| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mein Besuch vom Herrn windows-security-alertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.01.2010, 16:04
| #1 |
 |  Mein Besuch vom Herrn windows-security-alert Weil der Chef sagt - jeder hat sein eigenes Problem - hier meins: Mein werter PC hat gerade spontan beschlossen sich von AntiVirProf abzuwenden und war ganz begeistert vom tollen Windows Security Spaß. Was passiert: Wie bei allen hier springen spontan Fenster auf, die mir von bösen Viren auf meinem Rechner berichten und mir das tollste aller Antivirenprogramme dagegen anbieten - sogar mit Selbstinstallation ohne Klicken. Naja, ...nach ein bisschen Googlen bin ich hier aufgeschlagen. Also hier erstmal dieses seltsame Log-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:55:41, on 05.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cchservice.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\tray\wintmr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cc32\webtmr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.afra;<local> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\Gemeinsame Dateien\Tray\ccexec.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\*****~1\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: CurseClientStartup.ccip O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) -h**p://www.acclaim.com/cabs/acclaim_v4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe -- End of file - 5689 bytes Was ich bis jetzt gemacht habe: Die drei Prozesse im Taskmanager beendet, ClearProg durchlaufen lassen - darauf hin haben die aufspringenden Fenster aufgehört. Antivir bleibt unstartbar. Neustart des Rechners habe ich mir aufgrund des Themas "nach secure alert meldungen vermutlich weitere probleme!" nicht getraut. Hilfe wäre voll hübsch - ich renne hier hilflos gegen die Wand und frage mich was ich falsch gemacht habe  Geändert von Rynnanu (05.01.2010 um 16:17 Uhr) |
|
05.01.2010, 21:14
| #2 |
  | Mein Besuch vom Herrn windows-security-alert Hi,
__________________Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Läuft MAM nicht, gleich zu GMER wechseln und das Log von ihm posten... RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
05.01.2010, 23:07
| #3 |
| | Mein Besuch vom Herrn windows-security-alert Huhu, danke für die antwort
__________________Malwarebytes Anti-Malware lässt sich nicht installieren. (Reagiert einfach nicht aufs anklicken) Log vom GMER: (Nach dem Ende des Scans schrieb er: „Warning! GMER has found system modification caused by ROOTKIT activitiy.“ aus.) Ohne Scan: GMER 1.0.15.15281 - http://www.gmer.net Rootkit quick scan 2010-01-05 22:46:53 Windows 5.1.2600 Service Pack 2 Running: 1n2hv9h7.exe; Driver: C:\DOKUME~1\******~1\LOKALE~1\Temp\fxtdypow.sys ---- System - GMER 1.0.15 ---- Code 865D52F0 ZwFlushInstructionCache Code 865D139E IofCallDriver Code 865F1FD6 IofCompleteRequest ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 867651E8 AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTxnxodulvvt.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- Mit Scan: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-05 22:39:45 Windows 5.1.2600 Service Pack 2 Running: 1n2hv9h7.exe; Driver: C:\DOKUME~1\SARAHB~1\LOKALE~1\Temp\fxtdypow.sys ---- System - GMER 1.0.15 ---- Code 865D52F0 ZwFlushInstructionCache Code 865D139E IofCallDriver Code 865F1FD6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EE00A 5 Bytes JMP 865D13A3 .text ntkrnlpa.exe!IofCompleteRequest 804EE09A 5 Bytes JMP 865F1FDB PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AAC4C 5 Bytes JMP 865D52F4 ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload F1D9962C 5 Bytes JMP 8628C1C8 .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF1421360, 0x35483F, 0xE8000020] ? System32\Drivers\aq853m3p.SYS Das System kann den angegebenen Pfad nicht finden. ! .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xBAE92300, 0x3AE88, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF788C300, 0x1B7E, 0xE8000020] ? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Internet Explorer\iexplore.exe[1888] ole32.dll!OleLoadFromStream 774FA257 5 Bytes JMP 7E2A486D C:\WINDOWS\system32\SHDOCVW.dll (Bibliothek für Shell-Dokumente und -Steuerelemente/Microsoft Corporation) .text C:\Programme\Internet Explorer\iexplore.exe[1888] WININET.dll!HttpAddRequestHeadersA 7719407A 5 Bytes JMP 00A8000C .text C:\Programme\Internet Explorer\iexplore.exe[1888] WININET.dll!HttpAddRequestHeadersW 7719EEBC 5 Bytes JMP 00B2000A .text C:\Programme\Mozilla Firefox\firefox.exe[3452] WS2_32.dll!connect 71A1406A 5 Bytes JMP 0246000A .text C:\Programme\Mozilla Firefox\firefox.exe[3452] WS2_32.dll!send 71A1428A 5 Bytes JMP 0248000A .text C:\Programme\Mozilla Firefox\firefox.exe[3452] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 0247000A ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73F2AD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73F2C1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73F2B9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73F3748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73F361E] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F740829A] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 867651E8 Device \Driver\PCI_NTPNP9466 \Device\00000050 sptd.sys Device \Driver\usbohci \Device\USBPDO-0 863421E8 Device \Driver\usbehci \Device\USBPDO-1 8633E790 Device \Driver\dmio \Device\DmControl\DmIoDaemon 867671E8 Device \Driver\dmio \Device\DmControl\DmConfig 867671E8 Device \Driver\dmio \Device\DmControl\DmPnP 867671E8 Device \Driver\dmio \Device\DmControl\DmInfo 867671E8 AttachedDevice \Driver\Tcpip \Device\Tcp tcpipBM.SYS (Bytemobile Kernel Network Provider/Bytemobile, Inc.) Device \Driver\Ftdisk \Device\HarddiskVolume1 867D31E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 867D31E8 Device \Driver\nvata \Device\00000072 867661E8 Device \Driver\nvata \Device\00000073 867661E8 Device \Driver\NetBT \Device\NetBt_Wins_Export 85B781E8 Device \Driver\NetBT \Device\NetbiosSmb 85B781E8 Device \Driver\usbohci \Device\USBFDO-0 863421E8 Device \Driver\nvata \Device\NvAta0 867661E8 Device \Driver\usbehci \Device\USBFDO-1 8633E790 Device \Driver\nvata \Device\NvAta1 867661E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 85B11790 Device \Driver\nvata \Device\NvAta2 867661E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 85B11790 Device \Driver\Ftdisk \Device\FtControl 867D31E8 Device \Driver\aq853m3p \Device\Scsi\aq853m3p1Port3Path0Target1Lun0 865122C8 Device \Driver\aq853m3p \Device\Scsi\aq853m3p1 865122C8 Device \Driver\aq853m3p \Device\Scsi\aq853m3p1Port3Path0Target0Lun0 865122C8 Device \FileSystem\Cdfs \Cdfs 85AFF1E8 ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTxnxodulvvt.sys (*** hidden *** ) EF1D4000-EF1F1000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [856] 0x02580000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [932] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [972] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1052] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1092] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1332] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1636] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1784] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [1888] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTyxkpkkftaw.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [1888] 0x00B30000 Library \\?\globalroot\systemroot\system32\H8SRTyxkpkkftaw.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3452] 0x10000000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTxnxodulvvt.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTxnxodulvvt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTxnxodulvvt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvympqjcvkq.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTowqbonqogo.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTyxkpkkftaw.