme\InstallShield Installation Information\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}\setup.exe -runfromtemp -l0x0007 -removeonly
Malwarebytes' Anti-Malware-->"F:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint 2003 Template Pack 1-->MsiExec.exe /I{90AB0407-6000-11D3-8CFE-0150048383C9}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Miranda IM 0.7.3-->F:\Programme\Miranda IM\uninstall.exe
Miranda ProZ Black Edition-->F:\Programme\MirandaPRO\uninstall.exe
mIRC-->"F:\Programme\Gamers.IRC\mirc.exe" -uninstall
Mozilla Firefox (3.0.10)-->F:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Firefox (3.5.6)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero OEM-->F:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NetLimiter 2 Monitor (remove only)-->"F:\Programme\NetLimiter 2 Monitor\nl2uninst.exe"
Nimo Codecs Pack v5.0 (Remove Only)-->"C:\Programme\NimoCodec Pack\uninstall.exe"
Notebook Software-->MsiExec.exe /X{F581DF68-CAE9-4064-A6CD-705D95D1C756}
ObjectDock Plus-->F:\PROGRA~1\Stardock\OBJECT~1\objectdock.exe /uninstall
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PokerStars.net-->"F:\Programme\PokerStars.NET\PokerStarsUninstall.exe" /u:PokerStars.net
PokerStars-->"F:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
PowerStrip 3 (remove only)-->F:\Programme\PowerStrip\uninstal.exe
QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Riva FLV Encoder 2.0-->"F:\Programme\Riva\Riva FLV Encoder 2.0\unins000.exe"
RouterControl 1.90-->C:\WINDOWS\RCoUn.EXE /UnInst:"C:\WINDOWS\RouterControl_Uninstall.in"
SaTstrat (remove only)-->"F:\Programme\S2SaTstrat\s2uninst.exe"
Security Update für Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503)-->"C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB939653)-->"C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB942615)-->"C:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944533)-->"C:\WINDOWS\$NtUninstallKB944533$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Sony Ericsson PC Suite-->MsiExec.exe /I{FC906D5C-91F9-4DA4-A765-6DCBB669F317}
Spybot - Search & Destroy-->"F:\Programme\Spybot - Search & Destroy\unins000.exe"
SpyHunter-->"C:\Programme\Enigma Software Group\SpyHunter\Uninstall.exe" "C:\Programme\Enigma Software Group\SpyHunter\install.log" -u
Starcraft-->C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat
Steam-->G:\Spiele\Steam\UNWISE.EXE G:\Spiele\Steam\INSTALL.LOG
SweetIM for Messenger 2.7-->MsiExec.exe /X{E848C9C0-E6FF-4A3F-9D67-AE53AC3628FE}
Techno4ever Player-->F:\Programme\T4E\Player\T4E_Uninstaller.exe
Tortun 0.8-->"F:\Programme\Tortun\unins000.exe"
TuneUp Utilities 2007-->MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}
UltraStar 0.5.2-->"G:\Spiele\UltraStar\uninstall.exe"
UltraStar Deluxe-->G:\Spiele\UltraStar Deluxe\Uninstall.exe
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Unreal Tournament 2004-->G:\Spiele\UT2004\System\Setup.exe uninstall "UT2004"
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB933360)-->"C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB942840)-->"C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe"
Update für Windows XP (KB946627)-->"C:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
VentriloMIX-->F:\Programme\VentriloMIX\Uninstal.exe
VideoLAN VLC media player 0.8.6f-->F:\Programme\VideoLAN\VLC\uninstall.exe
VisionGS PE-->C:\WINDOWS\GPInstall.exe "/UNINST=F:\Programme\WebCam\UnInst.log" "/APPNAME=VisionGS PE"
Wecker 2.2 2.2-->C:\WINDOWS\uninstall\Wecker 2.2\setup.exe
Winamp-->"F:\Programme\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR Archivierer-->F:\Programme\WinRAR\uninstall.exe
WinZip-->"F:\Programme\WinZip\WINZIP32.EXE" /uninstall
World of Warcraft-->C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\World of Warcraft Public Test-PTR\Uninstall.exe
xp-AntiSpy 3.92-->F:\Programme\xp-AntiSpy\uninst.exe
Xvid 1.1.3 final uninstall-->"C:\Programme\Xvid\unins000.exe"
ZoneAlarm-->F:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

======Hosts File======

127.0.0.1 	localhost
127.0.0.1 	w*w.007guard.com
127.0.0.1 	007guard.com
127.0.0.1 	008i.com
127.0.0.1 	w*w.008k.com
127.0.0.1 	008k.com
127.0.0.1 	w*w.00hq.com
127.0.0.1 	00hq.com
127.0.0.1 	010402.com
127.0.0.1 	w*w.032439.com

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: ZoneAlarm Firewall (disabled)

======System event log======

Computer Name: ***
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


Record Number: 103943
Source Name: Service Control Manager
Time Written: 20091210191011.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


Record Number: 103942
Source Name: Service Control Manager
Time Written: 20091210190940.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


Record Number: 103941
Source Name: Service Control Manager
Time Written: 20091210190900.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


Record Number: 103940
Source Name: Service Control Manager
Time Written: 20091210190829.000000+060
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 7001
Message: Der Dienst "RAS-Verbindungsverwaltung" ist vom Dienst "Telefonie" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.


Record Number: 103939
Source Name: Service Control Manager
Time Written: 20091210190749.000000+060
Event Type: Fehler
User: 

=====Application event log=====

Computer Name: ***
Event Code: 105
Message: The service was started.

Record Number: 458
Source Name: ATI Smart
Time Written: 20090823193610.000000+120
Event Type: Informationen
User: 

Computer Name: ***
Event Code: 4096
Message: 
Record Number: 457
Source Name: Avira AntiVir
Time Written: 20090823193606.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 1002
Message: Die Shell wurde unerwartet beendet und Explorer.exe wurde neu gestartet.

