0. Vorbemerkungen

Ich habe zu meinem Problem weder mit Google noch hier auf dem Board eine absolut passende Lösung gefunden, hoffe aber dennoch, dass das Problem beseitigt ist. Es würde mich freuen, von Euch Meinungen und Hinweise zu bekommen.

Bei mir werkelt WinXP Professional SP3, ich arbeite normalerweise als Hauptbenutzer und verwende Admin-Rechte nur da, wo es sich nicht vermeiden läßt. Ich verwende die Firewall in meinem DSL-Router, sie blockt alle Zugriffe von außen ab.

1. Was ist passiert

Heute morgen beim Websurfen klopfte mir G-Data auf die Finger, die Datei %tmp%\e.exe wolle die Systemkonfiguration ändern, nämlich die Datei

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\lowsec.exe

dem System hinzufügen. Dies habe ich natürlich *nicht* zugelassen.

G-Data-Protokoll zu dieser Aktion:

Code: Alles auswählenAufklappen

ATTFilter

trYylyt (e.exe) versucht, die Systemkonfiguration zu ändern.

Dieser Eintrag bindet eine neue Anwendung ein, die beim Start des Systems ausgeführt wird.

Herausgeber: Unbekannter Herausgeber
Die Konfigurationsänderung wurde nicht erlaubt.
         

Im Verzeichnis C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ fand ich eine neue Datei lowsec.exe und ein neues Verzeichnis names winsys, dass die Dateien wdc.dll und wdl.dll enthielt. Alle sind nach der letzten Sicherung der Systempartition (5.12.09) auf meinen Rechner gekommen.


2. Erste Maßnahmen

Die %tmp%\e.exe habe ich sofort gelöscht. Die lowsec.exe und das winsys-Verzeichnis widersetzten sich zunächst verschiedenen Versuchen, sie zu entfernen und mochten sich auch vom Virenscanner nicht bearbeiten lassen ("Zugriff verweigert"). Inzwischen konnte ich sie beseitigen.

Die Virensignaturen werden stündlich aktualisiert, auch wenn es nicht aus dem Protokoll hervorgeht. Das Scanner-Protokoll von heute morgen:

Code: Alles auswählenAufklappen

ATTFilter

Virenprüfung mit G Data AntiVirus
Version 20.2.4.1 (22.12.2009)
Virensignaturen vom 
Startzeit: 12.01.2010 08:36:03
Engine(s): Engine A, Engine B
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Zugriff verweigert: pagefile.sys
	Pfad: C:
Zugriff verweigert: NTUSER.DAT
	Pfad: C:\Dokumente und Einstellungen\XXX
Zugriff verweigert: ntuser.dat.LOG
	Pfad: C:\Dokumente und Einstellungen\XXX
Zugriff verweigert: UsrClass.dat
	Pfad: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: UsrClass.dat.LOG
	Pfad: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
Zugriff verweigert: lowsec.exe
	Pfad: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten
Zugriff verweigert: wdc.dll
	Pfad: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\winsys
Zugriff verweigert: wdl.dll
	Pfad: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\winsys
Zugriff verweigert: Perflib_Perfdata_198.dat
	Pfad: E:\tmp
Zugriff verweigert: Perflib_Perfdata_294.dat
	Pfad: E:\tmp
Zugriff verweigert: Perflib_Perfdata_f58.dat
	Pfad: E:\tmp
Zugriff verweigert: Perflib_Perfdata_dcc.dat
	Pfad: E:\tmp
Zugriff verweigert: Perflib_Perfdata_e3c.dat
	Pfad: E:\tmp
Passwortgeschützt: kf.zip
	Pfad: G:\Media\Spass\Kohlfahrt.2009

Analyse vollständig durchgeführt: 12.01.2010 09:41:05
    106103 Dateien überprüft
    0 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden
         

Auffällig in dem Protokoll im Vergleich zu älteren Scans sind die lowsec.exe und das winsys-Verzeichnis.

Suche in der Registry nach "lowsec" in Schlüsseln/Daten/Werten lieferte:

Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
userinit
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\lowsec.exe

Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\lowsec.exe
trYylyt

Diese beiden Einträge wiederholen sich in Arbeitsplatz\HKEY_USERS\S-1xxxxxxxxxxxxxxx

3. Fundstück bei Kaspersky

Wie oben erwähnt, lieferte Google keine wirklich passenden Treffer zu "lowsec.exe". Das in Viren und Lösungen beschriebene Problem (Trojan-Spy.Win32.Zbot) schien mir meinem einigermaßen ähnlich zu sein, auch wenn ich keine der unter Hauptmerkmale der Infektion genannten Dateien gefunden habe.

Also habe ich ZBotKiller ausgeführt, er hat im ersten Durchlauf ca. 2 Dutzend infizierte Threads und 100 "Hooks" gelöscht und sonst keine Auffälligkeiten gefunden (hab es leider nicht genauer protokolliert). Ein zweiter Lauf kurz danach zeigte keinerlei Auffälligkeiten. Nach einem Systemneustart fand ZBotKiller leider wieder infizierte Threads und Hooks.

4. Manuelle Reinigung

Ich habe daraufhin alle Registry-Einträge mit einem irgendwie gearteten Verweis auf "lowsec" gelöscht (regedt32 einmal als normaler "Hauptbenutzer" und einmal als Admin). Nach einer Neuanmeldung konnte ich die lowsec.exe und das winsys-Verzeichnis aus meinen Anwendungsdaten löschen. ZBotKiller meldet keine Auffälligkeiten.