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x16 0xDB 0xC0 0xFB ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0xCB 0x8E 0x70 0xB2 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0x66 0x1D 0xB4 0x04 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x53 0x57 0x67 0x51 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xBE 0x9F 0xA0 0x5E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x64 0x62 0x02 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x9A 0x18 0x0A 0x41 ... Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTxnxodulvvt.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTxnxodulvvt.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvympqjcvkq.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTowqbonqogo.dat Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTgmmqskyeje.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTyxkpkkftaw.dll Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x16 0xDB 0xC0 0xFB ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0xCB 0x8E 0x70 0xB2 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0x66 0x1D 0xB4 0x04 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x53 0x57 0x67 0x51 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xBE 0x9F 0xA0 0x5E ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x64 0x62 0x02 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x9A 0x18 0x0A 0x41 ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@Installed 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@Installed 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@NoChange 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@Installed 1 ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Sarah Böhm\Lokale Einstellungen\Temp\H8SRT9d9d.tmp 343040 bytes executable File C:\Dokumente und Einstellungen\Sarah Böhm\Lokale Einstellungen\Temp\h8srtmainqt.dll 16474 bytes File C:\WINDOWS\system32\drivers\H8SRTxnxodulvvt.sys 40448 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\H8SRTgmmqskyeje.dll 36864 bytes executable File C:\WINDOWS\system32\H8SRTowqbonqogo.dat 203 bytes File C:\WINDOWS\system32\H8SRTvympqjcvkq.dll 23040 bytes executable File C:\WINDOWS\system32\H8SRTyxkpkkftaw.dll 40960 bytes executable File C:\WINDOWS\Temp\H8SRT388f.tmp 175 bytes ---- EOF - GMER 1.0.15 ---- RSIT – Log Logfile of random's system information tool 1.06 (written by random/random) Run by ******** at 2010-01-05 22:43:23 Microsoft Windows XP Professional Service Pack 2 System drive C: has 25 GB (62%) free of 40 GB Total RAM: 1023 MB (54% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:11:29, on 05.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cchservice.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\tray\wintmr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cc32\webtmr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sarah Böhm\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.afra;<local> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\Gemeinsame Dateien\Tray\ccexec.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\SARAHB~1\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: CurseClientStartup.ccip O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe -- End of file - 5656 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360] "CCWinTray"=C:\WINDOWS\Tray\wintmr.exe [2009-04-11 5987768] "StartXChar"= [] "settdebugx.exe"=C:\DOKUME~1\SARAHB~1\LOKALE~1\Temp\settdebugx.exe [] "Malware Defense"=C:\Programme\Malware Defense\mdefense.exe -noscan [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] C:\WINDOWS\SOUNDMAN.EXE [2004-11-15 77824] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE C:\Dokumente und Einstellungen\*******\Startmenü\Programme\Autostart CurseClientStartup.ccip [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-03 240128] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableClock"=0 "NoDispCPL"=0 "DisableTaskMgr"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=FF000000 "NoRun"=0 "NoFind"=0 "NoDrives"=0 "RestrictRun"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer" "D:\Spiele\Lineage\l2gerprotect.exe"="D:\Spiele\Lineage\l2gerprotect.exe:*:Enabled:l2gerprotect" "D:\Programme\Xfire\xfire.exe"="D:\Programme\Xfire\xfire.exe:*:Enabled:Xfire" "D:\Programme\ICQ6\ICQ.exe"="D:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "D:\Spiele\CoH-Opposing Fronts\RelicCOH.exe"="D:\Spiele\CoH-Opposing Fronts\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts" "D:\Programme\Exodus\Exodus.exe"="D:\Programme\Exodus\Exodus.exe:*:Enabled:Exodus Jabber Client" "C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC" "D:\Spiele\AssassinsCreed\AssassinsCreed_Dx9.exe"="D:\Spiele\AssassinsCreed\AssassinsCreed_Dx9.exe:*:Enabled:Assassin's Creed Dx9" "D:\Spiele\AssassinsCreed\AssassinsCreed_Dx10.exe"="D:\Spiele\AssassinsCreed\AssassinsCreed_Dx10.exe:*:Enabled:Assassin's Creed Dx10" "D:\Spiele\AssassinsCreed\AssassinsCreed_Launcher.exe"="D:\Spiele\AssassinsCreed\AssassinsCreed_Launcher.exe:*:Enabled:Assassin's Creed Update" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\Programme\Java\jre1.6.0_07\bin\javaw.exe"="C:\Programme\Java\jre1.6.0_07\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Ventrilo\Ventrilo.exe"="C:\Programme\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath " "C:\Dokumente und Einstellungen\Sarah Böhm\Lokale Einstellungen\Apps\2.0\THTG42WX.YJW\A583TMGZ.MM8\curs..tion_eee711038731a406_0004.0000_1332b9f434841748\CurseClient.exe"="C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Apps\2.0\THTG42WX.YJW\A583TMGZ.MM8\curs..tion_eee711038731a406_0004.0000_1332b9f434841748\CurseClient.exe:*:Enabled:Curse Client 4.0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56ac8208-f1e8-11dc-ba6d-0017311399de}] shell\AutoRun\command - tyktjfww.exe shell\explore\command - tyktjfww.exe shell\open\command - tyktjfww.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69215e80-840d-11dd-bc03-0017311399de}] shell\Auto\command - I:\Recycled\cleardisk.pif shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\cleardisk.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7597ade9-8027-11dd-bbf5-0017311399de}] shell\AutoRun\command - e.cmd shell\explore\command - e.cmd shell\open\command - e.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a39005c-2383-11de-bdea-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a39005e-2383-11de-bdea-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c995499-f3fe-11de-8007-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8923168-a73f-11de-bf2e-0013f71e5758}] shell\AutoRun\command - H:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db1ea33a-c13d-11dc-b9ea-0017311399de}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec7bb03c-22da-11de-bde9-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffacc4c4-c65a-11de-bf7b-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffacc4c6-c65a-11de-bf7b-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe ======List of files/folders created in the last 1 months====== 2010-01-05 22:43:23 ----D---- C:\rsit 2010-01-05 15:24:06 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.24.06_log.txt 2010-01-05 15:23:59 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.23.59_log.txt 2010-01-05 15:22:56 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.22.56_log.txt 2010-01-05 15:22:08 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.22.08_log.txt 2010-01-05 15:09:51 ----D---- C:\Programme\ClearProg 2010-01-05 14:18:19 ----A---- C:\WINDOWS\system32\krl32mainweq.dll 2010-01-05 14:13:31 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini 2009-12-28 23:37:29 ----D---- C:\Programme\T-Mobile 2009-12-12 22:05:29 ----SHD---- C:\Config.Msi 2009-12-12 22:01:50 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$ 2009-12-12 22:00:53 ----HDC---- C:\WINDOWS\$NtUninstallKB925720$ 2009-12-12 00:38:53 ----D---- C:\WINDOWS\system32\XPSViewer 2009-12-12 00:38:51 ----D---- C:\Programme\MSBuild 2009-12-12 00:38:16 ----N---- C:\WINDOWS\system32\xpssvcs.dll 2009-12-12 00:38:16 ----N---- C:\WINDOWS\system32\xpsshhdr.dll 2009-12-12 00:38:16 ----N---- C:\WINDOWS\system32\prntvpt.dll 2009-12-12 00:38:16 ----D---- C:\d2c16332d2a92375a47aef 2009-12-12 00:36:15 ----D---- C:\Programme\MSXML 6.0 2009-12-12 00:35:03 ----D---- C:\9e92d9be62281b081397cc86a571cd 2009-12-09 12:46:38 ----D---- C:\WINDOWS\system32\en-US 