Malware Defense/Security Alert --->Alles beseitigt?

Kubicki · 09.01.2010, 15:12

Hallo Leute,

auch ich habe mir gestern diesen Malware Defense / Security Alert Trojaner eingefangen. Es waren die typischen Symptome: Ständige Popups mit Bedrohungsmeldungen, Antivir wurde lahmgelegt etc.
Ich denke aber, dass ich schnell reagiert habe (schnell genug...?). Ich habe die Internetverbindung beendet und Sophos Antivirus installiert - was ich eigentlich schon viel früher machen wollte, da ich Antivir nicht wirklich traue. Mit Sophos Antivirus, einem runtergeladenen Anti Rootkit Tool von Sophos, sowie mit Malwarebytes Anti Malware und Super AntiSpyware konnte ich dann im Laufe des gestrigen Tages scheinbar alles entfernen. Auch jetzt läuft der Rechner meiner Ansicht nach normal, bis auf eine Sache:
Irgendetwas deaktiviert noch immer das XP Sicherheitscenter. Deshalb habe ich die Befürchtung, dass dieser nervige Trojaner immer noch irgendwo in den Tiefen meines Systems herumgeistert. Wenn ich versuche das Sicherheitscenter über die Systemsteuerung zu öffnen, erhalte ich die Meldung:
"Das Sicherheitscenter ist momentan nicht verfügbar, da der Dienst 'Sicherheitscenter' nicht gestartet bzw. beendet wurde. Schließen Sie dieses Fenster, starten Sie den Computer neu (oder starten Sie den Dienst 'Sicherheitscenter') und öffnen Sie das Sicherheitscenter anschließend erneut."
Ich habe auch schon versucht den Dienst manuell wieder zu aktivieren, was nicht funktioniert hat.

Es folgen nun der Log von Malwarebytes (der erste von gestern, bei den weiteren Scans wurde nichts mehr gefunden) sowie die beiden Logs von RSIT. Ich hoffe Ihr könnt mir damit weiterhelfen. Oder sollte ich vielleicht noch mal GMER laufen lassen?
Im Voraus vielen Dank für Eure Hilfe!

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3522
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

09.01.2010 00:46:56
mbam-log-2010-01-09 (00-46-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 149242
Laufzeit: 27 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