5. Trojaner-Board-Maßnahmen

Schließlich bin bei meinen Recherchen hier gelandet und habe leider auch nichts passgenaues gefunden. Also versuche ich mich mal an den 7 goldenen Regeln

CCleaner installiert und in meinem normalen Hauptbenutzerkontext ausgeführt.

Malwarebytes' Anti-Malware installiert und zweimal ausgeführt:

Protokoll der Ausführung als Hauptbenutzer:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Database version: 3550
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2010 21:40:40
mbam-log-2010-01-12 (21-40-40).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objects scanned: 205908
Time elapsed: 43 minute(s), 10 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         

Protokoll der Ausführung mit Admin-Rechten (nur Laufwerke, deren Inhalte nicht von allen lokalen Nutzern gesehen werden können):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3550
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.01.2010 22:34:16
mbam-log-2010-01-12 (22-34-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 218083
Laufzeit: 38 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Die RSIT-Protokolle:

Code: Alles auswählenAufklappen

ATTFilter

info.txt logfile of random's system information tool 1.06 2010-01-12 22:47:29

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\unmrw.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
AAVUpdateManager-->MsiExec.exe /I{BBBDA721-8885-42CE-A16C-8BEE27D37EB3}
Acronis True Image-->MsiExec.exe /X{CA83357B-931E-44DC-AD43-9996FEEB8116}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.7-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7 
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->MsiExec.exe /I{62288F64-6017-4154-A27C-BA26FECF723A}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Problem Report Wizard-->MsiExec.exe /X{5DA6F06A-B389-407B-BF8C-1548767914D8}
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
Creative DVD Audio Plugin for Audigy Series-->"C:\Programme\Creative\CTDPlugin\CTUIDVD.exe " -u
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
Documents To Go-->MsiExec.exe /X{EB807EB6-5179-48B7-98D4-7B4934A57A81}
G Data AntiVirus-->MsiExec.exe /I{0FDB2D25-D880-4E10-868F-8C64EFE155F1}
GEAR 32bit Driver Installer-->MsiExec.exe /X{E89B484C-B913-49A0-959B-89E836001658}
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
InterVideo WinDVD 5-->"C:\Programme\InstallShield Installation Information\{1B399A41-C1D0-40A2-9E4F-095868EFAF01}\setup.exe" REMOVEALL
J2SE Development Kit 5.0 Update 11-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150110}
J2SE Runtime Environment 5.0 Update 11-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
Java DB 10.4.1.3-->MsiExec.exe /X{998D6972-F58E-479D-9248-8F179E55AE38}
Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) SE Development Kit 6 Update 10-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160100}
Lexmark Software deinstallieren-->C:\Programme\Lexmark_HostCD\Install\x86\Uninstall.exe
Logitech MouseWare 9.80 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\Setup.exe" -l0x7 -l0007 UNINSTALL
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 German Language Pack-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 97, Professional Edition-->D:\Programme\Microsoft Office\Office\Setup\Acme.exe /w Off97Pro.STF
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero BurnRights-->C:\WINDOWS\UNNeroBurnRights.exe /UNINSTALL
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
Palm-->MsiExec.exe /X{ADAED43C-BBD9-42C5-8B21-F4FBFA81E3C3}
PC Probe II-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F7338FA3-DAB5-49B2-900D-0AFB5760C166}\Setup.exe" -l0x9 
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
SeaMonkey (2.0)-->C:\Programme\SeaMonkey\uninstall\helper.exe
SeaTools for Windows-->MsiExec.exe /I{98613C99-1399-416C-A07C-1EE1C585D872}
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
smartmontools-->"d:\Programme\smartmontools\uninst-smartmontools.exe"
Spelling Dictionaries For Adobe Reader Package-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-7E8A450000A7}
Steuer-Spar-Erklärung 2008-->MsiExec.exe /I{BBE67B86-FCD7-4D3C-8B00-063DEAD8E30C}
Steuer-Spar-Erklärung 2009-->MsiExec.exe /X{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}
Total Commander (Remove or Repair)-->C:\Programme\totalcmd\tcuninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 0.9.8a-->d:\Programme\VideoLAN\VLC\uninstall.exe
Windows Installer Clean Up-->MsiExec.exe /X{121634B0-2F4B-11D3-ADA3-00C04F52DD52}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
WinHTTrack Website Copier 3.43-2-->"D:\Programme\WinHTTrack\unins000.exe"

======Security center information======

AV: G Data AntiVirus 2010

======System event log======

Computer Name: XXX
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Beendet".

Record Number: 81751
Source Name: Service Control Manager
Time Written: 20091120021956.000000+060
Event Type: Informationen
User: 

Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "GDMnIcpt" gesendet.

Record Number: 81750
Source Name: Service Control Manager
Time Written: 20091120021747.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XXX
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 81749
Source Name: Service Control Manager
Time Written: 20091120021741.000000+060
Event Type: Informationen
User: 

Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet.

Record Number: 81748
Source Name: Service Control Manager
Time Written: 20091120021741.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "HookCentre" gesendet.

Record Number: 81747
Source Name: Service Control Manager
Time Written: 20091120021741.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: XXX
Event Code: 0
Message: Auf diesem Computer konnte keine IIS-Installation gefunden werden. Möglicherweise ist IIS deaktiviert. Die Komponente Webhost-Skriptzuordnungen wird übersprungen, da sie von einer ordnungsgemäßen Funktionsweise von IIS abhängt.
Wenn Sie diese Meldung für fehlerhaft halten, überprüfen Sie Ihre IIS-Installation, um sicherzustellen, dass diese Software ordnungsgemäß installiert ist.