2009-12-09 12:45:44 ----D---- C:\Programme\Reference Assemblies 2009-12-09 12:40:33 ----RSD---- C:\WINDOWS\assembly 2009-12-09 12:39:50 ----D---- C:\WINDOWS\Microsoft.NET 2009-12-09 12:37:16 ----HDC---- C:\WINDOWS\$NtUninstallWIC$ 2009-12-09 12:36:12 ----RHD---- C:\AHCache 2009-12-09 01:21:24 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$ 2009-12-09 01:21:17 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$ 2009-12-09 01:21:01 ----HDC---- C:\WINDOWS\$NtUninstallKB976325$ 2009-12-09 01:20:45 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$ 2009-12-09 01:20:38 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$ 2009-12-09 01:20:22 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$ ======List of files/folders modified in the last 1 months====== 2010-01-05 22:39:26 ----D---- C:\Programme\Mozilla Firefox 2010-01-05 22:18:35 ----D---- C:\WINDOWS\Prefetch 2010-01-05 15:24:06 ----D---- C:\WINDOWS\system32\drivers 2010-01-05 15:15:43 ----D---- C:\Programme 2010-01-05 15:12:15 ----D---- C:\WINDOWS\Temp 2010-01-05 14:57:58 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-05 14:57:30 ----D---- C:\WINDOWS\system32 2010-01-05 14:57:22 ----D---- C:\WINDOWS\system32\wdrv 2010-01-05 14:56:59 ----A---- C:\WINDOWS\system32\swctl.dll 2010-01-05 14:56:29 ----SHD---- C:\WINDOWS\CSC 2010-01-05 12:58:44 ----D---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\teamspeak2 2010-01-05 12:37:42 ----D---- C:\WINDOWS\system32\cc32 2010-01-05 09:55:54 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-05 09:33:46 ----D---- C:\Programme\AntiVir PersonalEdition Premium 2010-01-04 19:33:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium 2010-01-03 22:30:55 ----D---- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype 2009-12-28 23:51:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-12-28 23:47:13 ----D---- C:\WINDOWS 2009-12-28 23:44:23 ----HD---- C:\WINDOWS\inf 2009-12-24 20:28:46 ----D---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\dvdcss 2009-12-19 11:08:46 ----SD---- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Microsoft 2009-12-12 22:07:37 ----SHD---- C:\WINDOWS\Installer 2009-12-12 22:06:48 ----D---- C:\WINDOWS\WinSxS 2009-12-12 22:04:32 ----D---- C:\WINDOWS\system32\CatRoot 2009-12-12 22:02:38 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-12 22:01:48 ----HD---- C:\WINDOWS\$hf_mig$ 2009-12-12 22:01:06 ----A---- C:\WINDOWS\imsins.BAK 2009-12-12 00:38:50 ----RSD---- C:\WINDOWS\Fonts 2009-12-12 00:38:30 ----D---- C:\WINDOWS\system32\spool 2009-12-12 00:37:06 ----D---- C:\Programme\Internet Explorer 2009-12-09 12:40:04 ----D---- C:\WINDOWS\system32\mui ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2004-10-14 4962] R1 aslm75;aslm75; \??\C:\WINDOWS\system32\drivers\aslm75.sys [] R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Premium\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-27 75096] R1 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-02-18 6308224] R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225920] R1 tcpipBM;Bytemobile Kernel Network Provider; C:\WINDOWS\system32\drivers\tcpipBM.sys [2008-02-11 18816] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2003-10-10 12032] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2008-09-19 20747] R2 ASInsHelp;ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [] R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-12-20 278984] R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-12-20 25416] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-11-17 2297664] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2003-10-10 9600] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-10-10 12288] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-04-06 12928] R3 SMCWPCIG;SMCWPCI-G 54Mbps Wireless PCI adapter Service; C:\WINDOWS\system32\DRIVERS\SMCWPCIG.sys [2005-04-21 458208] R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2004-08-03 12416] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2004-08-03 14848] S3 aq853m3p;aq853m3p; C:\WINDOWS\system32\drivers\aq853m3p.sys [] S3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Premium\avgntflt.sys [] S3 dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2004-08-03 207360] S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928] S3 Dot4Scan;Scannerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Scan.sys [2001-08-17 8704] S3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINDOWS\system32\DRIVERS\dot4usb.sys [2001-08-18 23936] S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [] S3 fxtdypow;fxtdypow; \??\C:\DOKUME~1\******~1\LOKALE~1\Temp\fxtdypow.sys [] S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-05-05 101376] S3 msloop;Microsoft Loopbackadaptertreiber; C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 4992] S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-04-06 33536] S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 wlanndi5;wlanndi5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\wlanndi5.SYS [] S3 XDva190;XDva190; \??\C:\WINDOWS\system32\XDva190.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2004-08-03 14336] R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard; C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe [2008-11-25 164097] R2 antivirwebservice;Avira AntiVir Premium WebGuard; C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-07-17 258305] R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst; C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe [2008-07-17 41217] R2 Iprip;RIP-Überwachung; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-02-18 163908] R2 SimpTcp;Einfache TCP/IP-Dienste; C:\WINDOWS\System32\tcpsvcs.exe [2003-10-10 19456] R2 Windows-CCHook-Service;Windows-CCHook-Service; C:\WINDOWS\system32\cchservice.exe [2003-10-10 971952] S2 ACS;Atheros Configuration Service; C:\WINDOWS\system32\acs.exe [2005-03-14 36864] S2 AntiVirScheduler;AntiVir PersonalEdition Premium Planer; C:\Programme\AntiVir PersonalEdition Premium\sched.exe [2008-10-24 68865] S2 AntiVirService;AntiVir PersonalEdition Premium Guard; C:\Programme\AntiVir PersonalEdition Premium\avguard.exe [2008-10-24 151297] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-30 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 p2pimsvc;Peernetzwerkidentitäts-Manager; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 p2psvc;Peernetzwerk; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 PNRPSvc;Peer Name Resolution-Protokoll; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- Trennung weil Foreneintrag zu lang - |
|
05.01.2010, 23:08
| #4 |
| | Mein Besuch vom Herrn windows-security-alert Teil 2 RSIT – Info info.txt logfile of random's system information tool 1.06 2010-01-05 22:43:30 ======Uninstall list====== -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf AC3Filter (remove only)-->C:\Programme\AC3Filter\uninstall.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q Adobe Reader 7.