Guten Abend.

ich hab eine Weile gegooglet und andere Beiträge gelesen und hab mir wie einige andere wohl diese Malware eingefangen, die das Weiterleiten von Google verursacht. Weil nie alles übereinstimmte, und verschiedene Dinge geraten wurden, dachte ich als Computerlaie, ich mache am besten einen eigenen Thread auf.

Ich benutze den Asus Eee Pc 1000Ha-H mit Windows XP Home Edition SP 3 (war vorinstalliert).
Ich bin nicht ganz sicher, aber ich glaube es hat mit einem Javaupdate angefangen. Auf jeden Fall ist google sehr langsam und leitet anstatt auf das Suchergebnis auf dubiose Seiten um, manchmal kommt für 2-3 Sekunden Musik im Hintergrund, IE versucht ständig eine Seite zu öffnen (sehr viele Registerkarten), das Netbook crasht öfter und die Antivirenprogramme wurden blockiert. (Wollte von Avira zu McAfee wechseln, weil meine Eltern das irgendwie mit dem Internetwechsel für 3 PCs dazubekommen haben.) Das Netbook hab ich nur noch an das Internet angeschlossen, wenn es für ein Programm benötigt wurde.

Ich habe HijackThis laufen lassen, dann CCleaner (2 Mal). Malwarebytes wollte sich ganz lange nicht öffnen lassen, hab's aber dann doch zum Laufen bekommen, und zwei Mal laufen lassen: beim ersten Mal waren es 4 Dateien, danach noch eine (wieder eine der vorigen?).

McAfee sagt, Malware sei vorhanden, die Installation geht nicht zu Ende.

Gmer lief grad drüber "WARNING !!! GMER has found system modification caused by ROOTKIT activity."

Was soll ich jetzt tun?

Die Logs habe ich hochgeladen und schon mal danke im Voraus. (:

http://www.file-upload.net/download-2167840/logs.rar.html

Tut mir Leid wegen des Doppelpostings, aber ich habe grad ein wenig in anderen Threads gelesen, einige andere hatten wohl auch die Datei "H8SRTD.SYS" und da wurde geraten den Avenger einzusetzen? Bitte um Hilfe, möchte den nicht ohne Empfehlung benutzen.

Hi

Ja, Avenger ist eine gute Idee

Avenger

a) Deaktiviere den Hintergrundwächter vom Virenscanner.

b) Stöpsele alle externen Datenträger vom Rechner ab.

c.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

drivers to delete:
H8SRTd
         

f.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Bitte mache direkt im Anschluss einen Suchlauf mit Malwarebytes, Update nicht vergessen.

Ok, Avenger sagt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath:  \systemroot\system32\drivers\H8SRTnknsbpfaqp.sys 
Driver disabled successfully.

Rootkit scan completed.


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd" not found!
Deletion of driver "H8SRTd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Heißt das, dass da nun nichts gelöscht wurde?

Malwarebytes läuft grade drüber, hat bis jetzt eine Datei gefunden. Okay, waren nun doch mehrere, ich häng das log noch mal an.

Im Malwarebytes Log steht überall "No action taken". Hast du das alles auch löschen lassen? Falls nein - nachholen, und dann bitte einen frischen GMER Durchlauf machen.

Oh, ja.. ich hatte das log im Ergebnisse anzeigen-Fenster gespeichert und dann alles gelöscht. Hab's auch noch mal laufen lassen, nichts mehr gefunden. Gmer läuft gerade, hat aber bis jetzt nichts gefunden, wärend es vorher direkt am Anfang schon was hatte. Ich muss jetzt weg, aber lass das erst mal an...

Vielen Dank für die Hilfe soweit.
Wenn GMER nichts findet, soll ich dann noch 'was machen?

Auch wenn GMER nichts findet, bitte das Log posten. Danach bitte einmal CCleaner ausführen und dann RSIT nach Anleitung

Ich konnte zwar McAfee wieder installieren, aber Firefox und GMER laufen nicht mehr.. Gmer fängt normal an, aber nach einer Weile (ungefähr so lang wie der Scan vorher gedauert hat) kommt irgendwann ganz schnell ein Bluescreen (konnte ich leider nicht lesen) und das Netbook startet neu.

War McAfee während des Scans aktiv? Das könnte einen Absturz verursachen. Poste erstmal die RSIT Logs.