_________________________________________________________________

info.txt logfile of random's system information tool 1.06 2010-01-09 14:32:25

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
AAVUpdateManager-->MsiExec.exe /X{DF7480B8-0986-4D9A-8778-28F32BFC0AB0}
ABBYY FineReader 6.0 Sprint-->MsiExec.exe /I{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
BIOS Update-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E8626A59-FD0E-449C-A23A-C52FC0733629}\setup.exe"
Druckerdeinstallation für EPSON SX100 Series-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FINSEDE.EXE /R /APD /P:"EPSON SX100 Series"
Epson Easy Photo Print 2-->C:\Programme\InstallShield Installation Information\{DEDB47A3-C988-4A43-A645-E2CEA571E680}\SETUP.EXE -runfromtemp -l0x0007 UNINST -removeonly
EPSON Scan-->C:\Programme\epson\escndv\setup\setup.exe /r
EPSON Stylus SX100_TX100 Handbuch-->C:\Programme\EPSON\TPMANUAL\ESSX100_TX100\DEU\USE_G\DOCUNINS.EXE
EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything
getPlus(R) for Adobe-->"C:\Programme\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
HW Monitor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CEA20FED-A903-46A2-B197-789B4456B508}\setup.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Medion GoPal Assistant 4.00.0047-->C:\Programme\Medion GoPal Assistant\Uninstall.exe
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft ActiveSync-->MsiExec.exe /I{99052DB7-9592-4522-A558-5417BBAD48EE}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-0407-0000-0000000FF1CE} /uninstall {9BD40163-B95D-4B07-8991-0AB775B6D88B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-0407-0000-0000000FF1CE} /uninstall {26454C26-D259-4543-AA60-3189E09C5F76}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Professional 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROR /dll OSETUP.DLL
Microsoft Office Professional 2007-->MsiExec.exe /X{91120000-0014-0000-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0410-0000-0000000FF1CE} /uninstall {322296D4-1EAE-4030-9FBC-D2787EB25FA2}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
Nero 9-->C:\Programme\Gemeinsame Dateien\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="1M03-016E-1X35-0X3L-32E9-4AX9-834E-1XU3"
Nero BackItUp 4-->C:\Programme\Gemeinsame Dateien\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="1M11-015M-M0TL-7MAE-HU3L-EA29-MPAA-18HT"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
Paragon Drive Backup™ 9.0 Express-->MsiExec.exe /I{985F828E-0E98-429F-9C05-EF3BDE7568F7}
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7 -removeonly
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB976325)-->"C:\WINDOWS\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Sophos Anti-Rootkit 1.5.0-->C:\Programme\Sophos\Sophos Anti-Rootkit\helper.exe remove
Sophos Anti-Virus-->MsiExec.exe /X{034759DA-E21A-4795-BFB3-C66D17FAD183}
Sophos AutoUpdate-->MsiExec.exe /X{15C418EB-7675-42be-B2B3-281952DA014D}
Steuer-Spar-Erklärung 2009-->MsiExec.exe /X{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update for Outlook 2007 Junk Email Filter (kb976884)-->msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {FB60F280-C70F-4174-BADB-471412AA42F0}
Update für Windows Internet Explorer 7 (KB976749)-->"C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Sophos Anti-Virus

======System event log======

Computer Name: AJ-PC
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 4. Dezember 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB969947)
- Update für Windows*XP (KB968389)
- Sicherheitsupdate für Jscript*5.7 für Windows*XP (KB971961)
- Sicherheitsupdate für 2007 Microsoft Office System (KB956828)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (KB973923)
- Sicherheitsupdate für 2007 Microsoft Office System (KB936514)
- Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB973688)
- Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)
- Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB973525)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB971486)
- Sicherheitsupdate für 2007 Microsoft Office System (KB960003)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Microsoft Visual C++ 2008 Redistributable Package (KB973924)
- Sicherheitsupd

Record Number: 9862
Source Name: Windows Update Agent
Time Written: 20091203105738.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 4. Dezember 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB969947)
- Update für Windows*XP (KB968389)
- Sicherheitsupdate für Jscript*5.7 für Windows*XP (KB971961)
- Sicherheitsupdate für 2007 Microsoft Office System (KB956828)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (KB973923)
- Sicherheitsupdate für 2007 Microsoft Office System (KB936514)
- Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB973688)
- Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)
- Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB973525)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB971486)
- Sicherheitsupdate für 2007 Microsoft Office System (KB960003)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Microsoft Visual C++ 2008 Redistributable Package (KB973924)
- Sicherheitsupd

Record Number: 9861
Source Name: Windows Update Agent
Time Written: 20091203105738.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 4. Dezember 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB969947)
- Update für Windows*XP (KB968389)
- Sicherheitsupdate für Jscript*5.7 für Windows*XP (KB971961)
- Sicherheitsupdate für 2007 Microsoft Office System (KB956828)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (KB973923)
- Sicherheitsupdate für 2007 Microsoft Office System (KB936514)
- Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB973688)
- Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)
- Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB973525)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB971486)
- Sicherheitsupdate für 2007 Microsoft Office System (KB960003)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Microsoft Visual C++ 2008 Redistributable Package (KB973924)
- Sicherheitsupd

Record Number: 9860
Source Name: Windows Update Agent
Time Written: 20091203105738.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 4. Dezember 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB969947)
- Update für Windows*XP (KB968389)
- Sicherheitsupdate für Jscript*5.7 für Windows*XP (KB971961)
- Sicherheitsupdate für 2007 Microsoft Office System (KB956828)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (KB973923)
- Sicherheitsupdate für 2007 Microsoft Office System (KB936514)
- Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB973688)
- Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)
- Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB973525)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB971486)
- Sicherheitsupdate für 2007 Microsoft Office System (KB960003)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Microsoft Visual C++ 2008 Redistributable Package (KB973924)
- Sicherheitsupd