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000} Ankh-->"D:\Spiele\Ankh\uninstall.exe" Anno 1701-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A2433A63-5F5D-40E5-B529-9123C2B3E734}\setup.exe" -l0x7 -removeonly Assassin's Creed-->C:\Programme\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x0007 -removeonly AsusUpdate-->C:\WINDOWS\IsUninst.exe -fC:\Programme\ASUS\AsusUpdate\Uninst.isu Atlantis 2-->C:\WINDOWS\IsUn0407.exe -f"d:\spiele\Atlantis 2\Uninst.isu" Avira AntiVir Premium-->C:\Programme\AntiVir PersonalEdition Premium\setup.exe /REMOVE Black & White® 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D9E52CD1-9DF1-4A8A-9BDC-1E5E53982F2B}\setup.exe" -l0x7 -removeonly Caesar 3-->C:\WINDOWS\IsUn0407.exe -fd:\spiele\caesar\SIERRA\Caesar3\Uninst.isu ClearProg 1.6.0 Final-->C:\Programme\ClearProg\Uninstall.exe Company of Heroes - FAKEMSI-->MsiExec.exe /I{14574B7F-75D1-4718-B7F2-EBF6E2862A35} Company of Heroes - FAKEMSI-->MsiExec.exe /I{199E6632-EB28-4F73-AECB-3E192EB92D18} Company of Heroes - FAKEMSI-->MsiExec.exe /I{25724802-CC14-4B90-9F3B-3D6955EE27B1} Company of Heroes - FAKEMSI-->MsiExec.exe /I{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D} Company of Heroes - FAKEMSI-->MsiExec.exe /I{50193078-F553-4EBA-AA77-64C9FAA12F98} Company of Heroes - FAKEMSI-->MsiExec.exe /I{51D718D1-DA81-4FAD-919F-5C1CE3C33379} Company of Heroes - FAKEMSI-->MsiExec.exe /I{66F78C51-D108-4F0C-A93C-1CBE74CE338F} Company of Heroes - FAKEMSI-->MsiExec.exe /I{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3} Company of Heroes - FAKEMSI-->MsiExec.exe /I{80D03817-7943-4839-8E96-B9F924C5E67D} Company of Heroes - FAKEMSI-->MsiExec.exe /I{97E5205F-EA4F-438F-B211-F1846419F1C1} Company of Heroes - FAKEMSI-->MsiExec.exe /I{99A7722D-9ACB-43F3-A222-ABC7133F159E} Company of Heroes - FAKEMSI-->MsiExec.exe /I{BA801B94-C28D-46EE-B806-E1E021A3D519} Company of Heroes - FAKEMSI-->MsiExec.exe /I{D4D244D1-05E0-4D24-86A2-B2433C435671} Company of Heroes - FAKEMSI-->MsiExec.exe /I{EAF636A9-F664-4703-A659-85A894DA264F} Company of Heroes - Opposing Fronts-->"D:\Spiele\CoH-Opposing Fronts\Uninstall_English.exe" Cool & Quiet-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1ADE1AA0-7F82-4BB1-B1BD-727DE438057B}\Setup.exe" -l0x9 DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN EVEREST Ultimate Edition v5.01-->"C:\Programme\Lavalys\EVEREST Ultimate Edition\unins000.exe" Exodus Jabber Client (remove only)-->"D:\Programme\Exodus\uninstall.exe" Fable - The Lost Chapters-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{C3C9EB3D-24FA-4462-B784-0EC6AAFCD2DD} GIGA F-Tasten v6.0-->"D:\Programme\GIGA F-Tasten\unins000.exe" HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Sarah Böhm\Desktop\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft .NET Framework Client Profile-->C:\AHCache\All Users\Microsoft.Net.Client.3.5\setup.exe /remove "Microsoft.Net.Client.3.5" Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Miranda IM 0.7.7-->C:\Programme\Miranda IM\Uninstall.exe Mozilla Firefox (3.0.16)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} MSXML 6 Service Pack 2 (KB973686)-->MsiExec.exe /I{56EA8BC0-3751-4B93-BC9D-6651CC36E5AA} MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13} Need For Speed II SE-->C:\WINDOWS\unin0407.exe -fd:\spiele\nfs2\DeIsL2.isu NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI Pharao-->C:\WINDOWS\IsUn0407.exe -fd:\spiele\SIERRA\Pharao\Uninst.isu Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB921503)-->"C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB937143)-->"C:\WINDOWS\$NtUninstallKB937143$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB939653)-->"C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB942615)-->"C:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB944338)-->"C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB944533)-->"C:\WINDOWS\$NtUninstallKB944533$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB947864)-->"C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB948881)-->"C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958470)-->"C:\WINDOWS\$NtUninstallKB958470$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971032)-->"C:\WINDOWS\$NtUninstallKB971032$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974455)-->"C:\WINDOWS\$NtUninstallKB974455$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB976325)-->"C:\WINDOWS\$NtUninstallKB976325$\spuninst\spuninst.exe" Sierra-Dienstprogramme-->C:\Programme\Sierra On-Line\sutil32.exe uninstall Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36} SMCWPCI-G 54Mbps Wireless PCI adapter-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{4F643D2A-F0B6-447C-95AE-048BB8FC24C5} TeamSpeak 2 RC2-->D:\Programme\Teamspeak2_RC2\unins000.exe The Witcher-->"C:\Programme\InstallShield Installation Information\{F138762F-5A1F-4CF0-A5E1-1588EF6088A4}\setup.exe" -runfromtemp -l0x0007 -removeonly Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe" Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe" Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe" Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe" Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe" Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe" Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe" Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe" Update für Windows XP (KB925720)-->"C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe" Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe" Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe" Update für Windows XP (KB933360)-->"C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe" Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe" Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe" Update für Windows XP (KB942840)-->"C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe" Update für Windows XP (KB946627)-->"C:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" Update für Windows XP (KB976749)-->"C:\WINDOWS\$NtUninstallKB976749$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F} VideoLAN VLC media player 0.8.6c-->C:\Programme\VideoLAN\VLC\uninstall.exe web'n'walk Manager-->C:\Programme\T-Mobile\web'n'walk Manager\uninst.exe Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60} Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220} Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe Windows XP-Hotfix - KB885884-->C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe WinRAR-->C:\Programme\WinRAR\uninstall.exe Xfire (remove only)-->"D:\Programme\Xfire\uninst.exe" Zoo Tycoon: Complete Collection-->"D:\Spiele\ZooTycoon\UNINSTAL.EXE" /runtemp /addremove ======Hosts File====== 127.0.0.1 localhost ======Security center information====== AV: Avira AntiVir PersonalEdition (disabled) AV: Malware Defense (outdated) ======System event log====== Computer Name: ***** Event Code: 7036 Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 53368 Source Name: Service Control Manager Time Written: 20091202145204.000000+060 Event Type: Informationen User: Computer Name: ***** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet. Record Number: 53367 Source Name: Service Control Manager Time Written: 20091202145204.000000+060 Event Type: Informationen User: ********* Computer Name: ****** Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 53366 Source Name: Service Control Manager Time Written: 20091202145204.000000+060 Event Type: Informationen User: Computer Name: ******** Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet. Record Number: 53365 Source Name: Service Control Manager Time Written: 20091202145204.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ******* Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Terminaldienste" gesendet. Record Number: 53364 Source Name: Service Control Manager Time Written: 20091202145204.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM =====Application event log===== Computer Name: ******* Event Code: 2002 Message: Der EAPOL-Dienst wurde erfolgreich beendet. Record Number: 4008 Source Name: EAPOL Time Written: 20080917160827.000000+120 Event Type: Informationen User: Computer Name: ******* Event Code: 2003 Message: EAPOL-Dienst wird ausgeführt Record Number: 4007 Source Name: EAPOL Time Written: 20080917160827.000000+120 Event Type: Informationen User: Computer Name: ******* Event Code: 4096 Message: Record Number: 4006 Source Name: Avira AntiVir Time Written: 20080917160802.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: ******* Event Code: 1517 Message: Die Registrierung des Benutzers "*******" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird. Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden. Record Number: 4005 Source Name: Userenv Time Written: 20080917125813.000000+120 Event Type: Warnung User: NT-AUTORITÄT\SYSTEM Computer Name: ******* Event Code: 1002 Message: Stillstehende Anwendung POWERPNT.EXE, Version 10.0.2623.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Record Number: 4004 Source Name: Application Hang Time Written: 20080917125652.000000+120 Event Type: Fehler User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\DivX Shared\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 47 Stepping 2, AuthenticAMD "PROCESSOR_REVISION"=2f02 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- Hoffe das ist jetzt das, was ihr braucht. Ach - darf ich meinen Rechner über Nacht ausmachen, oder muss ich damit rechnen, dass er dann morgen nicht mehr angeht? |