Record Number: 456
Source Name: Winlogon
Time Written: 20090823013319.000000+120
Event Type: Informationen
User: 

Computer Name: ***
Event Code: 1000
Message: Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.3156, fehlgeschlagenes Modul libavcodec.dll, Version 0.0.0.0, Fehleradresse 0x00008235.

Record Number: 455
Source Name: Application Error
Time Written: 20090823013308.000000+120
Event Type: Fehler
User: 

Computer Name: ***
Event Code: 105
Message: The service was started.

Record Number: 454
Source Name: ATI Smart
Time Written: 20090822194221.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;F:\Programme\QuickTime\QTSystem\;C:\Programme\Gemeinsame Dateien\Teleca Shared
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"tvdumpflags"=8
"FP_NO_HOST_CHECK"=NO
"QTJAVA"=C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_03\lib\ext\QTJava.zip

-----------------EOF-----------------



RSIT (log.txt)
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-12-17 19:07:23
Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (19%) free of 15 GB
Total RAM: 2047 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:41, on 17.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\EslWire\service\EslWireSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\trend micro\Luke.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - F:\Programme\SMART Technologies\Notebook Software\NotebookPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PowerStrip] f:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CurseClient] F:\Programme\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [ESL Wire] "F:\Programme\EslWire\wire.exe" --tray
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-18\..\Run: [agent.exe] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\PC\agent.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [agent.exe] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\PC\agent.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B063290-295F-41D3-BB20-880296F8B048}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EslWireService - Unknown owner - F:\Programme\EslWire\service\EslWireSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MOI - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\Luke\LOKALE~1\Temp\MOI.exe
O23 - Service: TKBJMB - Unknown owner - C:\DOKUME~1\Luke\LOKALE~1\Temp\TKBJMB.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7562 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - F:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-01-03 370296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - F:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{67BCF957-85FC-4036-8DC4-D4D80E00A77B}]
CIEDownload Object - F:\Programme\SMART Technologies\Notebook Software\NotebookPlugin.dll [2008-07-31 558376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"=F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-06-21 919016]
"avgnt"=F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"WinampAgent"=F:\Programme\Winamp\winampa.exe [2008-04-01 36352]
"Logitech Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2008-02-29 76304]
"Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2008-02-29 76304]
"PowerStrip"=f:\programme\powerstrip\pstrip.exe [2009-05-13 738336]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-07 16862208]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"SpyHunter Security Suite"=C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe [2009-12-09 866200]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"SpybotSD TeaTimer"=F:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"CurseClient"=F:\Programme\Curse\CurseClient.exe [2009-07-31 1935360]
"ESL Wire"=F:\Programme\EslWire\wire.exe [2008-05-23 7844352]
"AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [2007-02-28 2321600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-05-11 40048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
F:\Programme\BearShare\BearShare.exe /pause []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ESL Wire]
F:\Programme\EslWire\wire.exe [2008-05-23 7844352]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
C:\WINDOWS\KHALMNPR.EXE [2008-02-29 76304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
C:\WINDOWS\KHALMNPR.EXE [2008-02-29 76304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\PROGRA~1\MSNMES~1\msnmsgr.exe [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
F:\Programme\QuickTime\qttask.exe [2008-01-10 385024]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RouterControl]
F:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE [2008-04-14 3179520]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2006-11-24 487424]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
g:\spiele\steam\steam.exe [2008-11-20 1217808]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-01-03 185896]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
F:\Programme\Veoh Networks\Veoh\VeohClient.exe /VeohHide []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VOIPlay]
F:\Programme\VOIPlay\voiplay.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Luke^Startmenü^Programme^Autostart^Logitech-Produktregistrierung.lnk]
C:\PROGRA~1\GEMEIN~1\LOGISH~1\eReg\SetPoint\eReg.exe [2007-04-09 3036688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Luke^Startmenü^Programme^Autostart^Stardock ObjectDock.lnk]
F:\PROGRA~1\Stardock\OBJECT~1\OBJECT~1.EXE [2008-07-01 3581680]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Luke^Startmenü^Programme^Autostart^Thoosje Sidebar.lnk]
C:\PROGRA~1\THOOSJ~1.3\THOOSJ~1.EXE  []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Luke^Startmenü^Programme^Autostart^Thoosje Vista Sidebar.lnk]
C:\PROGRA~1\THOOSJ~1.3\THOOSJ~1.EXE  []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Luke^Startmenü^Programme^Autostart^World Community Grid Agent.lnk]
F:\PROGRA~1\WORLDC~1\UD.EXE  []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2
"wscsvc"=2
"usnjsvc"=3
"TapiSrv"=3
"nlsvc"=2
"ImapiService"=3
"CryptSvc"=3
"Bonjour Service"=2
"a2free"=2

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Logitech SetPoint.lnk - F:\Programme\Logitech\SetPoint\SetPoint.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-10-12 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LBTWlgn]
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll [2008-05-02 72208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\Programme\ICQ6\ICQ.exe"="F:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE"="C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"F:\Programme\Pro7ICQ6\ICQ.exe"="F:\Programme\Pro7ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"G:\Spiele\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="G:\Spiele\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"F:\Programme\Curse\CurseClient.exe"="F:\Programme\Curse\CurseClient.exe:*:Enabled:Curse Client"
"F:\Programme\EslWire\wire.exe"="F:\Programme\EslWire\wire.exe:*:Enabled:ESL Wire Gaming Client"
"F:\Programme\ICQ6Sat1\ICQ6.5\ICQ.exe"="F:\Programme\ICQ6Sat1\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"F:\Programme\Ventrilo\Ventrilo.exe"="F:\Programme\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe"
"F:\Programme\ICQ6.5\ICQ.exe"="F:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