Record Number: 17992
Source Name: System.ServiceModel.Install 3.0.0.0
Time Written: 20090619224127.000000+120
Event Type: Warnung
User: 

Computer Name: XXX
Event Code: 11707
Message: Produkt: Microsoft .NET Framework 3.5 SP1 -- Die Installation wurde erfolgreich abgeschlossen.

Record Number: 17991
Source Name: MsiInstaller
Time Written: 20090619224104.000000+120
Event Type: Informationen
User: XXX\retlawreV

Computer Name: XXX
Event Code: 0
Message: Der Service wurde gestartet

Record Number: 17990
Source Name: AVKWCtl
Time Written: 20090619193955.000000+120
Event Type: Informationen
User: 

Computer Name: XXX
Event Code: 0
Message: 
Record Number: 17989
Source Name: GDScan
Time Written: 20090619193949.000000+120
Event Type: Informationen
User: 

Computer Name: XXX
Event Code: 32068
Message: Die ausgehende Verteilerregel ist nicht gültig, weil kein gültiges Gerät gefunden werden kann. Ausgehende Faxe, die diese Regel verwenden, werden nicht weitergeleitet. Stellen Sie sicher, dass das angezielte Gerät bzw. die angezielten Geräte angeschlossen, korrekt installiert und angeschaltet sind. Stellen Sie außerdem sicher, dass die Gruppe korrekt konfiguriert ist, falls die Weiterleitung an eine Gruppe von Geräten erfolgen soll.
Landes-/Regionskennzahl: "*"
Ortskennzahl: "*"

Record Number: 17988
Source Name: Microsoft Fax
Time Written: 20090619193935.000000+120
Event Type: Warnung
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"JAVA_HOME"=D:\Programme\Java\jdk1.5.0_11
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%JAVA_HOME%\bin
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 39 Stepping 1, AuthenticAMD
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=2701
"SVN_EDITOR"="C:\Programme\Windows NT\Zubehör\wordpad.exe"
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%

-----------------EOF-----------------
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by XXX at 2010-01-12 22:46:55
Microsoft Windows XP Professional Service Pack 3
System drive C: has 11 GB (53%) free of 20 GB
Total RAM: 2047 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47:28, on 12.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\Programme\Randoms.System.Information.Tool\RSIT.exe
C:\Programme\trend micro\XXX.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1659004503-412668190-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'XXX')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = D:\Programme\Palm\Hotsync.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188594928031
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188594891328
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

--
End of file - 6463 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}]
G Data WebFilter - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll [2009-09-18 594504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - D:\Programme\Java\jre6\bin\ssv.dll [2008-11-20 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programme\Java\jre6\bin\jp2ssv.dll [2008-11-20 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2008-11-20 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0124123D-61B4-456f-AF86-78C53A0790C5} - G Data WebFilter - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll [2009-09-18 594504]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-04-15 77824]
"TrueImageMonitor.exe"=C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe [2005-10-14 1005386]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2005-10-14 118784]
"Logitech Utility"=C:\WINDOWS\Logi_MwX.Exe [2003-12-11 20992]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2005-09-21 57344]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SunJavaUpdateSched"=D:\Programme\Java\jre6\bin\jusched.exe [2008-11-20 136600]
"G DATA AntiVirus Trayapplication"=C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe [2009-09-18 924232]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2010-01-07 429392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
ATI CATALYST-Infobereich.lnk - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
DataViz Inc Messenger.lnk - C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
HOTSYNCSHORTCUTNAME.lnk - D:\Programme\Palm\Hotsync.exe
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-09-21 46080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\LMabcoms.exe"="C:\WINDOWS\system32\LMabcoms.exe:*:Enabled:Lexmark Enhanced TCP/IP"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0908764f-d30c-11da-97a1-806d6172696f}]
shell\AutoRun\command - Z:\ASUSACPI.exe


======List of files/folders created in the last 1 months======

2010-01-12 22:46:56 ----D---- C:\Programme\trend micro
2010-01-12 22:46:55 ----D---- C:\rsit
2010-01-12 22:46:13 ----D---- C:\Programme\Randoms.System.Information.Tool
2010-01-12 20:40:51 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2010-01-12 20:39:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-12 20:39:49 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-12 20:18:05 ----D---- C:\Programme\CCleaner