|
05.01.2010, 23:09
| #5 |
| | Mein Besuch vom Herrn windows-security-alert Hi, Bereinigung für Rootkit "H8SRTd" Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete:
H8SRTd.sys
4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
06.01.2010, 00:21
| #6 |
| | Mein Besuch vom Herrn windows-security-alert Okay. Installieren ging nach Umbennenen in text.exe. Ausführen jedoch nicht. -> Avenger Hat gescannt und gelöscht, PC neugestartet. Beim ersten Neustart erschien nach der Eingabe des Paswortes ein kleines graues Feld mit Text in der Mitte des Bildschirms - war aber zu schnell weg, als das ich es hätte lesen können - Rechner hat sich sofort selbst nochmal neugestartet. Danach ging das anmelden. Logfile vom Avanger öffnete von alleine - dort stand: Gefunden und Gelöscht (übertragen) Hab sofort MbAM gestartet -> nach 45min Durchsuchen gabs folgenden Log: Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3458 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 06.01.2010 00:08:27 mbam-log-2010-01-06 (00-08-24).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 152668 Laufzeit: 44 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK (Refog.Keylogger) -> No action taken. Infizierte Dateien: C:\System Volume Information\_restore{21689B35-DE8A-4038-888A-A850A8A70790}\RP170\A0239826.exe (Trojan.Banker) -> No action taken. C:\WINDOWS\system32\drivers\H8SRTxnxodulvvt.sys (Malware.Packer) -> No action taken. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\mpk.db (Refog.Keylogger) -> No action taken. C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> No action taken. C:\WINDOWS\system32\H8SRTgmmqskyeje.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTvympqjcvkq.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTyxkpkkftaw.dll (Rootkit.TDSS) -> No action taken. C:\WINDOWS\system32\H8SRTowqbonqogo.dat (Rootkit.TDSS) -> No action taken. C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\H8SRT9d9d.tmp (Rootkit.TDSS) -> No action taken. Hab dann Bereinigen geklickt, wie angegeben. Erneuter Neustart. Das LogFile vom Avanger ist nun jedoch nicht mehr da - drum kann ich das nicht posten. Dafür ist mein AntiVir wieder da  Heißt das: "gewonnen!" ? |
|
06.01.2010, 00:32
| #7 |
| | Mein Besuch vom Herrn windows-security-alert Hi, soweit so gut. Avira updaten und im hardcoremode über die Platte jagen, danach ein neues RSIT-Log posten... Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Ein Fund war in der Systemwiederherstellung, ev. müssen wir die ebenfalls noch bereinigen... Der Rootkit wurde durch Avenger ausgeschaltet und seine Files von MAM gelöscht, ebenso wie die von Defense und Co... Unklar ist was sonst noch im Schutze des Rootkits nachgezogen wurde... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
06.01.2010, 01:33
| #8 |
| | Mein Besuch vom Herrn windows-security-alert Antivir: Avira AntiVir Premium Erstellungsdatum der Reportdatei: Mittwoch, 6. Januar 2010 00:41 Es wird nach 1501318 Virenstämmen gesucht. Lizenznehmer: *********** Seriennummer: *********** Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: *********** Versionsinformationen: BUILD.DAT : 8.2.0.385 21404 Bytes 23.10.2009 13:36:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 21:15:59 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 16:08:43 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 16:08:43 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 16:08:43 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 00:19:44 ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19.11.2009 00:19:50 ANTIVIR2.VDF : 7.10.2.103 1570208 Bytes 29.12.2009 18:29:39 ANTIVIR3.VDF : 7.10.2.126 197120 Bytes 05.01.2010 22:23:38 Engineversion : 8.2.1.130 AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 19:34:25 AESCRIPT.DLL : 8.1.3.7 594296 Bytes 04.01.2010 19:20:24 AESCN.DLL : 8.1.3.0 127348 Bytes 11.12.2009 15:12:23 AESBX.DLL : 8.1.1.1 246132 Bytes 22.11.2009 00:20:56 AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 11:05:36 AEPACK.DLL : 8.2.0.4 422263 Bytes 04.01.2010 19:19:44 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 18:25:00 AEHEUR.DLL : 8.1.0.192 2195833 Bytes 04.01.2010 19:18:23 AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 15:18:06 AEGEN.DLL : 8.1.1.83 369014 Bytes 04.01.2010 19:09:23 AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 14:23:08 AECORE.DLL : 8.1.9.1 180598 Bytes 11.12.2009 15:12:22 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 19:50:40 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 16:08:43 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 16:08:43 AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 18:45:49 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 16:08:43 AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 16:08:21 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 16:08:43 SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 16:08:22 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 16:08:43 NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 16:08:22 RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 17.07.2008 16:08:40 RCTEXT.DLL : 8.0.51.0 90369 Bytes 17.07.2008 16:08:40 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition premium\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 6. Januar 2010 00:41 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'webtmr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wintmr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cchservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '53' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***********\Anwendungsdaten\Dreamlords\DreamlordsPatch_1.3.8.9116_to_1.3.17.9530.exe [0] Archivtyp: NSIS --> [PluginsDir]/VPatch.dll [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{21689B35-DE8A-4038-888A-A850A8A70790}\RP171\A0239843.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75d1cd.qua' verschoben! C:\System Volume Information\_restore{21689B35-DE8A-4038-888A-A850A8A70790}\RP171\A0239845.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75d1d2.qua' verschoben! C:\System Volume Information\_restore{21689B35-DE8A-4038-888A-A850A8A70790}\RP171\A0239846.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75d1d7.qua' verschoben! C:\System Volume Information\_restore{21689B35-DE8A-4038-888A-A850A8A70790}\RP171\A0239847.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75d1dd.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Ende des Suchlaufs: Mittwoch, 6. Januar 2010 01:16 Benötigte Zeit: 36:00 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6167 Verzeichnisse wurden überprüft 591052 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 591046 Dateien ohne Befall 1922 Archive wurden durchsucht 3 Warnungen 4 Hinweise RSIT-LOG Logfile of random's system information tool 1.06 (written by random/random) Run by ******* at 2010-01-06 01:21:23 Microsoft Windows XP Professional Service Pack 2 System drive C: has 25 GB (62%) free of 40 GB Total RAM: 1023 MB (63% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:11:29, on 05.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cchservice.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\tray\wintmr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cc32\webtmr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sarah Böhm\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.afra;<local> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\Gemeinsame Dateien\Tray\ccexec.