======List of files/folders created in the last 1 months======

2009-12-17 19:07:26 ----D---- C:\Programme\trend micro
2009-12-17 19:07:23 ----D---- C:\rsit
2009-12-12 11:31:52 ----D---- C:\Dokumente und Einstellungen\Luke\Anwendungsdaten\Malwarebytes
2009-12-12 11:31:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-11 16:36:07 ----D---- C:\VundoFix Backups
2009-12-11 16:36:07 ----A---- C:\VundoFix.txt
2009-12-11 15:41:01 ----A---- C:\WINDOWS\system32\RootkitReveal.txt
2009-12-11 15:40:51 ----D---- C:\Programme\Enigma Software Group
2009-12-11 14:49:01 ----A---- C:\find.txt

======List of files/folders modified in the last 1 months======

2009-12-17 19:07:37 ----D---- C:\WINDOWS\Prefetch
2009-12-17 19:07:26 ----RD---- C:\Programme
2009-12-17 19:04:02 ----D---- C:\WINDOWS\Internet Logs
2009-12-17 17:56:24 ----D---- C:\WINDOWS\Temp
2009-12-17 17:56:22 ----D---- C:\WINDOWS\system32
2009-12-17 15:59:20 ----D---- C:\Programme\Mozilla Firefox
2009-12-17 15:56:24 ----D---- C:\WINDOWS\system32\CatRoot2
2009-12-17 15:55:41 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-12-17 15:55:01 ----D---- C:\WINDOWS\system32\drivers
2009-12-17 15:52:17 ----D---- C:\WINDOWS
2009-12-17 15:50:23 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-12-17 15:20:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 20:27:03 ----D---- C:\Dokumente und Einstellungen\Luke\Anwendungsdaten\teamspeak2
2009-12-12 15:07:33 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$
2009-12-11 15:18:11 ----SHD---- C:\System Volume Information
2009-12-11 15:18:11 ----D---- C:\WINDOWS\system32\Restore
2009-12-11 14:33:33 ----D---- C:\Programme\PopCap Games
2009-12-11 14:33:29 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-12-11 14:29:00 ----SHD---- C:\WINDOWS\Installer
2009-12-11 14:29:00 ----SHD---- C:\Config.Msi
2009-12-11 14:28:33 ----D---- C:\Programme\SweetIM
2009-12-11 14:28:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2009-12-11 14:27:08 ----HD---- C:\Programme\InstallShield Installation Information
2009-12-11 14:27:07 ----D---- C:\WINDOWS\Downloaded Installations
2009-12-02 20:54:27 ----D---- C:\Dokumente und Einstellungen\Luke\Anwendungsdaten\Skype
2009-12-02 20:54:25 ----D---- C:\Dokumente und Einstellungen\Luke\Anwendungsdaten\skypePM

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\F:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-31 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 nltdi;nltdi; \??\C:\WINDOWS\system32\drivers\nltdi.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-15 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-06-21 394984]
R2 PStrip;PStrip; C:\WINDOWS\system32\drivers\pstrip.sys [2007-07-15 27992]
R2 Vcs;Vcs support; \??\C:\WINDOWS\system32\Drivers\Vcs.sys []
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2007-10-12 2456576]
R3 avgntflt;avgntflt; \??\F:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit; C:\WINDOWS\system32\DRIVERS\ESLvnic.sys [2008-04-30 20216]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-07-23 17480]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-07 4739072]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-03-11 36864]
R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2008-02-29 20240]
R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2008-02-29 35344]
R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2008-02-29 36880]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S3 ALSysIO;ALSysIO; \??\C:\DOKUME~1\Luke\LOKALE~1\Temp\ALSysIO.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 GMSIPCI;GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS []
S3 KLIF;KLIF; \??\C:\WINDOWS\system32\drivers\klif.sys []
S3 L8042mou;SetPoint PS/2 Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\L8042mou.Sys [2008-02-29 63120]
S3 LMouKE;SetPoint Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouKE.Sys [2008-02-29 79120]
S3 MSICPL;MSICPL; \??\E:\install4\MSICPL.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
S3 NTACCESS;NTACCESS; \??\E:\NTACCESS.sys []
S3 OVT511Plus;Dual Mode USB Camera Plus; C:\WINDOWS\System32\Drivers\omcamvid.sys [2001-09-18 167816]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\System32\DRIVERS\Rtenicxp.sys [2007-04-14 94592]
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 SetupNTGLM7X;SetupNTGLM7X; \??\E:\NTGLM7X.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2004-08-03 12416]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 60800]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\w300mdfl.sys [2006-03-13 9264]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\w300mdm.sys [2006-03-13 96352]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 85696]
S3 w800bus;Sony Ericsson W800 driver (WDM); C:\WINDOWS\System32\DRIVERS\w800bus.sys [2005-05-24 52384]
S3 w800mdfl;Sony Ericsson W800 USB WMC Modem Filter; C:\WINDOWS\System32\DRIVERS\w800mdfl.sys [2005-05-24 6096]
S3 w800mdm;Sony Ericsson W800 USB WMC Modem Drivers; C:\WINDOWS\System32\DRIVERS\w800mdm.sys [2005-05-24 87424]
S3 w800mgmt;Sony Ericsson W800 USB WMC Device Management Drivers; C:\WINDOWS\System32\DRIVERS\w800mgmt.sys [2005-05-24 79216]
S3 w800obex;Sony Ericsson W800 USB WMC OBEX Interface Drivers; C:\WINDOWS\System32\DRIVERS\w800obex.sys [2005-05-24 77040]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 zlportio;zlportio; \??\G:\Spiele\UltraStar Deluxe\zlportio.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; F:\Programme\Lavasoft\Ad-Aware\aawservice.exe [2008-09-10 611664]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\System32\Ati2evxx.exe [2007-10-12 487424]
R2 EslWireService;EslWireService; F:\Programme\EslWire\service\EslWireSrv.exe [2008-05-20 868864]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-10-11 593920]
S2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2007-06-21 75304]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-05-18 654848]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 LBTServ;Logitech Bluetooth Service; C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe [2008-05-02 121360]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 MOI;MOI; C:\DOKUME~1\Luke\LOKALE~1\Temp\MOI.exe [2009-12-11 457600]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 TKBJMB;TKBJMB; C:\DOKUME~1\Luke\LOKALE~1\Temp\TKBJMB.exe []
S4 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376]
S4 nlsvc;NetLimiter; F:\Programme\NetLimiter 2 Monitor\nlsvc.exe [2007-04-23 491520]
S4 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]