======List of files/folders modified in the last 1 months======

2010-01-12 22:46:56 ----RD---- C:\Programme
2010-01-12 22:37:24 ----D---- C:\WINDOWS\Temp
2010-01-12 22:36:47 ----D---- C:\Programme\SeaMonkey
2010-01-12 20:43:29 ----D---- C:\WINDOWS
2010-01-12 20:41:46 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-12 20:39:51 ----D---- C:\WINDOWS\system32\drivers
2010-01-12 20:21:38 ----D---- C:\WINDOWS\Debug
2010-01-12 17:45:04 ----HD---- C:\WINDOWS\inf
2010-01-12 17:45:03 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-12 08:33:00 ----D---- C:\WINDOWS\Prefetch
2010-01-12 07:20:21 ----A---- C:\WINDOWS\excel4.ini
2009-12-13 00:24:34 ----A---- C:\WINDOWS\NeroDigital.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 43008]
R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2004-10-14 4962]
R1 GRD;G Data Rootkit Detector Driver; \??\C:\WINDOWS\system32\drivers\GRD.sys []
R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2005-05-13 29696]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2005-12-12 28160]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 Aspi32;Aspi32; C:\WINDOWS\System32\drivers\aspi32.sys [2006-04-23 16512]
R2 GDTdiInterceptor;GDTdiInterceptor; \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys []
R2 tifsfilter;Acronis TrueImage FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2006-04-24 30688]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-04-19 2317504]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-09-21 1334784]
R3 GDMnIcpt;GDMnIcpt; \??\C:\WINDOWS\system32\drivers\MiniIcpt.sys []
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\drivers\GEARAspiWDM.sys [2008-02-22 16168]
R3 HookCentre;HookCentre; \??\C:\WINDOWS\system32\drivers\HookCentre.sys []
R3 L8042pr2;Logitech PS/2 Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\L8042pr2.Sys [2003-12-11 51582]
R3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFlt2.Sys [2003-12-11 70894]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-04-05 33536]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-04-05 12928]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2005-05-13 99584]
S3 PalmUSBD;PalmUSBD; C:\WINDOWS\system32\drivers\PalmUSBD.sys [2006-11-02 16694]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2005-10-14 172032]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-09-21 376832]
R2 AVKProxy;G Data AntiVirus Proxy; C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2009-12-07 1128008]
R2 AVKService;G Data Scheduler; C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe [2009-08-08 397896]
R2 AVKWCtl;G Data Dateisystem Wächter; C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe [2009-11-25 1251488]
R2 InCDsrvR;InCD Helper (read only); C:\Programme\Ahead\InCD\InCDsrv.exe [2005-12-12 869888]
R3 GDScan;G Data Scanner; C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [2009-11-26 302152]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2005-09-21 516096]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]
S3 AAV UpdateService;AAV UpdateService; C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 lmab_device;lmab_device; C:\WINDOWS\system32\LMabcoms.exe [2005-06-14 491520]
S3 LPDSVC;TCP/IP-Druckserver; C:\WINDOWS\system32\tcpsvcs.exe [2004-08-04 19456]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 JavaQuickStarterService;Java Quick Starter; D:\Programme\Java\jre6\bin\jqs.exe [2008-11-20 152984]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------
         

Hallo und Herzlich Willkommen!

Gute "Vorarbeit", aber eine Nachprüfung ist noch erforderlich denke ich
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hallo!

Zunächst vielen Dank für die superschnelle Antwort!
Meine "Hausaufgaben" habe ich erledigt:

1.
Die Einstellungen am Arbeitsplatz sind vorgenommen.

2.

filelist habe ich zweimal ausgeführt, einmal in Administrator-Kontext, danach im meinen normalen Hauptbenutzerkontext.

Anmerkung: Ich habe noch ein altes Excel 4.0 laufen, die excel4.ini geht daher in Ordnung.

Hier die Liste mit Administrator-Rechten:

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\

13.01.2010  18:02     3.219.128.320 pagefile.sys
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS

13.01.2010  18:02             2.048 bootstat.dat
13.01.2010  08:52            32.630 SchedLgU.Txt
13.01.2010  08:52             1.146 WindowsUpdate.log
13.01.2010  08:52               267 EXCEL.XLB
13.01.2010  08:52             2.097 excel4.ini
12.01.2010  23:39             3.051 setupapi.log
13.12.2009  00:24               116 NeroDigital.ini
14.11.2009  16:06               942 wininit.ini
11.10.2009  16:02            60.416 ALCFDRTM.VER
11.10.2009  10:53            21.496 mozver.dat
11.10.2009  10:53             1.239 win.ini
11.10.2009  10:53           118.784 GREUninstall.exe
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\system

 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\system32

12.01.2010  07:46            13.646 wpa.dbl
09.01.2010  00:21             2.029 LexFiles.usr
25.11.2009  19:35           950.980 TZLog.log
14.11.2009  10:24           124.520 FNTCACHE.DAT
05.11.2009  18:36        26.768.832 MRT.exe
28.10.2009  16:07            46.080 tzchange.exe
26.10.2009  05:06            72.468 perfc009.dat
26.10.2009  05:06           461.390 perfh007.dat
26.10.2009  05:06            86.016 perfc007.dat
26.10.2009  05:06           443.306 perfh009.dat
26.10.2009  05:06         1.077.492 PerfStringBackup.INI
25.10.2009  22:17            18.700 mlfcache.dat
22.10.2009  10:16         5.939.712 mshtml.dll
08.10.2009  14:57           614.912 uiautomationcore.dll
08.10.2009  14:57            23.040 oleaccrc.dll
08.10.2009  14:57           220.160 oleacc.dll
11.09.2009  15:17           136.192 msv1_0.dll
04.09.2009  22:03            58.880 msasn1.dll
01.09.2009  15:46           282.654 msaud32.acm
29.08.2009  08:54           916.480 wininet.dll
29.08.2009  08:54           206.848 occache.dll
29.08.2009  08:54         1.208.832 urlmon.dll
29.08.2009  08:54            55.296 msfeedsbs.dll
29.08.2009  08:54           594.432 msfeeds.dll
29.08.2009  08:54         1.469.440 inetcpl.cpl
29.08.2009  08:54            25.600 jsproxy.dll
29.08.2009  08:54         1.985.536 iertutil.dll
29.08.2009  08:54           184.320 iepeers.dll
29.08.2009  08:54        11.069.440 ieframe.dll
29.08.2009  08:54           387.584 iedkcs32.dll
28.08.2009  11:35           173.056 ie4uinit.exe
26.08.2009  09:00           247.326 strmdll.dll
14.08.2009  16:10         1.850.752 win32k.sys
13.08.2009  08:42           353.864 msvcr71.dll
13.08.2009  08:42         1.053.256 mfc71u.dll
13.08.2009  08:42         1.066.568 mfc71.dll
13.08.2009  08:42           505.416 msvcp71.dll
06.08.2009  19:24           209.632 wuweb.dll
06.08.2009  19:24           327.896 wucltui.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24           217.816 wuaucpl.cpl
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23           575.704 wuapi.dll
06.08.2009  19:23           215.920 muweb.dll
06.08.2009  19:23         1.929.952 wuaueng.dll
06.08.2009  19:23           274.288 mucltui.dll
06.08.2009  19:23            17.776 mucltui.dll.mui
05.08.2009  09:59           206.336 mswebdvd.dll
04.08.2009  21:56         2.191.488 ntoskrnl.exe
04.08.2009  18:26         2.068.352 ntkrnlpa.exe
31.07.2009  10:02         1.372.672 msxml6.dll
31.07.2009  05:32         1.172.480 msxml3.dll
17.07.2009  20:01            58.880 atl.dll
17.07.2009  17:15         1.441.792 query.dll
13.07.2009  22:43           286.208 wmpdxm.dll
13.07.2009  22:43        10.841.088 wmp.dll
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\Prefetch