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\SARAHB~1\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: CurseClientStartup.ccip O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe -- End of file - 5656 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360] "CCWinTray"=C:\WINDOWS\Tray\wintmr.exe [2009-04-11 5987768] "StartXChar"= [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] C:\WINDOWS\SOUNDMAN.EXE [2004-11-15 77824] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE C:\Dokumente und Einstellungen\*******\Startmenü\Programme\Autostart CurseClientStartup.ccip [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-03 240128] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableClock"=0 "NoDispCPL"=0 "DisableTaskMgr"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=FF000000 "NoRun"=0 "NoFind"=0 "NoDrives"=0 "RestrictRun"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer" "D:\Spiele\Lineage\l2gerprotect.exe"="D:\Spiele\Lineage\l2gerprotect.exe:*:Enabled:l2gerprotect" "D:\Programme\Xfire\xfire.exe"="D:\Programme\Xfire\xfire.exe:*:Enabled:Xfire" "D:\Programme\ICQ6\ICQ.exe"="D:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "D:\Programme\Exodus\Exodus.exe"="D:\Programme\Exodus\Exodus.exe:*:Enabled:Exodus Jabber Client" "C:\Programme\mIRC\mirc.exe"="C:\Programme\mIRC\mirc.exe:*:Enabled:mIRC" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\Programme\Java\jre1.6.0_07\bin\javaw.exe"="C:\Programme\Java\jre1.6.0_07\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Ventrilo\Ventrilo.exe"="C:\Programme\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath " "C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Apps\2.0\THTG42WX.YJW\A583TMGZ.MM8\curs..tion_eee711038731a406_0004.0000_1332b9f434841748\CurseClient.exe"="C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Apps\2.0\THTG42WX.YJW\A583TMGZ.MM8\curs..tion_eee711038731a406_0004.0000_1332b9f434841748\CurseClient.exe:*:Enabled:Curse Client 4.0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56ac8208-f1e8-11dc-ba6d-0017311399de}] shell\AutoRun\command - tyktjfww.exe shell\explore\command - tyktjfww.exe shell\open\command - tyktjfww.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69215e80-840d-11dd-bc03-0017311399de}] shell\Auto\command - I:\Recycled\cleardisk.pif shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\cleardisk.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7597ade9-8027-11dd-bbf5-0017311399de}] shell\AutoRun\command - e.cmd shell\explore\command - e.cmd shell\open\command - e.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a39005c-2383-11de-bdea-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a39005e-2383-11de-bdea-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c995499-f3fe-11de-8007-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8923168-a73f-11de-bf2e-0013f71e5758}] shell\AutoRun\command - H:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db1ea33a-c13d-11dc-b9ea-0017311399de}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec7bb03c-22da-11de-bde9-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffacc4c4-c65a-11de-bf7b-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffacc4c6-c65a-11de-bf7b-0013f71e5758}] shell\AutoRun\command - H:\AutoRun.exe ======List of files/folders created in the last 1 months====== 2010-01-05 23:22:46 ----D---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Malwarebytes 2010-01-05 23:12:45 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-01-05 23:12:45 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-05 22:43:23 ----D---- C:\rsit 2010-01-05 15:24:06 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.24.06_log.txt 2010-01-05 15:23:59 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.23.59_log.txt 2010-01-05 15:22:56 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.22.56_log.txt 2010-01-05 15:22:08 ----A---- C:\TDSSKiller.2.1.1_05.01.2010_15.22.08_log.txt 2010-01-05 15:09:51 ----D---- C:\Programme\ClearProg 2010-01-05 14:13:31 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini 2009-12-28 23:37:29 ----D---- C:\Programme\T-Mobile 2009-12-12 22:05:29 ----SHD---- C:\Config.Msi 2009-12-12 22:01:50 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$ 2009-12-12 22:00:53 ----HDC---- C:\WINDOWS\$NtUninstallKB925720$ 2009-12-12 00:38:53 ----D---- C:\WINDOWS\system32\XPSViewer 2009-12-12 00:38:51 ----D---- C:\Programme\MSBuild 2009-12-12 00:38:16 ----N---- C:\WINDOWS\system32\xpssvcs.dll 2009-12-12 00:38:16 ----N---- C:\WINDOWS\system32\xpsshhdr.dll 2009-12-12 00:38:16 ----N---- C:\WINDOWS\system32\prntvpt.dll 2009-12-12 00:38:16 ----D---- C:\d2c16332d2a92375a47aef 2009-12-12 00:36:15 ----D---- C:\Programme\MSXML 6.0 2009-12-12 00:35:03 ----D---- C:\9e92d9be62281b081397cc86a571cd 2009-12-09 12:46:38 ----D---- C:\WINDOWS\system32\en-US 2009-12-09 12:45:44 ----D---- C:\Programme\Reference Assemblies 2009-12-09 12:40:33 ----RSD---- C:\WINDOWS\assembly 2009-12-09 12:39:50 ----D---- C:\WINDOWS\Microsoft.NET 2009-12-09 12:37:16 ----HDC---- C:\WINDOWS\$NtUninstallWIC$ 2009-12-09 12:36:12 ----RHD---- C:\AHCache 2009-12-09 01:21:24 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$ 2009-12-09 01:21:17 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$ 2009-12-09 01:21:01 ----HDC---- C:\WINDOWS\$NtUninstallKB976325$ 2009-12-09 01:20:45 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$ 2009-12-09 01:20:38 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$ 2009-12-09 01:20:22 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$ ======List of files/folders modified in the last 1 months====== 2010-01-06 01:21:17 ----D---- C:\Programme\Mozilla Firefox 2010-01-06 00:56:30 ----D---- C:\WINDOWS\Temp 2010-01-06 00:40:59 ----D---- C:\WINDOWS\Prefetch 2010-01-06 00:12:22 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-06 00:11:11 ----D---- C:\WINDOWS\system32\wdrv 2010-01-06 00:11:08 ----A---- C:\WINDOWS\system32\swctl.dll 2010-01-06 00:10:04 ----D---- C:\WINDOWS\system32\drivers 2010-01-06 00:09:37 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$ 2010-01-06 00:08:54 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-06 00:08:33 ----D---- C:\WINDOWS\system32 2010-01-05 23:23:26 ----D---- C:\Programme\AntiVir PersonalEdition Premium 2010-01-05 23:23:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium 2010-01-05 23:20:44 ----SHD---- C:\WINDOWS\CSC 2010-01-05 23:12:45 ----D---- C:\Programme 2010-01-05 12:58:44 ----D---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\teamspeak2 2010-01-05 12:37:42 ----D---- C:\WINDOWS\system32\cc32 2010-01-03 22:30:55 ----D---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Skype 2009-12-28 23:51:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-12-28 23:47:13 ----D---- C:\WINDOWS 2009-12-28 23:44:23 ----HD---- C:\WINDOWS\inf 2009-12-24 20:28:46 ----D---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\dvdcss 2009-12-19 11:08:46 ----SD---- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Microsoft 2009-12-12 22:07:37 ----SHD---- C:\WINDOWS\Installer 2009-12-12 22:06:48 ----D---- C:\WINDOWS\WinSxS 2009-12-12 22:04:32 ----D---- C:\WINDOWS\system32\CatRoot 2009-12-12 22:02:38 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-12-12 22:01:48 ----HD---- C:\WINDOWS\$hf_mig$ 2009-12-12 22:01:06 ----A---- C:\WINDOWS\imsins.BAK 2009-12-12 00:38:50 ----RSD---- C:\WINDOWS\Fonts 2009-12-12 00:38:30 ----D---- C:\WINDOWS\system32\spool 2009-12-12 00:37:06 ----D---- C:\Programme\Internet Explorer 2009-12-09 12:40:04 ----D---- C:\WINDOWS\system32\mui ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2004-10-14 4962] R1 aslm75;aslm75; \??\C:\WINDOWS\system32\drivers\aslm75.sys [] R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Premium\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-27 75096] R1 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-02-18 6308224] R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225920] R1 tcpipBM;Bytemobile Kernel Network Provider; C:\WINDOWS\system32\drivers\tcpipBM.sys [2008-02-11 18816] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2003-10-10 12032] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2008-09-19 20747] R2 ASInsHelp;ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [] R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2007-12-20 278984] R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2007-12-20 25416] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-11-17 2297664] R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Premium\avgntflt.sys [] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2003-10-10 9600] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-10-10 12288] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-04-06 12928] R3 SMCWPCIG;SMCWPCI-G 54Mbps Wireless PCI adapter Service; C:\WINDOWS\system32\DRIVERS\SMCWPCIG.sys [2005-04-21 458208] R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2004-08-03 12416] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2004-08-03 14848] S3 adl5b1k0;adl5b1k0; C:\WINDOWS\system32\drivers\adl5b1k0.sys [] S3 dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2004-08-03 207360] S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928] S3 Dot4Scan;Scannerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Scan.sys [2001-08-17 8704] S3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINDOWS\system32\DRIVERS\dot4usb.sys [2001-08-18 23936] S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [] S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-05-05 101376] S3 msloop;Microsoft Loopbackadaptertreiber; C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 4992] S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-04-06 33536] S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 wlanndi5;wlanndi5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\wlanndi5.SYS [] S3 XDva190;XDva190; \??