Record Number: 9859
Source Name: Windows Update Agent
Time Written: 20091203105733.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 18
Message: Installationsbereit: Die folgenden Updates wurden heruntergeladen und können installiert werden. Diese Updates sollen laut Zeitplan am Freitag, 4. Dezember 2009 um 03:00 auf diesem Computer installiert werden:
- Sicherheitsupdate für Windows XP (KB969947)
- Update für Windows*XP (KB968389)
- Sicherheitsupdate für Jscript*5.7 für Windows*XP (KB971961)
- Sicherheitsupdate für 2007 Microsoft Office System (KB956828)
- Sicherheitsupdate für Windows XP (KB923561)
- Sicherheitsupdate für Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (KB973923)
- Sicherheitsupdate für 2007 Microsoft Office System (KB936514)
- Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB973688)
- Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)
- Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB973525)
- Sicherheitsupdate für Windows XP (KB973815)
- Sicherheitsupdate für Windows XP (KB960803)
- Sicherheitsupdate für Windows XP (KB971486)
- Sicherheitsupdate für 2007 Microsoft Office System (KB960003)
- Sicherheitsupdate für Windows XP (KB970238)
- Sicherheitsupdate für Microsoft Visual C++ 2008 Redistributable Package (KB973924)
- Sicherheitsupd

Record Number: 9858
Source Name: Windows Update Agent
Time Written: 20091203105733.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: AJ-PC
Event Code: 105
Message: The service was started.

Record Number: 2427
Source Name: PLFlash DeviceIoControl Service
Time Written: 20091123112343.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2426
Source Name: LoadPerf
Time Written: 20091123111121.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 2425
Source Name: LoadPerf
Time Written: 20091123111121.000000+060
Event Type: Informationen
User:

Computer Name: AJ-PC
Event Code: 4096
Message:
Record Number: 2424
Source Name: Avira AntiVir
Time Written: 20091123110720.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: AJ-PC
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 2423
Source Name: SecurityCenter
Time Written: 20091123110716.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=2
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=1706
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%

-----------------EOF-----------------

Logfile of random's system information tool 1.06 (written by random/random)
Run by Anke&Jochen at 2010-01-09 14:32:23
Microsoft Windows XP Professional Service Pack 3
System drive C: has 37 GB (73%) free of 50 GB
Total RAM: 1917 MB (73% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\NeroLiveEpgUpdate-AJ-PC_Anke&Jochen.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-08-04 1586472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39EA7695-B3F2-4C44-A4BC-297ADA8FD235}]
Sophos Web Content Scanner - c:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll [2009-06-25 240680]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9421DD08-935F-4701-A9CA-22DF90AC4EA6}]
Easy Photo Print - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Easy Photo Print - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-11-28 8491008]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2007-11-28 81920]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-12-20 16860672]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"NBKeyScan"=D:\Tools\Nero\Nero BackItUp 4\NBKeyScan.exe [2008-08-29 2254120]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"EPSON SX100 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE [2008-02-05 188928]
"H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\Wcescomm.exe [2006-11-13 1289000]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2010-01-05 2002160]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
C:\Programme\Electronic Arts\EADM\Core.exe -silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\settdebugx.exe]
C:\Temp\settdebugx.exe []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
AutoUpdate Monitor.lnk - C:\Programme\Sophos\AutoUpdate\ALMon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SAVService]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\MS_Office\Office12\OUTLOOK.EXE"="D:\MS_Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{25ed62c2-c149-11de-82d9-00e04d86627f}]
shell\AutoRun\command - E:\LaunchU3.exe