13.01.2010  18:41            11.450 FIND.EXE-0EC32F1E.pf
13.01.2010  18:41            12.920 CMD.EXE-087B4001.pf
13.01.2010  18:39            18.452 NOTEPAD.EXE-336351A9.pf
13.01.2010  18:34            14.986 VERCLSID.EXE-3667BD89.pf
13.01.2010  18:25            57.016 NTVDM.EXE-1A10A423.pf
13.01.2010  18:21            40.324 AVK.EXE-2E6914EE.pf
13.01.2010  18:21            17.416 EXPLORER.EXE-082F38A9.pf
13.01.2010  18:04            83.984 SEAMONKEY.EXE-2F4F4FF2.pf
13.01.2010  18:03            15.228 WINCINEMAMGR.EXE-1D290879.pf
13.01.2010  18:03            92.580 CLI.EXE-02B0DB56.pf
13.01.2010  18:03            15.158 JUSCHED.EXE-023D1DEE.pf
13.01.2010  18:03            25.068 AVKTRAY.EXE-1BDE8145.pf
13.01.2010  18:03            11.844 DVZINCMSGR.EXE-25B1BCF5.pf
13.01.2010  18:03            17.624 IMAPI.EXE-0BF740A4.pf
13.01.2010  18:03            25.190 EM_EXEC.EXE-1D53AFF5.pf
13.01.2010  18:03            19.778 CTFMON.EXE-0E17969B.pf
13.01.2010  18:03             7.136 NEROCHECK.EXE-092C6DFA.pf
13.01.2010  18:03            15.894 LOGI_MWX.EXE-1B741F45.pf
13.01.2010  18:03            12.324 SCHEDHLP.EXE-1C337C21.pf
13.01.2010  18:03         1.726.374 NTOSBOOT-B00DFAAD.pf
13.01.2010  08:20           645.272 Layout.ini
13.01.2010  07:48            11.972 SOUNDMAN.EXE-19745A34.pf
13.01.2010  07:48            11.648 TRUEIMAGEMONITOR.EXE-0CBAAB97.pf
13.01.2010  07:48            39.566 WMIPRVSE.EXE-28F301A9.pf
13.01.2010  01:37            76.818 JAVAW.EXE-24230450.pf
13.01.2010  01:37            14.852 JAVAWS.EXE-11394C3F.pf
13.01.2010  01:37            13.270 JAVAWS.EXE-15D32DE0.pf
12.01.2010  22:53            42.858 GDSC.EXE-13EC5F45.pf
12.01.2010  22:01            33.472 TASKMGR.EXE-20256C55.pf
12.01.2010  19:35            15.950 USERINIT.EXE-30B18140.pf
12.01.2010  19:35            15.922 ATI2EVXX.EXE-19D16EB9.pf
12.01.2010  19:35            48.876 WGATRAY.EXE-0ED38BED.pf
12.01.2010  19:34            54.694 LOGONUI.EXE-0AF22957.pf
12.01.2010  17:32            52.316 HOTSYNC.EXE-1650AA57.pf
12.01.2010  07:41            91.878 ACRORD32.EXE-0EC716D9.pf
12.01.2010  01:57            96.190 WMPLAYER.EXE-09969339.pf
07.01.2010  03:13            42.256 WUAUCLT.EXE-399A8E72.pf
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\tasks

13.01.2010  18:02                 6 SA.DAT
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\Temp

13.01.2010  18:03               483 WGAErrLog.txt
12.01.2010  20:43                 0 T30DebugLogFile.txt
17.10.2009  09:25            16.384 Perflib_Perfdata_a1c.dat
17.10.2009  09:23            25.991 NetFxUpdate_v1.1.4322.log
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\DOKUME~1\Admin-Kennung\LOKALE~1\Temp

27.11.2009  18:59            63.751 jusched.log
25.11.2009  01:54           798.234 IMT19.xml
25.11.2009  01:54               426 IMT18.xml
25.11.2009  01:54             2.036 IMT17.xml
17.10.2009  09:24           505.342 Microsoft .NET Framework 2.0-KB974417_20091017_082228359.html
17.10.2009  09:24         9.937.766 Microsoft .NET Framework 2.0-KB974417_20091017_082228359-Msi0.txt
17.10.2009  09:24             5.158 ASPNETSetup_00000.log
17.10.2009  09:22             1.547 NetFxUpdate_v1.1.4322.log
12.09.2009  10:45             1.648 Silverlight0.log
12.09.2009  10:45           866.520 SilverlightMSI.log
26.08.2009  05:13            74.312 dd_ATL80SP1_KB973923UI440D.txt
26.08.2009  05:13           802.972 dd_ATL80SP1_KB973923MSI440D.txt
              12 Datei(en)     13.059.712 Bytes
               0 Verzeichnis(se), 11.221.151.744 Bytes frei
         

Und hier die Liste mit meinen normalen Benutzerrechten. Das Prefetch-Verzeichnis war leer (auch keine älteren Einträge). E:\tmp habe ich gestern beim Säubern komplett geleert.