-----------------EOF-----------------
Geändert von yesterday89 (17.12.2009 um 19:47 Uhr)

Alt 18.12.2009, 11:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Hallo und

Du hast da wahrscheinlich eine TDL3-Infektion, bitte GMER ausführen, notfalls im abgesicherten Modus.
__________________

__________________
Alt 18.12.2009, 19:23   #3
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Wenn ich die exe ausführe kommt nach wenigen Sekunden die Fehlermeldung:

***.exe (je nachdem welcher name generiert wurde) hat ein Problem festgestellt und muss beendet werden. Anschließend kommt ein Bluescreen.

Im abgesicherten Modus kommt die gleiche Meldung nur ohne anschließenden Bluescreen.

Ich hoffe mir kann dennoch geholfen werden
__________________
Alt 21.12.2009, 10:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
drivers to delete:
GMSIPCI
NTACCESS
SetupNTGLM7X
MOI
TKBJMB
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.12.2009, 20:09   #5
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Habe das Programm ausgeführt allerdings blieb der Pc beim Neustart im Windows-Ladebildschirm hängen. Der Ladebalken lief endlos lang weiter aber nichts passierte. Nach einiger Zeit hab ich den Pc nochmal im abgesicherten Modus gestartet. Anschließend ließ er sich auch wieder normal starten.
Hier der Log der mir ausgegeben wurde:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "GMSIPCI" deleted successfully.
Driver "NTACCESS" deleted successfully.
Driver "SetupNTGLM7X" deleted successfully.
Driver "MOI" deleted successfully.
Driver "TKBJMB" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
MFG Yesterday


Alt 21.12.2009, 20:12   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Ok, weiter gehts mit Combofix, das Tool ist endlich wieder online:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> TR/Crypt.ZPACK.Gen

Alt 21.12.2009, 20:56   #7
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Hab alles durchgeführt wie beschrieben jedoch kam es vielleicht zu zwei "Zwischenfällen". Ich weiß nicht wie schlimm das war aber ich schreibs einfach mal mit rein.

Während des Scannens hat combofix mir zwei mal den PC rebootet und dadurch sind natürlich alle möglichen Programme gestartet, welche ja eigentlich geschlossen sein sollten. Zudem ist dadurch mein AntiVir angegangen und hat einmal dazwischengefunkt.

Hier der Log:

Code:
ATTFilter
ComboFix 09-12-20.08 - *** 21.12.2009  20:38:58.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\ic32.dll
c:\windows\system32\Ijl11.dll
c:\windows\system32\SIntf16.dll
c:\windows\system32\sshnas.dll
c:\windows\system32\wk32.dll
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
F:\Autorun.inf
G:\Autorun.inf
G:\install.exe
H:\Autorun.inf

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 
Kopie von - Kitty ate it :p wurde wiederhergestellt 
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2009-11-21 bis 2009-12-21  ))))))))))))))))))))))))))))))
.

2009-12-21 19:03 . 2009-12-16 13:42	872960	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-21 19:03 . 2009-12-16 13:42	43008	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-21 19:03 . 2009-12-16 13:42	340480	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-21 19:03 . 2009-12-16 13:41	346624	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-17 18:07 . 2009-12-17 18:07	--------	d-----w-	c:\programme\trend micro
2009-12-17 18:07 . 2009-12-17 18:07	--------	d-----w-	C:\rsit
2009-12-17 14:25 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-17 14:25 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-12 10:31 . 2009-12-12 10:31	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-12 10:31 . 2009-12-12 10:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-11 15:36 . 2009-12-11 15:36	--------	d-----w-	C:\VundoFix Backups
2009-12-11 14:40 . 2009-12-11 14:40	--------	d-----w-	c:\programme\Enigma Software Group