======List of files/folders created in the last 1 months======

2010-01-09 14:32:24 ----D---- C:\Programme\trend micro
2010-01-09 14:32:23 ----D---- C:\rsit
2010-01-09 03:38:18 ----D---- C:\Programme\Enigma Software Group
2010-01-09 03:08:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-09 03:07:58 ----D---- C:\Programme\SUPERAntiSpyware
2010-01-09 03:07:58 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-09 03:07:31 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-09 00:14:09 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2010-01-09 00:14:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-09 00:14:03 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-08 23:44:11 ----HD---- C:\WINDOWS\system32\GroupPolicy
2010-01-08 22:49:24 ----D---- C:\Programme\TrendMicro
2010-01-08 22:36:07 ----D---- C:\WINDOWS\Minidump
2010-01-08 12:23:44 ----HD---- C:\WINDOWS\PIF
2010-01-08 12:09:12 ----D---- C:\WINDOWS\pss
2010-01-08 11:35:40 ----A---- C:\WINDOWS\system32\sdccoinstaller.dll
2010-01-08 11:35:28 ----D---- C:\Programme\Gemeinsame Dateien\Cisco Systems
2010-01-08 11:35:23 ----A---- C:\WINDOWS\system32\SophosBootTasks.exe
2010-01-08 11:35:11 ----D---- C:\Programme\Sophos
2010-01-08 11:35:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
2010-01-08 11:34:23 ----D---- C:\savwsa
2010-01-08 00:52:42 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
2009-12-26 22:32:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-12-26 22:30:28 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-12-26 22:30:10 ----D---- C:\WINDOWS\Logs
2009-12-22 15:05:17 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\WinRAR
2009-12-22 15:04:37 ----D---- C:\Programme\WinRAR

======List of files/folders modified in the last 1 months======

2010-01-09 14:32:24 ----RD---- C:\Programme
2010-01-09 14:31:54 ----D---- C:\Temp
2010-01-09 13:57:12 ----D---- C:\WINDOWS\system32
2010-01-09 13:57:12 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-09 13:53:19 ----D---- C:\WINDOWS\Temp
2010-01-09 13:53:14 ----A---- C:\RTHDCPL_Dump.txt
2010-01-09 04:26:53 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-09 03:54:54 ----D---- C:\WINDOWS\Prefetch
2010-01-09 03:53:59 ----D---- C:\WINDOWS\system32\drivers
2010-01-09 03:46:09 ----D---- C:\Programme\Mozilla Firefox
2010-01-09 03:12:45 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-09 03:08:04 ----SHD---- C:\WINDOWS\Installer
2010-01-09 03:07:31 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-09 00:48:59 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-01-09 00:46:56 ----SD---- C:\WINDOWS\Tasks
2010-01-08 22:49:24 ----SD---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft
2010-01-08 22:36:07 ----D---- C:\WINDOWS
2010-01-08 12:39:22 ----SH---- C:\boot.ini
2010-01-08 12:39:22 ----A---- C:\WINDOWS\win.ini
2010-01-08 12:39:22 ----A---- C:\WINDOWS\system.ini
2010-01-08 12:34:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2010-01-08 11:35:26 ----HD---- C:\WINDOWS\inf
2010-01-08 01:28:13 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2010-01-08 00:52:05 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2009-12-26 23:51:56 ----D---- C:\WINDOWS\system32\DirectX
2009-12-15 14:29:24 ----D---- C:\WINDOWS\network diagnostic
2009-12-12 21:52:14 ----RSD---- C:\WINDOWS\assembly
2009-12-12 21:51:45 ----D---- C:\WINDOWS\Microsoft.NET