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\

13.01.2010  18:02     3.219.128.320 pagefile.sys
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS

13.01.2010  18:02             2.048 bootstat.dat
13.01.2010  08:52            32.630 SchedLgU.Txt
13.01.2010  08:52             1.146 WindowsUpdate.log
13.01.2010  08:52               267 EXCEL.XLB
13.01.2010  08:52             2.097 excel4.ini
12.01.2010  23:39             3.051 setupapi.log
13.12.2009  00:24               116 NeroDigital.ini
14.11.2009  16:06               942 wininit.ini
11.10.2009  16:02            60.416 ALCFDRTM.VER
11.10.2009  10:53            21.496 mozver.dat
11.10.2009  10:53             1.239 win.ini
11.10.2009  10:53           118.784 GREUninstall.exe
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\system

14.04.2008  03:23           146.944 winspool.drv
04.08.2004  13:00           109.504 AVIFILE.DLL
04.08.2004  13:00            33.744 COMMDLG.DLL
04.08.2004  13:00             2.000 KEYBOARD.DRV
04.08.2004  13:00             9.936 LZEXPAND.DLL
04.08.2004  13:00            73.760 MCIAVI.DRV
04.08.2004  13:00            25.296 MCISEQ.DRV
04.08.2004  13:00            28.160 MCIWAVE.DRV
04.08.2004  13:00            69.632 MMSYSTEM.DLL
04.08.2004  13:00             1.152 MMTASK.TSK
04.08.2004  13:00             2.032 MOUSE.DRV
04.08.2004  13:00           127.104 MSVIDEO.DLL
04.08.2004  13:00            82.944 OLECLI.DLL
04.08.2004  13:00            24.064 OLESVR.DLL
04.08.2004  13:00            59.167 setup.inf
04.08.2004  13:00             5.120 SHELL.DLL
04.08.2004  13:00             1.744 SOUND.DRV
04.08.2004  13:00             5.532 stdole.tlb
04.08.2004  13:00             3.360 SYSTEM.DRV
04.08.2004  13:00            19.200 TAPI.DLL
04.08.2004  13:00             4.048 TIMER.DRV
04.08.2004  13:00             9.200 VER.DLL
04.08.2004  13:00             2.176 VGA.DRV
04.08.2004  13:00            13.600 WFWNET.DRV
04.08.2004  13:00            70.368 AVICAP.DLL
              25 Datei(en)        929.787 Bytes
               0 Verzeichnis(se), 11.221.024.768 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\system32

13.01.2010  19:00             2.029 LexFiles.usr
12.01.2010  07:46            13.646 wpa.dbl
25.11.2009  19:35           950.980 TZLog.log
14.11.2009  10:24           124.520 FNTCACHE.DAT
05.11.2009  18:36        26.768.832 MRT.exe
28.10.2009  16:07            46.080 tzchange.exe
26.10.2009  05:06            72.468 perfc009.dat
26.10.2009  05:06           461.390 perfh007.dat
26.10.2009  05:06            86.016 perfc007.dat
26.10.2009  05:06           443.306 perfh009.dat
26.10.2009  05:06         1.077.492 PerfStringBackup.INI
25.10.2009  22:17            18.700 mlfcache.dat
22.10.2009  10:16         5.939.712 mshtml.dll
08.10.2009  14:57           614.912 uiautomationcore.dll
08.10.2009  14:57            23.040 oleaccrc.dll
08.10.2009  14:57           220.160 oleacc.dll
11.09.2009  15:17           136.192 msv1_0.dll
04.09.2009  22:03            58.880 msasn1.dll
01.09.2009  15:46           282.654 msaud32.acm
29.08.2009  08:54           916.480 wininet.dll
29.08.2009  08:54           206.848 occache.dll
29.08.2009  08:54         1.208.832 urlmon.dll
29.08.2009  08:54            55.296 msfeedsbs.dll
29.08.2009  08:54           594.432 msfeeds.dll
29.08.2009  08:54         1.469.440 inetcpl.cpl
29.08.2009  08:54            25.600 jsproxy.dll
29.08.2009  08:54         1.985.536 iertutil.dll
29.08.2009  08:54           184.320 iepeers.dll
29.08.2009  08:54        11.069.440 ieframe.dll
29.08.2009  08:54           387.584 iedkcs32.dll
28.08.2009  11:35           173.056 ie4uinit.exe
26.08.2009  09:00           247.326 strmdll.dll
14.08.2009  16:10         1.850.752 win32k.sys
13.08.2009  08:42           353.864 msvcr71.dll
13.08.2009  08:42         1.053.256 mfc71u.dll
13.08.2009  08:42         1.066.568 mfc71.dll
13.08.2009  08:42           505.416 msvcp71.dll
06.08.2009  19:24           209.632 wuweb.dll
06.08.2009  19:24           327.896 wucltui.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24           217.816 wuaucpl.cpl
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23           575.704 wuapi.dll
06.08.2009  19:23           215.920 muweb.dll
06.08.2009  19:23         1.929.952 wuaueng.dll
06.08.2009  19:23           274.288 mucltui.dll
06.08.2009  19:23            17.776 mucltui.dll.mui
05.08.2009  09:59           206.336 mswebdvd.dll
04.08.2009  21:56         2.191.488 ntoskrnl.exe
04.08.2009  18:26         2.068.352 ntkrnlpa.exe
31.07.2009  10:02         1.372.672 msxml6.dll
31.07.2009  05:32         1.172.480 msxml3.dll
17.07.2009  20:01            58.880 atl.dll
17.07.2009  17:15         1.441.792 query.dll
13.07.2009  22:43           286.208 wmpdxm.dll
13.07.2009  22:43        10.841.088 wmp.dll
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\Prefetch