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-21 19:43 . 2009-12-21 19:44	3116544	----a-w-	c:\windows\Internet Logs\xDB4F.tmp
2009-12-21 19:42 . 2001-08-18 12:00	75998	----a-w-	c:\windows\system32\perfc007.dat
2009-12-21 19:42 . 2001-08-18 12:00	418634	----a-w-	c:\windows\system32\perfh007.dat
2009-12-19 15:01 . 2007-11-22 11:54	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-12-18 18:04 . 2009-12-18 18:11	954880	----a-w-	c:\windows\Internet Logs\xDB4E.tmp
2009-12-17 14:50 . 2009-12-17 14:51	2681344	----a-w-	c:\windows\Internet Logs\xDB4D.tmp
2009-12-17 14:20 . 2008-01-20 13:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 01:20 . 2009-12-15 12:32	1478656	----a-w-	c:\windows\Internet Logs\xDB4C.tmp
2009-12-14 10:19 . 2007-11-21 23:19	73072	-c--a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-14 06:32 . 2009-12-14 09:52	2699264	----a-w-	c:\windows\Internet Logs\xDB4B.tmp
2009-12-11 13:33 . 2008-11-06 00:02	--------	d-----w-	c:\programme\PopCap Games
2009-12-11 13:28 . 2009-08-05 12:44	--------	d-----w-	c:\programme\SweetIM
2009-12-11 13:28 . 2009-08-05 12:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2009-12-11 13:27 . 2007-11-21 23:07	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-12-10 02:10 . 2009-12-10 11:33	2600448	----a-w-	c:\windows\Internet Logs\xDB4A.tmp
2009-12-08 02:24 . 2009-12-08 12:22	1686016	----a-w-	c:\windows\Internet Logs\xDB49.tmp
2009-12-07 06:04 . 2009-12-07 11:44	2696704	----a-w-	c:\windows\Internet Logs\xDB48.tmp
2009-12-04 02:43 . 2009-12-04 12:27	36864	----a-w-	c:\windows\Internet Logs\xDB47.tmp
2009-12-04 02:32 . 2009-12-04 02:33	2700288	----a-w-	c:\windows\Internet Logs\xDB46.tmp
2009-12-03 08:33 . 2008-03-13 16:12	19885335	----a-w-	c:\windows\Internet Logs\tvDebug.zip
2009-12-03 07:11 . 2009-12-03 08:33	2635264	----a-w-	c:\windows\Internet Logs\xDB45.tmp
2009-12-02 19:54 . 2008-01-29 00:08	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-12-02 19:54 . 2009-09-12 18:43	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-10-30 07:29 . 2008-12-29 07:52	1579520	----a-w-	c:\windows\Internet Logs\xDB37.tmp
2009-10-28 23:53 . 2009-10-29 11:43	1038848	----a-w-	c:\windows\Internet Logs\xDB36.tmp
2009-10-28 02:02 . 2009-10-28 12:21	2317824	----a-w-	c:\windows\Internet Logs\xDB35.tmp
2009-10-26 01:25 . 2009-10-26 12:28	2846720	----a-w-	c:\windows\Internet Logs\xDB34.tmp
2009-10-23 01:17 . 2009-10-23 06:09	858624	----a-w-	c:\windows\Internet Logs\xDB33.tmp
2009-10-22 00:38 . 2009-10-22 06:00	2171904	----a-w-	c:\windows\Internet Logs\xDB32.tmp
2009-10-20 00:50 . 2009-10-20 06:46	5579264	----a-w-	c:\windows\Internet Logs\xDB31.tmp
2009-09-28 01:06 . 2009-09-28 05:48	966656	----a-w-	c:\windows\Internet Logs\xDB30.tmp
2009-09-27 00:57 . 2009-09-27 13:15	2563584	----a-w-	c:\windows\Internet Logs\xDB2F.tmp
2009-09-25 00:11 . 2009-09-25 05:29	2411520	----a-w-	c:\windows\Internet Logs\xDB2E.tmp
2009-09-23 00:41 . 2009-09-23 11:26	1221120	----a-w-	c:\windows\Internet Logs\xDB2D.tmp
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2008-01-16 22:01	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-01-16 22:01	31232	--sh--r-	c:\windows\system32\msfDX.dll
2007-11-22 00:25 . 2007-11-22 00:06	669728	-csha-w-	c:\windows\system32\drivers\fidbox.dat
2007-11-22 00:25 . 2007-11-22 00:06	61984	-csha-w-	c:\windows\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="f:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"CurseClient"="f:\programme\Curse\CurseClient.exe" [2009-07-31 1935360]
"ESL Wire"="f:\programme\EslWire\wire.exe" [2008-05-23 7844352]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-02-28 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="f:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 919016]
"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"WinampAgent"="f:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"PowerStrip"="f:\programme\powerstrip\pstrip.exe" [2009-05-12 738336]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]
"SpyHunter Security Suite"="c:\programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2009-12-09 866200]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - f:\programme\Logitech\SetPoint\SetPoint.exe [2008-11-19 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Stardock ObjectDock.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Stardock ObjectDock.lnk
backup=c:\windows\pss\Stardock ObjectDock.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Thoosje Sidebar.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Thoosje Sidebar.lnk
backup=c:\windows\pss\Thoosje Sidebar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Thoosje Vista Sidebar.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Thoosje Vista Sidebar.lnk
backup=c:\windows\pss\Thoosje Vista Sidebar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^World Community Grid Agent.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\World Community Grid Agent.lnk
backup=c:\windows\pss\World Community Grid Agent.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 01:06	40048	----a-w-	f:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ESL Wire]
2008-05-23 16:24	7844352	----a-w-	f:\programme\EslWire\wire.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47	31016	----a-w-	c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
2008-02-29 02:12	76304	----a-w-	c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
2008-02-29 02:12	76304	----a-w-	c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-10-13 16:24	1694208	----a-w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-01-19 11:55	5674352	----a-w-	c:\progra~1\MSNMES~1\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-r-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-01-10 14:27	385024	----a-w-	f:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RouterControl]
2008-04-14 18:51	3179520	----a-w-	f:\progra~1\ROUTER~1\RouterControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-07-16 11:20	25604904	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2006-11-23 23:06	487424	----a-r-	c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2008-11-20 20:16	1217808	----a-w-	g:\spiele\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-01-03 22:11	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"TapiSrv"=3 (0x3)
"nlsvc"=2 (0x2)
"ImapiService"=3 (0x3)
"CryptSvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
"a2free"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=f:\programme\Winamp\winampa.exe
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"f:\\Programme\\Pro7ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"g:\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"f:\\Programme\\EslWire\\wire.exe"=
"f:\\Programme\\Ventrilo\\Ventrilo.exe"=
"f:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [01.07.2008 05:24 140800]
R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [01.07.2008 05:24 5248]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.04.2007 17:08 81688]
R2 EslWireService;EslWireService;f:\programme\EslWire\service\EslWireSrv.exe [05.05.2008 14:24 868864]
R2 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [15.07.2007 02:37 27992]
R2 Vcs;Vcs support;c:\windows\system32\drivers\Vcs.sys [15.03.2009 02:52 6852]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [05.05.2008 14:24 20216]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\***\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\***\LOKALE~1\Temp\ALSysIO.sys [?]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [16.05.2008 21:02 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [16.05.2008 21:02 85696]
S3 zlportio;zlportio;\??\g:\spiele\UltraStar Deluxe\zlportio.sys --> g:\spiele\UltraStar Deluxe\zlportio.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {3B063290-295F-41D3-BB20-880296F8B048} = 192.168.178.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - data:text/plain,keyword.URL=hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&gfns=1&sourceid=navclient&rls=com.google:de:official&q=
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\programme\Octoshape Streaming Services\***\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll
FF - plugin: f:\programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: f:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: f:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: f:\programme\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: f:\programme\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: f:\programme\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-BearShare - f:\programme\BearShare\BearShare.exe
MSConfigStartUp-Veoh - f:\programme\Veoh Networks\Veoh\VeohClient.exe
MSConfigStartUp-VOIPlay - f:\programme\VOIPlay\voiplay.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-21 20:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A4DE008]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf765bfc3
\Driver\ACPI -> ACPI.sys @ 0xf758acb8
\Driver\atapi -> 0x8a4de008
IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 ParseProcedure -> TUKERNEL.EXE @ 0x8057c74d
\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 ParseProcedure -> TUKERNEL.EXE @ 0x8057c74d
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1092)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3820)
f:\programme\Logitech\SetPoint\GameHook.dll
f:\programme\Logitech\SetPoint\lgscroll.dll
f:\programme\powerstrip\pshook.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
f:\programme\Lavasoft\Ad-Aware\aawservice.exe
f:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\RTHDCPL.EXE
f:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows\system32\rundll32.exe
f:\programme\Logitech\SetPoint\LU\LULnchr.exe
f:\programme\Logitech\SetPoint\LU\LogitechUpdate.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-21  20:49:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-21 19:49