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 BIOS;BIOS; \??\C:\WINDOWS\system32\drivers\BIOS.sys []
R1 BS_I2cIo;BS_I2cIo; \??\C:\WINDOWS\system32\drivers\BS_I2cIo.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 SAVOnAccessControl;SAVOnAccessControl; C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2009-01-05 110848]
R1 SAVOnAccessFilter;SAVOnAccessFilter; C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2009-01-05 38528]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-12-20 4637696]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-11-28 6866912]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver; C:\WINDOWS\system32\drivers\nvhda32.sys [2007-07-16 26272]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-12-05 104064]
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 BS_Flash;BS_Flash; \??\C:\Programme\BIOS Update\Award\BS_Flash.sys []
S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINDOWS\system32\2.tmp []
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2006-11-06 28672]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 SophosBootDriver;SophosBootDriver; C:\WINDOWS\system32\DRIVERS\SophosBootDriver.sys [2008-05-23 14976]
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AAV UpdateService;AAV UpdateService; C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-08-29 935208]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-11-28 155716]
R2 PLFlash DeviceIoControl Service;PLFlash DeviceIoControl Service; D:\Tools\Nero\Nero BackItUp 4\IoctlSvc.exe [2008-08-29 81920]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter; c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2010-01-08 80936]
R2 SAVService;Sophos Anti-Virus; c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe [2008-08-21 98304]
R2 SimpTcp;Einfache TCP/IP-Dienste; C:\WINDOWS\system32\tcpsvcs.exe [2004-08-04 19456]
R2 Sophos AutoUpdate Service;Sophos AutoUpdate Service; c:\Programme\Sophos\AutoUpdate\ALsvc.exe [2009-07-10 172032]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

cosinus · 10.01.2010, 15:07

Hallo und

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\settdebugx.exe

files to delete:
C:\Temp\settdebugx.exe

folders to delete:
C:\Program Files\Malware Defense
C:\savwsa

drivers to delete:
MEMSWEEP2

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Kubicki · 10.01.2010, 17:00

Danke für Deine Antwort!
Das Avenger LogFile mit folgendem Inhalt wurde nicht direkt eingeblendet, lag aber auf C:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\Temp\settdebugx.exe" not found!
Deletion of file "C:\Temp\settdebugx.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open folder "C:\Program Files\Malware Defense"
Deletion of folder "C:\Program Files\Malware Defense" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Folder "C:\savwsa" deleted successfully.
Driver "MEMSWEEP2" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\settdebugx.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus · 10.01.2010, 17:16

Gut, mach nun bitte nen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kubicki · 10.01.2010, 17:57

Das Sicherheitscenter funktioniert jetzt jedenfalls wieder! Es folgt der Inhalt des Combofix LogFiles:

ComboFix 10-01-04.01 - Anke&Jochen 10.01.2010 17:46:21.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1917.1485 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Anke
AV: Sophos Anti-Virus *On-access scanning disabled* (Updated) {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\driver