 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\tasks

13.01.2010  18:02                 6 SA.DAT
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 5413-AAD7

 Verzeichnis von C:\WINDOWS\Temp

13.01.2010  18:03               483 WGAErrLog.txt
12.01.2010  20:43                 0 T30DebugLogFile.txt
17.10.2009  09:25            16.384 Perflib_Perfdata_a1c.dat
17.10.2009  09:23            25.991 NetFxUpdate_v1.1.4322.log
 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk E: ist DATA
 Volumeseriennummer: 4414-7D25

 Verzeichnis von E:\tmp

13.01.2010  18:08             1.001 jusched.log
13.01.2010  18:03            16.384 Perflib_Perfdata_d70.dat
13.01.2010  18:03            16.384 Perflib_Perfdata_ae0.dat
13.01.2010  18:03            16.384 Perflib_Perfdata_a40.dat
13.01.2010  01:38               873 java_install_reg.log
         

3.

Erläuterungen zu einigen "seltenen" Programmen:

• CGoban3: Client für den Go-Server h**p://www.gokgs.com, wird über Java-Webstart installiert und aktualisiert.
• Go++ Version 7.0 Deluxe: vor 1(?) Jahr von mir installiert.
• JagoClient: von mir vor langer Zeit installiert
• smartmontools: von h**p://sourceforge.net/apps/trac/smartmontools/ bezogen.
• STANLY TRACK: Über Java-Webstart von der Deutschen Flugsicherung h**p://www.dfs.de/dfs/internet_2008/module/fliegen_und_umwelt/deutsch/fliegen_und_umwelt/flugverlaeufe/index.html bezogen

Code: Alles auswählenAufklappen

ATTFilter

AAVUpdateManager	Akademische Arbeitsgemeinschaft	2.00.0000
Acronis*True*Image	Acronis	9.0.2293
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	10.0.32.18
Adobe Reader 7.0.7	Adobe Systems Incorporated	7.0.7
Adobe Reader for Palm OS, 3.05		
Adobe Shockwave Player	Adobe Systems, Inc.	10.3.0.24
Athlon 64 Processor Driver		1.2.2.2
ATI - Dienstprogramm zur Deinstallation der Software		6.14.10.1013
ATI Catalyst Control Center		1.2.2090.43056
ATI Display Driver		8.173.2.3-050921a-027133C-ATI
CCleaner	Piriform	2.27
CGoban 3		
Creative DVD Audio Plugin for Audigy Series		
DivX	DivX, Inc.	6.2.5
DivX Player	DivXNetworks, Inc.	6.2.0
Documents To Go	DataViz Inc.	7.006.940
G Data AntiVirus	G Data Software AG	20.0.0.0
Go++ Version 7.0 Deluxe	R.A.I.	
HijackThis 2.0.2	TrendMicro	2.0.2
InterVideo WinDVD 5	InterVideo Inc.	5.3-B5.41
J2SE Development Kit 5.0 Update 11	Sun Microsystems, Inc.	1.5.0.110
J2SE Runtime Environment 5.0 Update 11	Sun Microsystems, Inc.	1.5.0.110
JagoClient Version 4.55	Rene Grothmann	Version 4.55
Java(TM) 6 Update 10	Sun Microsystems, Inc.	6.0.100
Java(TM) SE Development Kit 6 Update 10	Sun Microsystems, Inc.	1.6.0.100
Lexmark Software deinstallieren	Lexmark International, Inc.	
Logitech MouseWare 9.80		
Malwarebytes' Anti-Malware	Malwarebytes Corporation	
Microsoft .NET Framework 1.1		
Microsoft .NET Framework 1.1 German Language Pack	Microsoft	1.1.4322
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 3.0 German Language Pack	Microsoft Corporation	
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	
Microsoft Office 97, Professional Edition		
Microsoft Silverlight	Microsoft Corporation	3.0.40818.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	8.0.50727.42
MSXML 6.0 Parser (KB933579)	Microsoft Corporation	6.10.1200.0
Nero BurnRights		
Nero Suite		
NVIDIA Drivers		
OpenOffice.org 3.0	OpenOffice.org	3.0.9358
Palm	Palm, Inc.	4.1.0420
PC Probe II		1.00.42
RealPlayer		
Realtek AC'97 Audio		
SeaMonkey (2.0)	Mozilla	2.0 (en-US)
SeaTools for Windows	Seagate Technology	1.1.3.2
smartmontools		
Spelling Dictionaries For Adobe Reader Package	Adobe Systems	7.0.0
STANLY Track EDDF	DFS	
STANLY Track EDDL	DFS	
STANLY Track EDDM	DFS	
STANLY Track EDDV	DFS	
STANLY Track LSZH	DFS	
Steuer-Spar-Erklärung 2008	Akademische Arbeitsgemeinschaft	13.01.0000
Steuer-Spar-Erklärung 2009	Akademische Arbeitsgemeinschaft Verlag	14.01.0000
Total Commander (Remove or Repair)		
VLC media player 0.9.8a	VideoLAN Team	0.9.8a
Windows Genuine Advantage Validation Tool (KB892130)	Microsoft Corporation	
Windows Media Format 11 runtime		
Windows Media Player 11		
WinHTTrack Website Copier 3.43-2	HTTrack	3.43.2
         