\C:\WINDOWS\system32\XDva190.sys [] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2004-08-03 14336] R2 ACS;Atheros Configuration Service; C:\WINDOWS\system32\acs.exe [2005-03-14 36864] R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard; C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe [2008-11-25 164097] R2 AntiVirScheduler;AntiVir PersonalEdition Premium Planer; C:\Programme\AntiVir PersonalEdition Premium\sched.exe [2008-10-24 68865] R2 AntiVirService;AntiVir PersonalEdition Premium Guard; C:\Programme\AntiVir PersonalEdition Premium\avguard.exe [2008-10-24 151297] R2 antivirwebservice;Avira AntiVir Premium WebGuard; C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-07-17 258305] R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst; C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe [2008-07-17 41217] R2 Iprip;RIP-Überwachung; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-02-18 163908] R2 SimpTcp;Einfache TCP/IP-Dienste; C:\WINDOWS\System32\tcpsvcs.exe [2003-10-10 19456] R2 Windows-CCHook-Service;Windows-CCHook-Service; C:\WINDOWS\system32\cchservice.exe [2003-10-10 971952] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-30 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 p2pimsvc;Peernetzwerkidentitäts-Manager; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 p2psvc;Peernetzwerk; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 PNRPSvc;Peer Name Resolution-Protokoll; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328] S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2004-08-03 14336] S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF-----------------  ! |
|
06.01.2010, 07:59
| #9 |
| | Mein Besuch vom Herrn windows-security-alert Hi, da gefällt mir noch was nicht: C:\WINDOWS\system32\drivers\sptd.sys Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\SARAHB~1\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
06.01.2010, 12:36
| #10 |
| | Mein Besuch vom Herrn windows-security-alert Hulu, hijack von heute morgen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:28:49, on 06.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\tray\wintmr.exe C:\WINDOWS\system32\acs.exe C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cchservice.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\WINDOWS\system32\cc32\webtmr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\*********\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.afra;<local> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\Gemeinsame Dateien\Tray\ccexec.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: CurseClientStartup.ccip O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://www.acclaim.com/cabs/acclaim_v4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe -- End of file - 5715 bytes Die von dir genannten O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\********~1\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan finde ich dort nicht. Den Schritt überspringen und mit Combofix weitermachen? Geändert von Rynnanu (06.01.2010 um 12:43 Uhr) |
|
06.01.2010, 16:56
| #11 |
| | Mein Besuch vom Herrn windows-security-alert Hi, ja, lass CF laufen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
07.01.2010, 12:28
| #12 |
| | Mein Besuch vom Herrn windows-security-alert ComboFix 10-01-04.01 - ******** 07.01.2010 12:10:22.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.648 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\********\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\SIntf16.dll c:\windows\system32\srcr.dat c:\windows\system32\swctl.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_IPRIP -------\Service_Iprip ((((((((((((((((((((((( Dateien erstellt von 2009-12-07 bis 2010-01-07 )))))))))))))))))))))))))))))) . 2010-01-05 22:12 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-05 22:12 . 2010-01-05 22:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-01-05 22:12 . 2010-01-05 22:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-05 22:12 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-05 21:43 . 2010-01-05 21:43 -------- d-----w- C:\rsit 2010-01-05 14:09 . 2010-01-05 14:09 -------- d-----w- c:\programme\ClearProg 2009-12-28 22:44 . 2008-05-05 16:42 872192 ----a-w- c:\windows\system32\drivers\mod7700.sys 2009-12-28 22:44 . 2008-05-05 16:42 100992 ----a-w- c:\windows\system32\drivers\ewusbnet.sys 2009-12-28 22:44 . 2008-05-05 16:42 101376 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys 2009-12-28 22:44 . 2008-05-05 16:42 103168 ----a-w- c:\windows\system32\drivers\ewusbfake.sys 2009-12-28 22:44 . 2008-05-05 16:42 24448 ----a-w- c:\windows\system32\drivers\ewdcsc.sys 2009-12-28 22:37 . 2009-12-28 22:37 -------- d-----w- c:\programme\T-Mobile 2009-12-12 23:26 . 2010-01-07 11:07 420392 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-12-11 23:38 . 2009-12-11 23:38 -------- d-----w- c:\windows\system32\XPSViewer 2009-12-11 23:38 . 2009-12-11 23:38 -------- d-----w- c:\programme\MSBuild 2009-12-11 23:38 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll 2009-12-11 23:38 . 2009-12-11 23:38 -------- d-----w- C:\d2c16332d2a92375a47aef 2009-12-11 23:38 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-12-11 23:38 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-12-11 23:38 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-12-11 23:38 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2009-12-11 23:38 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-12-11 23:38 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-12-11 23:38 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-12-11 23:38 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe 2009-12-11 23:36 . 2009-12-11 23:36 -------- d-----w- c:\programme\MSXML 6.0 2009-12-11 23:35 . 2009-12-11 23:39 -------- d-----w- C:\9e92d9be62281b081397cc86a571cd 2009-12-09 11:45 . 2009-12-09 11:45 -------- d-----w- c:\programme\Reference Assemblies 2009-12-09 11:36 . 2009-12-09 11:36 -------- d-----r- C:\AHCache . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-06 22:26 . 2007-09-10 10:22 -------- d-----w- c:\programme\AntiVir PersonalEdition Premium 2010-01-06 22:23 . 2007-09-10 10:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Premium 2010-01-05 14:01 . 2010-01-05 14:01 174088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\mainlsp.reg.dat 2009-12-28 22:51 . 2003-10-10 12:00 80104 ----a-w- c:\windows\system32\perfc007.dat 2009-12-28 22:51 . 2003-10-10 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat 2009-10-29 05:44 . 2003-10-10 12:00 667648 ----a-w- c:\windows\system32\wininet.dll 2009-10-21 06:00 . 2007-09-10 10:08 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-21 06:00 . 2007-09-10 10:08 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-20 14:58 . 2007-09-10 10:08 263552 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-13 10:51 . 2003-10-10 12:00 267776 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:51 . 2003-10-10 12:00 69632 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:51 . 2003-10-10 12:00 113152 ----a-w- c:\windows\system32\rastls.dll 2007-05-03 16:27 . 