Vor Suchlauf: 2.611.060.736 Bytes frei
Nach Suchlauf: 2.417.836.032 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=0WKDBY /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=0WKDBY-BAK

- - End Of File - - B4FB4E673DBF5BEC49CC6D01BE1979C0

Alt 21.12.2009, 21:10   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Zitat:
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Das Teil meinte ich. Combofix erleichtert einem da die Arbeit etwas. Du müsstest GMER jetzt ohne probleme ausführen können. Mach auch bitte nochmal einen Scan mit Malwarebytes, da das Rootkit jetzt (hoffentlich) entfernt ist, könnte es noch mehr entdecken.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.12.2009, 22:06   #9
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


So, hier ist schonmal der mbam-log

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3405
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.12.2009 21:54:37
mbam-log-2009-12-21 (21-54-37).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 260648
Laufzeit: 40 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\uvc7jk640c (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{E09BCAB2-66D2-48BE-A99F-F6C43E8B882C}\RP572\A0272141.exe (Trojan.Banker) -> Quarantined and deleted successfully.
F:\Programme\Gamers.IRC\mirc.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Programme\Gamers.IRC\bin\dll\dmu.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
F:\Programme\Gamers.IRC\bin\dll\SysTray.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
H:\Downs\andy\super_pi_mod.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.

Alt 22.12.2009, 00:42   #10
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


gmer kann ich leider immer noch nicht durchlaufen lassen. Es kommt der gleiche Fehler allerdings ohne den Bluescreen anschließend.

MFG Yesterday

Alt 22.12.2009, 09:56   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Hast Du auch alle Programme vorher geschlossen? Auch ZoneAlarm, Virenscanner, Spybot Teatimer?



i.) Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert. Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.




ii.) Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (die *** mit Deinem Benutzernamen wieder ersetzen!!)

Code:
ATTFilter
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=-

File::
c:\dokume~1\***\LOKALE~1\Temp\ALSysIO.sys

Driver::
ALSysIO
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.12.2009, 15:21   #12
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Ja ich hatte alles ausgemacht bevor ich GMER gestartet habe.
Auch im abgesicherten Modus ging es nicht.

mbr.log:

Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Combofix-Log

Code:
ATTFilter
ComboFix 09-12-21.04 - *** 22.12.2009  15:02:48.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2047.1557 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

FILE ::
"c:\dokume~1\***\LOKALE~1\Temp\ALSysIO.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ALSYSIO
-------\Service_ALSysIO


(((((((((((((((((((((((   Dateien erstellt von 2009-11-22 bis 2009-12-22  ))))))))))))))))))))))))))))))
.

2009-12-22 13:49 . 2009-12-22 13:49	77312	----a-w-	C:\mbr.exe
2009-12-21 19:03 . 2009-12-16 13:42	872960	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-21 19:03 . 2009-12-16 13:42	43008	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-21 19:03 . 2009-12-16 13:42	340480	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-21 19:03 . 2009-12-16 13:41	346624	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-17 18:07 . 2009-12-17 18:07	--------	d-----w-	c:\programme\trend micro
2009-12-17 18:07 . 2009-12-17 18:07	--------	d-----w-	C:\rsit
2009-12-17 14:25 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-17 14:25 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-12 10:31 . 2009-12-12 10:31	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-12-12 10:31 . 2009-12-12 10:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-11 15:36 . 2009-12-11 15:36	--------	d-----w-	C:\VundoFix Backups
2009-12-11 14:40 . 2009-12-21 20:03	--------	d-----w-	c:\programme\Enigma Software Group