Dass alte Java Runtimes als Risiko gesehen werden, habe in einem anderen Thread schon gelesen. Adobe Reader und Player benötigen ein Update, Windows Media Player vermutlich auch.

4.

Ich habe heute nochmal die Auffälligkeiten von gestern überprüft: Die lowsec.exe und das winsys-Verzeichnis sind nicht wieder aufgetaucht, ebensowenig die gelöschten Registry-Einträge.

mbam meldet keine Probleme:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3555
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.01.2010 20:22:28
mbam-log-2010-01-13 (20-22-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 206975
Laufzeit: 43 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Viele Grüße
HubertHeiser

hi

1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

5.
um die neueste Version von Adobe zu erhalten klick hier (oder über das Programm selbst): Adobe Reader

6.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Hi,

vorweg eine Verständisfrage (bitte nicht mißverstehen, soll keine versteckte Kritik sein): Ist diese intensive Nachprüfung die Standardvorgehensweise, durch meine z.T. veralteten Programme indiziert oder hattest Du anhand der geposteten Listings einen (konkreten oder vagen) Verdacht?

Zu meinen Hausaufgaben:

1.
Die Benutzerkonten sind aufgeräumt.

2.
CLeaner ausgeführt, einschl. der Iterationen.

3.
Da ich beim ersten Durchlauf von SUPERAntiSpyware (im Admin-Konto) nicht gesehen habe, ob die Benutzerdaten (C:\Dokumente und Einstellungen\meineNormaleKennung) abgearbeitet wurden, habe ich den Scan für die NTFS-Laufwerke ein zweites Mal mit meiner Hauptbenutzerkennung durchlaufen lassen. Damit sollten (IMVHO) alle Daten gescannt worden sein.

Hier das erste Log mit Admin-Rechten:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 01/14/2010 bei 07:52 PM

Version der Applikation : 4.33.1000

Version der Kern-Datenbank : 4476
Version der Spur-Datenbank : 2294

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:59:50

Gescannte Speicherelemente  : 632
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4541
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 113406
Erfasste Datei-Elemente   : 0
         

Und der Log mit meinen Hauptbenutzerrechten:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 01/14/2010 bei 08:38 PM

Version der Applikation : 4.33.1000

Version der Kern-Datenbank : 4476
Version der Spur-Datenbank : 2294

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:32:41

Gescannte Speicherelemente  : 639
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4541
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 90462
Erfasste Datei-Elemente   : 0
         

4.
Der alte Java-Kram ist raus. Ich habe JRE 6u18 installiert.

5.
Adobe Reader ist jetzt auf dem aktuellen Stand 9.3, JavaScript ist deaktiviert.

6.
Der Scanner hat alle internen und externen Laufwerke sowie meinen USB-Stick bearbeitet:

Code: Alles auswählenAufklappen

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Friday, January 15, 2010
 Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Thursday, January 14, 2010 20:40:37
 Records in database: 3313878
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\
	Z:\

Scan statistics:
	Objects scanned: 114008
	Threats found: 0
	Infected objects found: 0
	Suspicious objects found: 0
	Scan duration: 02:25:09

No threats found. Scanned area is clean.

Selected area has been scanned.
         

Gruß
HubertHeiser

hi

Zitat:

Zitat von HubertHeiser

vorweg eine Verständisfrage (bitte nicht mißverstehen, soll keine versteckte Kritik sein): Ist diese intensive Nachprüfung die Standardvorgehensweise, durch meine z.T. veralteten Programme indiziert oder hattest Du anhand der geposteten Listings einen (konkreten oder vagen) Verdacht?

Zitat:

Zitat von Coverflow

Gute "Vorarbeit", aber eine Nachprüfung ist noch erforderlich denke ich

im Logs war nicht (mehr) zu sehen (das muss aber nicht heissen, so dass dein System restlos "sauber" ist) und Du wolltest nachfragen, ob dein Pc in Ordnung ist. Nun geht es anders nicht, als 1-2 Kontrollscanner einzusätzen und noch eine gründliche Systemreinigung durchzuführen, da ein Scanner findet nicht alles, bzw jeder findet etwas anderes...

Hi,

Zitat:

Zitat von Coverflow

im Logs war nicht (mehr) zu sehen (das muss aber nicht heissen, so dass dein System restlos "sauber" ist) und Du wolltest nachfragen, ob dein Pc in Ordnung ist. Nun geht es anders nicht, als 1-2 Kontrollscanner einzusätzen und noch eine gründliche Systemreinigung durchzuführen, da ein Scanner findet nicht alles, bzw jeder findet etwas anderes...

Das war genau das, was ich wissen wollte.

Herzlichen Dank für die Hilfe!
HubertHeiser.

hi

Zum Schluss:
1.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

2.
Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code: Alles auswählenAufklappen

ATTFilter

HijackThis/Trend Micro
filelist.bat
CCleaner
         

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

wünsch Dir alles Gute