2007-09-10 10:21 512 ----a-w- c:\programme\HBEDV.KEY 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CCWinTray"="c:\windows\Tray\wintmr.exe" [2009-04-11 5987768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\********\Startmen\Programme\Autostart\ CurseClientStartup.ccip [2009-12-9 0] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableClock"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "RestrictRun"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] 2004-11-15 10:20 77824 ----a-w- c:\windows\SOUNDMAN.EXE [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\Exodus\\Exodus.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"= "c:\\Programme\\Ventrilo\\Ventrilo.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Dokumente und Einstellungen\\********\\Lokale Einstellungen\\Apps\\2.0\\THTG42WX.YJW\\A583TMGZ.MM8\\curs..tion_eee711038731a406_0004.0000_1430d96b300c8988\\CurseClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung "3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.12.2007 19:23 685816] R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;c:\programme\AntiVir PersonalEdition Premium\avmailc.exe [10.09.2007 11:22 164097] R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\programme\AntiVir PersonalEdition Premium\avwebgrd.exe [18.04.2008 17:08 258305] R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;c:\programme\AntiVir PersonalEdition Premium\avesvc.exe [10.09.2007 11:22 41217] R2 Windows-CCHook-Service;Windows-CCHook-Service;c:\windows\system32\cchservice.exe [01.10.2007 19:41 971952] R3 SMCWPCIG;SMCWPCI-G 54Mbps Wireless PCI adapter Service;c:\windows\system32\drivers\SMCWPCIG.sys [20.09.2008 16:06 458208] S3 wlanndi5;wlanndi5 NDIS Protocol Driver;c:\windows\system32\wlanndi5.sys [21.04.2004 16:51 16384] S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mchInjDrv [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://web.de/ uInternet Settings,ProxyServer = 192.168.10.1:3128 uInternet Settings,ProxyOverride = *.afra;<local> IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 LSP: avsda.dll FF - ProfilePath - c:\dokumente und einstellungen\********\Anwendungsdaten\Mozilla\Firefox\Profiles\6rph34ef.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - component: c:\dokumente und einstellungen\********\Anwendungsdaten\Mozilla\Firefox\Profiles\6rph34ef.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: browser.link.open_external - 1 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-StartXChar - (no file) AddRemove-Company of Heroes - d:\spiele\CoH-Opposing Fronts\Uninstall_English.exe AddRemove-Miranda IM - c:\programme\Miranda IM\Uninstall.exe AddRemove-Xfire - d:\programme\Xfire\uninst.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-07 12:17 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867D21E8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7620fc3 \Driver\ACPI -> ACPI.sys @ 0xf73b0cb8 \Driver\atapi -> 0x867651e8 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8057807e ParseProcedure -> ntkrnlpa.exe @ 0x80576ce0 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8057807e ParseProcedure -> ntkrnlpa.exe @ 0x80576ce0 NDIS: -> SendCompleteHandler -> 0x0 PacketIndicateHandler -> 0x0 SendHandler -> 0x0 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(556) c:\windows\system32\SAMLIB.dll - - - - - - - > 'lsass.exe'(612) c:\windows\system32\avsda.dll - - - - - - - > 'explorer.exe'(3716) c:\windows\system32\avsda.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\AntiVir PersonalEdition Premium\avguard.exe c:\windows\system32\acs.exe c:\programme\AntiVir PersonalEdition Premium\sched.exe c:\windows\system32\nvsvc32.exe c:\windows\System32\tcpsvcs.exe c:\windows\system32\cc32\webtmr.exe c:\programme\AntiVir PersonalEdition Premium\avgnt.exe c:\windows\system32\RUNDLL32.EXE c:\programme\Java\jre1.6.0_07\bin\jusched.exe c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-01-07 12:23:46 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-01-07 11:23 Vor Suchlauf: 10 Verzeichnis(se), 25.914.183.680 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 25.882.116.096 Bytes frei - - End Of File - - 712F1C4F8CE371517F5596885393C913 |
|
07.01.2010, 13:53
| #13 | |
| | Mein Besuch vom Herrn windows-security-alert Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\SYSTEM32\DRIVERS\PNRPSVC.SYS
c:\windows\system32\avsda.dll
CF meldet Bootblockmodifikationen und einige gepatchte Treiber, hast Du daemontools oder alcohl180 auf dem Rechner? Dann bitte erst deinstallieren vor der MBR-suche und neu booten... MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
07.01.2010, 16:44
| #14 |
| | Mein Besuch vom Herrn windows-security-alert c:\windows\SYSTEM32\DRIVERS\PNRPSVC.SYS Gibt es nicht c:\windows\system32\avsda.dll: Datei avsda.dll empfangen 2010.01.07 15:20:51 (UTC) Status: Beendet Ergebnis: 0/41 (0%) File size: 94465 bytesMD5...: 095d5f783aa8ae6d71ef39f31aca8c88SHA1..: f851bca8a3f9a7b1f54d0a38a0a0874d26e1c9a5SHA256: ab1580dec05288d3198cf4ffb83875189351a17a41d8c3ba036ede37063b84bassdeep: 1536:8rSwtg9778DG2Bc5hKMYRNS1Il3DKZtaCNJm03sLzPXi/olTCX+:kltg977 AG8Tn3uZJmVXiAlmX+ PEiD..: -PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x7071 timedatestamp.....: 0x47d1376d (Fri Mar 07 12:39:09 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xd954 0xe000 6.65 fa87bc12e533ef81205615265e768e00 .rdata 0xf000 0x20e7 0x3000 3.98 8bb198ae71ba84186b9c6d8fdf023b89 .data 0x12000 0x38f0 0x2000 4.66 3e94d7e50f5d91154465f44839ce69e1 .rsrc 0x16000 0x9bc 0x1000 3.07 35b81c498c5508b66f2960e3a31b7471 .reloc 0x17000 0x1360 0x2000 3.28 6d8d116a9519c355de37648c64f43cf9 ( 3 imports ) > WS2_32.dll: WSCGetProviderPath, WSCEnumProtocols, -, -, -, -, - > KERNEL32.dll: HeapSize, FlushFileBuffers, DeleteCriticalSection, TlsFree, TlsAlloc, InitializeCriticalSection, ReleaseMutex, OpenFileMappingW, WaitForSingleObject, lstrcpyW, lstrlenW, UnmapViewOfFile, MapViewOfFile, GetModuleFileNameW, GetLastError, CreateEventW, CreateMutexW, GetCommandLineW, GetCurrentProcessId, EnterCriticalSection, LeaveCriticalSection, FreeLibrary, SetEvent, ResetEvent, GlobalAlloc, GlobalFree, GetProcAddress, LoadLibraryW, ExpandEnvironmentStringsW, GetModuleHandleW, GetVersionExW, CloseHandle, HeapAlloc, ExitProcess, RtlUnwind, HeapFree, HeapReAlloc, GetSystemTimeAsFileTime, ReadFile, SetFilePointer, GetFileType, CreateFileW, GetFileAttributesW, GetCurrentThreadId, GetCommandLineA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, QueryPerformanceCounter, GetTickCount, GetModuleFileNameA, InterlockedExchange, VirtualQuery, SetLastError, TlsSetValue, TlsGetValue, GetModuleHandleA, SetHandleCount, GetStdHandle, GetStartupInfoA, SetStdHandle, SetEndOfFile, TerminateProcess, GetCurrentProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, UnhandledExceptionFilter, WriteFile, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetCPInfo, GetLocaleInfoA, GetStringTypeA, GetStringTypeW, GetACP, GetOEMCP, VirtualProtect, GetSystemInfo > ADVAPI32.dll: SetSecurityDescriptorDacl, InitializeSecurityDescriptor ( 1 exports ) WSPStartup RDS...: NSRL Reference Data Set -sigcheck: publisher....: Avira GmbH copyright....: Copyright (c) 2008 Avira GmbH. All rights reserved. product......: AntiVir Workstation description..: AntiVir layered service provider original name: AVSDA.dll internal name: AVSDA file version.: 8.00.00.05 comments.....: signers......: - signing date.: - verified.....: Unsigned pdfid.: -trid..: Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) Alles was MBR als Textdatei erstellt ist das: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
|
07.01.2010, 20:08
| #15 |
| | Mein Besuch vom Herrn windows-security-alert Hi, gut, dann wären wir durch... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Mein Besuch vom Herrn windows-security-alert |
| alert, antivir premium, avg, avgnt, avgnt.exe, avira, avira antivir premium, bho, computer, desktop, einstellungen, excel, frage, google, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, malware, problem, prozesse, rundll, security, software, system, userinit.exe, viren, windows, windows security, windows xp |
Linear-Darstellung