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-22 14:07 . 2009-12-22 14:08	940544	----a-w-	c:\windows\Internet Logs\xDB50.tmp
2009-12-22 14:06 . 2001-08-18 12:00	75998	----a-w-	c:\windows\system32\perfc007.dat
2009-12-22 14:06 . 2001-08-18 12:00	418634	----a-w-	c:\windows\system32\perfh007.dat
2009-12-21 19:43 . 2009-12-21 19:44	3116544	----a-w-	c:\windows\Internet Logs\xDB4F.tmp
2009-12-19 15:01 . 2007-11-22 11:54	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\teamspeak2
2009-12-18 18:04 . 2009-12-18 18:11	954880	----a-w-	c:\windows\Internet Logs\xDB4E.tmp
2009-12-17 14:50 . 2009-12-17 14:51	2681344	----a-w-	c:\windows\Internet Logs\xDB4D.tmp
2009-12-17 14:20 . 2008-01-20 13:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-15 01:20 . 2009-12-15 12:32	1478656	----a-w-	c:\windows\Internet Logs\xDB4C.tmp
2009-12-14 10:19 . 2007-11-21 23:19	73072	-c--a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-14 06:32 . 2009-12-14 09:52	2699264	----a-w-	c:\windows\Internet Logs\xDB4B.tmp
2009-12-11 13:33 . 2008-11-06 00:02	--------	d-----w-	c:\programme\PopCap Games
2009-12-11 13:28 . 2009-08-05 12:44	--------	d-----w-	c:\programme\SweetIM
2009-12-11 13:28 . 2009-08-05 12:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2009-12-11 13:27 . 2007-11-21 23:07	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-12-10 02:10 . 2009-12-10 11:33	2600448	----a-w-	c:\windows\Internet Logs\xDB4A.tmp
2009-12-08 02:24 . 2009-12-08 12:22	1686016	----a-w-	c:\windows\Internet Logs\xDB49.tmp
2009-12-07 06:04 . 2009-12-07 11:44	2696704	----a-w-	c:\windows\Internet Logs\xDB48.tmp
2009-12-04 02:43 . 2009-12-04 12:27	36864	----a-w-	c:\windows\Internet Logs\xDB47.tmp
2009-12-04 02:32 . 2009-12-04 02:33	2700288	----a-w-	c:\windows\Internet Logs\xDB46.tmp
2009-12-03 08:33 . 2008-03-13 16:12	19885335	----a-w-	c:\windows\Internet Logs\tvDebug.zip
2009-12-03 07:11 . 2009-12-03 08:33	2635264	----a-w-	c:\windows\Internet Logs\xDB45.tmp
2009-12-02 19:54 . 2008-01-29 00:08	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-12-02 19:54 . 2009-09-12 18:43	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-10-30 07:29 . 2008-12-29 07:52	1579520	----a-w-	c:\windows\Internet Logs\xDB37.tmp
2009-10-28 23:53 . 2009-10-29 11:43	1038848	----a-w-	c:\windows\Internet Logs\xDB36.tmp
2009-10-28 02:02 . 2009-10-28 12:21	2317824	----a-w-	c:\windows\Internet Logs\xDB35.tmp
2009-10-26 01:25 . 2009-10-26 12:28	2846720	----a-w-	c:\windows\Internet Logs\xDB34.tmp
2009-10-23 01:17 . 2009-10-23 06:09	858624	----a-w-	c:\windows\Internet Logs\xDB33.tmp
2009-10-22 00:38 . 2009-10-22 06:00	2171904	----a-w-	c:\windows\Internet Logs\xDB32.tmp
2009-10-20 00:50 . 2009-10-20 06:46	5579264	----a-w-	c:\windows\Internet Logs\xDB31.tmp
2009-09-28 01:06 . 2009-09-28 05:48	966656	----a-w-	c:\windows\Internet Logs\xDB30.tmp
2009-09-27 00:57 . 2009-09-27 13:15	2563584	----a-w-	c:\windows\Internet Logs\xDB2F.tmp
2009-09-25 00:11 . 2009-09-25 05:29	2411520	----a-w-	c:\windows\Internet Logs\xDB2E.tmp
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2008-01-16 22:01	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-01-16 22:01	31232	--sh--r-	c:\windows\system32\msfDX.dll
2007-11-22 00:25 . 2007-11-22 00:06	669728	-csha-w-	c:\windows\system32\drivers\fidbox.dat
2007-11-22 00:25 . 2007-11-22 00:06	61984	-csha-w-	c:\windows\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CurseClient"="f:\programme\Curse\CurseClient.exe" [2009-07-31 1935360]
"ESL Wire"="f:\programme\EslWire\wire.exe" [2008-05-23 7844352]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-02-28 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="f:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 919016]
"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"WinampAgent"="f:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"PowerStrip"="f:\programme\powerstrip\pstrip.exe" [2009-05-12 738336]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - f:\programme\Logitech\SetPoint\SetPoint.exe [2008-11-19 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Stardock ObjectDock.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Stardock ObjectDock.lnk
backup=c:\windows\pss\Stardock ObjectDock.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Thoosje Sidebar.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Thoosje Sidebar.lnk
backup=c:\windows\pss\Thoosje Sidebar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Thoosje Vista Sidebar.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Thoosje Vista Sidebar.lnk
backup=c:\windows\pss\Thoosje Vista Sidebar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^World Community Grid Agent.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\World Community Grid Agent.lnk
backup=c:\windows\pss\World Community Grid Agent.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 01:06	40048	----a-w-	f:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ESL Wire]
2008-05-23 16:24	7844352	----a-w-	f:\programme\EslWire\wire.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47	31016	----a-w-	c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
2008-02-29 02:12	76304	----a-w-	c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
2008-02-29 02:12	76304	----a-w-	c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-10-13 16:24	1694208	----a-w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-01-19 11:55	5674352	----a-w-	c:\progra~1\MSNMES~1\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-r-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-01-10 14:27	385024	----a-w-	f:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RouterControl]
2008-04-14 18:51	3179520	----a-w-	f:\progra~1\ROUTER~1\RouterControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-07-16 11:20	25604904	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2006-11-23 23:06	487424	----a-r-	c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2008-11-20 20:16	1217808	----a-w-	g:\spiele\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-01-03 22:11	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"TapiSrv"=3 (0x3)
"nlsvc"=2 (0x2)
"ImapiService"=3 (0x3)
"CryptSvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
"a2free"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"f:\\Programme\\Pro7ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"g:\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"f:\\Programme\\EslWire\\wire.exe"=
"f:\\Programme\\Ventrilo\\Ventrilo.exe"=
"f:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [01.07.2008 05:24 140800]
R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [01.07.2008 05:24 5248]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.04.2007 17:08 81688]
R2 EslWireService;EslWireService;f:\programme\EslWire\service\EslWireSrv.exe [05.05.2008 14:24 868864]
R2 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [15.07.2007 02:37 27992]
R2 Vcs;Vcs support;c:\windows\system32\drivers\Vcs.sys [15.03.2009 02:52 6852]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [05.05.2008 14:24 20216]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [16.05.2008 21:02 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [16.05.2008 21:02 85696]
S3 zlportio;zlportio;\??\g:\spiele\UltraStar Deluxe\zlportio.sys --> g:\spiele\UltraStar Deluxe\zlportio.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {3B063290-295F-41D3-BB20-880296F8B048} = 192.168.178.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - data:text/plain,keyword.URL=hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&gfns=1&sourceid=navclient&rls=com.google:de:official&q=
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ygumtg6d.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\programme\Octoshape Streaming Services\***\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll
FF - plugin: f:\programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - plugin: f:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: f:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: f:\programme\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: f:\programme\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: f:\programme\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-22 15:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5267A8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf765bfc3
\Driver\ACPI -> ACPI.sys @ 0xf758acb8
\Driver\atapi -> 0x8a5267a8
IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 ParseProcedure -> TUKERNEL.EXE @ 0x8057c74d
\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 ParseProcedure -> TUKERNEL.EXE @ 0x8057c74d
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1096)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1732)
f:\programme\Logitech\SetPoint\GameHook.dll
f:\programme\Logitech\SetPoint\lgscroll.dll
f:\programme\powerstrip\pshook.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
f:\programme\Lavasoft\Ad-Aware\aawservice.exe
f:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
f:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
f:\programme\Logitech\SetPoint\LU\LULnchr.exe
f:\programme\Logitech\SetPoint\LU\LogitechUpdate.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-22  15:14:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-22 14:14
ComboFix2.txt  2009-12-21 19:49