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS

((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-10 15:52 . 2010-01-10 15:52 1496 ----a-w- C:\backup.reg
2010-01-09 15:52 . 2010-01-09 15:52 -------- d-----w- c:\programme\CCleaner
2010-01-09 15:16 . 2010-01-09 15:16 -------- d-sh--w- c:\dokumente und einstellungen\Anke&Jochen\IETldCache
2010-01-09 15:14 . 2009-10-29 07:40 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-01-09 15:14 . 2009-10-29 07:40 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-01-09 15:14 . 2010-01-10 11:35 -------- d-----w- c:\windows\ie8updates
2010-01-09 15:13 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-01-09 15:12 . 2010-01-09 15:13 -------- dc-h--w- c:\windows\ie8
2010-01-09 13:32 . 2010-01-09 13:32 -------- d-----w- c:\programme\trend micro
2010-01-09 13:32 . 2010-01-09 13:32 -------- d-----w- C:\rsit
2010-01-09 02:38 . 2010-01-09 02:38 -------- d-----w- c:\programme\Enigma Software Group
2010-01-09 02:10 . 2010-01-09 02:10 52224 ----a-w- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-09 02:10 . 2010-01-09 02:10 117760 ----a-w- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-09 02:08 . 2010-01-09 02:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-09 02:07 . 2010-01-09 02:08 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-01-09 02:07 . 2010-01-09 02:07 -------- d-----w- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\SUPERAntiSpyware.com
2010-01-09 02:07 . 2010-01-09 02:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-08 23:14 . 2010-01-08 23:14 -------- d-----w- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\Malwarebytes
2010-01-08 23:14 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-08 23:14 . 2010-01-08 23:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-08 23:14 . 2010-01-08 23:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-08 23:14 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-08 22:44 . 2010-01-08 22:44 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-01-08 21:49 . 2010-01-08 21:49 388096 ----a-r- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-08 21:49 . 2010-01-08 21:49 -------- d-----w- c:\programme\TrendMicro
2010-01-08 11:23 . 2010-01-08 11:23 -------- d--h--w- c:\windows\PIF
2010-01-08 10:36 . 2010-01-08 10:36 -------- d-----w- c:\dokumente und einstellungen\Anke&Jochen\Lokale Einstellungen\Anwendungsdaten\Sophos
2010-01-08 10:35 . 2009-09-29 11:14 130104 ----a-w- c:\windows\system32\sdccoinstaller.dll
2010-01-08 10:35 . 2010-01-08 10:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Cisco Systems
2010-01-08 10:35 . 2008-08-21 12:23 23552 ----a-w- c:\windows\system32\SophosBootTasks.exe
2010-01-08 10:35 . 2010-01-08 23:50 -------- d-----w- c:\programme\Sophos
2010-01-08 10:35 . 2010-01-08 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2010-01-08 10:34 . 2009-01-05 11:41 110848 ----a-w- c:\windows\system32\drivers\savonaccesscontrol.sys
2010-01-08 10:34 . 2009-01-05 11:41 38528 ----a-w- c:\windows\system32\drivers\savonaccessfilter.sys
2010-01-08 10:34 . 2008-05-23 07:38 14976 ----a-w- c:\windows\system32\drivers\SophosBootDriver.sys
2010-01-02 14:38 . 2010-01-07 23:52 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-02 14:38 . 2010-01-02 14:38 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-12-26 21:32 . 2009-12-26 21:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-12-26 21:30 . 2008-07-12 07:18 3851784 ----a-w- c:\windows\system32\D3DX9_39.dll
2009-12-26 21:30 . 2009-12-26 21:30 -------- d-----w- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 16:45 . 2004-08-04 12:00 81118 ----a-w- c:\windows\system32\perfc007.dat
2010-01-10 16:45 . 2004-08-04 12:00 452310 ----a-w- c:\windows\system32\perfh007.dat
2010-01-10 15:39 . 2009-11-01 22:43 -------- d-----w- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\Skype
2010-01-10 15:00 . 2009-11-01 22:44 -------- d-----w- c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\skypePM
2010-01-08 11:34 . 2008-12-28 22:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-23 15:37 . 2008-12-28 17:17 69240 ----a-w- c:\dokumente und einstellungen\Anke&Jochen\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-09 19:09 . 2008-12-28 20:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-08 09:14 . 2009-08-05 18:28 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 11:42 . 2008-12-28 20:45 -------- d-----w- c:\programme\Microsoft Works
2009-12-03 10:01 . 2009-12-03 10:01 -------- d-----w- c:\programme\MSXML 4.0
2009-11-01 22:44 . 2009-11-01 22:44 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-10-29 07:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-04 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-28 8491008]
"nwiz"="nwiz.exe" [2007-11-28 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-28 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NBKeyScan"="d:\tools\Nero\Nero BackItUp 4\NBKeyScan.exe" [2008-08-29 2254120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AutoUpdate Monitor.lnk - c:\programme\Sophos\AutoUpdate\ALMon.exe [2009-7-10 245760]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
2010-01-05 06:56 2002160 ----a-w- c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\MS_Office\\Office12\\OUTLOOK.EXE"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 hotcore3;Hotcore helper;c:\windows\system32\drivers\hotcore3.sys [30.12.2008 00:05 40496]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [28.12.2008 14:08 13696]
R1 BS_I2cIo;BS_I2cIo;c:\windows\system32\drivers\BS_I2cIo.sys [28.12.2008 19:07 8192]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.01.2010 07:56 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.01.2010 07:56 74480]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [08.01.2010 11:34 110848]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [08.01.2010 11:34 38528]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [08.01.2010 12:00 80936]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [21.08.2008 13:04 98304]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [28.12.2008 14:27 26272]
S3 BS_Flash;BS_Flash;c:\programme\BIOS Update\Award\BS_Flash.sys [28.12.2008 19:06 3604]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.01.2010 07:56 7408]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [08.01.2010 11:34 14976]
.
Inhalt des "geplante Tasks" Ordners