Vor Suchlauf: 2.146.029.568 Bytes frei
Nach Suchlauf: 2.092.777.472 Bytes frei

- - End Of File - - 145BDB12E6716C710CD451E0DB4E0445

Alt 22.12.2009, 15:32   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Sehr schön. Wenn nun keine Auffälligkeiten mehr sind, bitte unbedingt die Updates prüfen:


Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. ums SP3 und den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Prüf bei der Gelegenheit auf der Adobeseite auch, ob der Flashplayer aktuell ist! (beim McAfee-Gedöns Haken rausnehmen, ist völlig unnötig!)

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.01.2010, 00:38   #14
yesterday89
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen


Vielen Dank für die Hilfe.
Es funktioniert wieder alles ohne Probleme und ich bekomme keine Meldungen mehr!

Super Hilfe.

MFG Yesterday

Antwort

Themen zu TR/Crypt.ZPACK.Gen
1.exe, 32 bit, anti malware, antivir, avgntflt.sys, backdoor.ircbot, bho, black, bonjour, candy, central, desktop, diagnostics, einstellungen, enigma, excel, firefox, flash player, help, hkus\s-1-5-18, install.exe, internet, logfile, malwarebytes' anti-malware, monitor, mp3, msiexec.exe, plug-ins, problem, registrierungsschlüssel, registry, rundll, scan, security suite, senden, skype.exe, software, system, teamspeak, trojaner, vista, vlc media player, windows, windows xp


« system alert, windows security alert und fremde antiviren programme | Trojaner TR/ATRAPS.Gen »


Ähnliche Themen: TR/Crypt.ZPACK.Gen


  1. TR/Crypt.ZPACK.*, TR.Crypt.XPACK.*, nicht gefundene AdWare
    Log-Analyse und Auswertung - 12.11.2015 (10)
  2. Troj.TR/Crypt.Zpack.151493+Troj.TR/Crypt.Xpack.138980 entfernen+daten entschlüsseln
    Log-Analyse und Auswertung - 27.08.2015 (27)
  3. TR/Crypt.Zpack.96184 und TR/Crypt.Zpack.96450 entgültig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2014 (13)
  4. Vermute TR/Crypt.ZPACK.47328 und TR/Crypt.ZPACK.56424 auf dem Rechner
    Log-Analyse und Auswertung - 12.05.2014 (10)
  5. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  6. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  7. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  8. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  9. TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (33)
  10. TR/Dldr.Wintrim.BX.52, TR/Crypt.ZPACK.Gen, TR/Crypt.PEPM.Gen, ADWARE/Adware.Gen - ich brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (8)
  11. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  12. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  13. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  14. AntiVir: TR/Crypt.XDR.Gen & TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (1)
  15. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  16. Computer infiziert: Crypt.ZPACK.Gen, Vundo.Gen (3mal), Crypt.ZPACK.Gen, Alureon.CZ
    Log-Analyse und Auswertung - 25.12.2009 (11)
  17. Trojaner TR/Crypt.ASPM.Gen und TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Crypt.ZPACK.Gen - Hallo, ich habe das Problem, dass mein AntiVir in der Datei C:\WINDOWS\system32\tdlcmd.dll den Trojaner TR/Crypt.ZPACK.Gen findet. Wenn ich diesen lösche kommt die Meldung allerdings nach einiger Zeit wieder. Ich bekomm - TR/Crypt.ZPACK.Gen...
Archiv
Du betrachtest: TR/Crypt.ZPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130