2010-01-09 c:\windows\Tasks\NeroLiveEpgUpdate-AJ-PC_Anke&Jochen.job
- d:\tools\Nero\Nero 9\Nero Live\NeroLive.exe [2008-09-01 13:58]

2010-01-10 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-03 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - d:\ms_off~1\Office12\EXCEL.EXE/3000
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://photoservice.fujicolor.eu/ips-opdata/objects/jordan-canvasx.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anke&Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\qq2ucqoz.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-EA Core - c:\programme\Electronic Arts\EADM\Core.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 17:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2608)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\programme\Microsoft ActiveSync\Wcescomm.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\nvsvc32.exe
d:\tools\Nero\Nero BackItUp 4\IoctlSvc.exe
c:\windows\system32\tcpsvcs.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 17:51:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-10 16:50

Vor Suchlauf: 7 Verzeichnis(se), 38.117.441.536 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 38.067.212.288 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 07261011E890EA505BA4D2A900389CF6

cosinus · 10.01.2010, 21:51

Ok, das Gröbste drüfte entfernt sein, mach bitte nochmal einen Kontrollscan mit Malwarebytes.

Kubicki · 10.01.2010, 23:06

Da scheint doch noch einiges im Argen zu sein

Vor allem der Fund Trojan.Banker beunruhigt mich (wenn es das ist was ich denke...)

Außerdem hat Sophos Antivirus die Datei C:\Windows\NIRCMD.exe in Quarantäne geschickt. Aber so weit ich das durch Googeln herausfinden konnte gehört die ja wohl zu Combofix (?)
Und auch wegen verdächtigen Verhaltens C:\Windows\regedit.exe

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3522
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.01.2010 22:45:06
mbam-log-2010-01-10 (22-45-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 146031
Laufzeit: 25 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{0137AEAD-03A2-442D-833F-C5457087D087}\RP122\A0017128.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0137AEAD-03A2-442D-833F-C5457087D087}\RP122\A0017146.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0137AEAD-03A2-442D-833F-C5457087D087}\RP122\A0017257.sys (Malware.Trace) -> Quarantined and deleted successfully.

cosinus · 11.01.2010, 08:19

Die nircmd geht i.O., wird nämlich von Combofix benutzt und ist nicht schädlich.

Das andere sind "nur" noch Funde in der SWH - Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Wenn sonst keine Auffälligkeiten mehr sind, würde ich Dich erstmal entlassen

Kubicki · 11.01.2010, 12:46

Ok, da alles normal läuft und Malwarebytes und Sophos nichts Böses mehr finden werde ich es jetzt erst mal dabei belassen. Ich bedanke mich ganz herzlich für Deine Hilfe!
Grüße
Allan

10.01.2010, 21:51	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Malware Defense/Security Alert --->Alles beseitigt? Ok, das Gröbste drüfte entfernt sein, mach bitte nochmal einen Kontrollscan mit Malwarebytes. __________________ --> Malware Defense/Security Alert --->Alles beseitigt?

Malware Defense/Security Alert --->Alles beseitigt?

Plagegeister aller Art und deren Bekämpfung: Malware Defense/Security Alert --->Alles beseitigt?