Nein, das war schon before ich McAfee wieder installiert hatte. Aber immerhin, vorher meldete GMER schon vorher ein rootkit (also bei dem Kurzscan oder was das ist) und das kam nicht mehr.

rsit logs:

Code: Alles auswählenAufklappen

ATTFilter

info.txt logfile of random's system information tool 1.06 2010-01-19 17:36:37

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Asus ACPI Driver-->"C:\Programme\InstallShield Installation Information\{19F5658D-92E8-4A08-8657-D38ABB1574B2}\setup.exe" -runfromtemp -l0x0009 -removeonly
ASUS VIBE-->C:\Programme\ASUS\ASUS VIBE\1.0.151\uninst.exe
ASUSUpdate for Eee PC-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\setup.exe" -l0x7 
Atheros Client Installation Program-->C:\Programme\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe -runfromtemp -l0x0007 -removeonly
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver-->"C:\Programme\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -runfromtemp -l0x0007 -removeonly
Audacity 1.3.10 (Unicode)-->"C:\Programme\Audacity 1.3 Beta (Unicode)\unins000.exe"
Bulent's Screen Recorder-->C:\Program Files\Screen Recorder\Uninstall BSR.exe
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Data Sync-->MsiExec.exe /I{D806E63B-0C11-4061-8DA9-1E980FB9A9EB}
Dr.Eee DE-->C:\Programme\InstallShield Installation Information\{64C118AC-FA2A-4E9C-A76E-DC22CA4FC20D}\setup.exe -runfromtemp -l0x0407
eBay Icon-->C:\Dokumente und Einstellungen\Gina\Anwendungsdaten\Desktopicon\uninst.exe
Eee Docking 1.3.4.0-->"C:\Programme\ASUS\Eee Docking\unins000.exe"
Eee Storage-->C:\Programme\ASUS\Eee Storage\uninst.exe
EeePC_1005HA Screen Saver-->C:\WINDOWS\system32\EeePC_1005HA.scr /u
EeeSplendid-->"C:\Programme\InstallShield Installation Information\{6333FC29-BFE5-4024-AC78-958A1A7555D1}\setup.exe" -runfromtemp -l0x0009 -removeonly
EzMessenger-->MsiExec.exe /I{C72CA49A-9237-4810-8449-45DA3BD26D64}
FontResizer-->MsiExec.exe /I{47BACF74-5A07-48BD-BADB-A769550F0F5A}
Free Audio CD Burner version 1.2-->"C:\Programme\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free Notes & Office Ink-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{556F2137-B772-43BB-9A45-E0275234DD16}\Setup.exe" -l0x7  -removeonly
Free YouTube to iPod Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to iPod Converter\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"C:\Programme\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
Heroes of Might and Magic® III-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\3DO\Heroes3\Uninst.isu -c"C:\Programme\3DO\Heroes3\uninst.dll
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
HP Deskjet Printer Driver Software 9.0-->C:\Programme\HP\Digital Imaging\{03E66394-42F0-4745-85F7-0A2F8F35C09F}\setup\hpzscr01.exe -datfile hphscr15.dat -showdisconnect -forcereboot
ICQ 6.5 Build #1042 Banner Remover 1.2-->"C:\Programme\ICQ-Banner-Remover\unins000.exe"
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe"
LiveUpdate-->MsiExec.exe /I{38E5A3B1-ADF1-47E0-8024-76310A30EB36}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins005.exe"
McAfee SecurityCenter-->C:\Programme\McAfee\MSC\mcuninst.exe
McAfee SiteAdvisor-->C:\Programme\McAfee\SiteAdvisor\Uninstall.exe
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7-->"C:\WINDOWS\$NtUninstallWdf01007$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office PowerPoint Viewer 2007 (German)-->MsiExec.exe /X{95120000-00AF-0407-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{39D0E034-1042-4905-BECB-5502909FCB7C}
Mozilla Firefox (3.5.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
PE Builder 3.1.10a-->"c:\pebuilder3110a\unins000.exe"
Pen Pad Driver with Macro Key Manager-->Rmtablet KNL
Power Presenter RE-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6AF6BFD2-D368-4F81-9B82-D3B1414351C8}\Setup.exe" -l0x7  -uninst  -removeonly
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Ralink RT2860 Wireless LAN Card-->C:\Programme\InstallShield Installation Information\{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}\setup.exe -runfromtemp -l0x0009 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB976325)-->"C:\WINDOWS\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953155)-->"C:\WINDOWS\$NtUninstallKB953155$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Super Hybrid Engine-->"C:\Programme\InstallShield Installation Information\{88F08F98-12BC-4613-81A2-8F9B88CFC73E}\setup.exe" -runfromtemp -l0x0009 -removeonly
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeTras 1.0 - Ein Tetris-Klon-->"C:\Programme\TeTras\unins000.exe"
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\Setup.exe" -l0x7 
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951618-v2)-->"C:\WINDOWS\$NtUninstallKB951618-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
USB2.0 UVC Camera Device-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FB39BED-37C8-4E60-8E02-315B8C2B07E3}\setup.exe" -l0x7  -removeonly
WIDCOMM Bluetooth Software-->MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
Winamp Lyrics (Explorer Version) v1.22-->rundll32.exe C:\PROGRA~1\Winamp\Plugins\GEN_LY~2.DLL,Uninstall
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Family Safety-->MsiExec.exe /X{994223F3-A99B-4DDD-9E1D-0190A17C6860}
Windows Live Fotogalerie-->MsiExec.exe /X{2BA722D1-48D1-406E-9123-8AE5431D63EF}
Windows Live Mail-->MsiExec.exe /I{C4D738F7-996A-4C81-B8FA-C4E26D767E41}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Sync-->MsiExec.exe /X{76618402-179D-4699-A66B-D351C59436BC}
Windows Live Toolbar-->MsiExec.exe /X{70B7A167-0B88-445D-A3EA-97C73AA88CAC}
Windows Live Writer-->MsiExec.exe /X{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe

======Security center information======

AV: McAfee VirusScan
FW: McAfee Personal Firewall

======System event log======

Computer Name: NAME-V5T2TIMFKD
Event Code: 262
Message: Der Dienst "WTService" hat eine Stromversorgungsereignis-Anforderung abgelehnt.

Record Number: 137765
Source Name: PlugPlayManager
Time Written: 20100117223542.000000+060
Event Type: Warnung
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 262
Message: Der Dienst "WTService" hat eine Stromversorgungsereignis-Anforderung abgelehnt.

Record Number: 137764
Source Name: PlugPlayManager
Time Written: 20100117223511.000000+060
Event Type: Warnung
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 262
Message: Der Dienst "WTService" hat eine Stromversorgungsereignis-Anforderung abgelehnt.

Record Number: 137763
Source Name: PlugPlayManager
Time Written: 20100117223442.000000+060
Event Type: Warnung
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 262
Message: Der Dienst "WTService" hat eine Stromversorgungsereignis-Anforderung abgelehnt.

Record Number: 137762
Source Name: PlugPlayManager
Time Written: 20100117223411.000000+060
Event Type: Warnung
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 262
Message: Der Dienst "WTService" hat eine Stromversorgungsereignis-Anforderung abgelehnt.

Record Number: 137761
Source Name: PlugPlayManager
Time Written: 20100117223341.000000+060
Event Type: Warnung
User: 

=====Application event log=====

Computer Name: NAME-V5T2TIMFKD
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 1163
Source Name: LoadPerf
Time Written: 20091113000016.000000+060
Event Type: Informationen
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 4096
Message: 
Record Number: 1162
Source Name: Avira AntiVir
Time Written: 20091112235551.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: NAME-V5T2TIMFKD
Event Code: 0
Message: 
Record Number: 1161
Source Name: btwdins
Time Written: 20091112235543.000000+060
Event Type: Informationen
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 1160
Source Name: SecurityCenter
Time Written: 20091112235543.000000+060
Event Type: Informationen
User: 

Computer Name: NAME-V5T2TIMFKD
Event Code: 0
Message: Service started

Record Number: 1159
Source Name: SeaPort
Time Written: 20091112235540.000000+060
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2010-01-19 17:36:32
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 32 GB (43%) free of 74 GB
Total RAM: 1015 MB (55% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\McDefragTask.job
C:\WINDOWS\tasks\McQcTask.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-02-12 1372160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]
McAfee Phishing Filter - c:\PROGRA~1\mcafee\msk\mskapbho.dll [2009-10-02 246800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
Search Helper - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy - C:\Programme\McAfee\VirusScan\scriptsn.dll [2009-11-04 62784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}]
McAfee SiteAdvisor BHO - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2008-09-30 145424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-01-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-01-11 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Programme\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - McAfee SiteAdvisor Toolbar - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll [2008-09-30 145424]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2007-12-19 135168]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2007-12-19 159744]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2007-12-19 131072]
"AsusACPIServer"=C:\Programme\EeePC\ACPI\AsAcpiSvr.exe [2009-04-16 630784]
"AsusEPCMonitor"=C:\Programme\EeePC\ACPI\AsEPCMon.exe [2009-03-13 98304]
"AsusTray"=C:\Programme\EeePC\ACPI\AsTray.exe [2009-04-16 118784]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-03-27 17567744]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2009-03-06 1434920]
"SynAsusAcpi"=C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe [2009-03-06 79144]
"ASUS Screen Saver Protector"=C:\WINDOWS\AsScrPro.exe [2009-07-09 3054136]
"LiveUpdate"=C:\Programme\Asus\LiveUpdate\LiveUpdate.exe [2009-08-27 735208]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2009-07-01 37888]
"MacrokeyManager"=C:\WINDOWS\system32\WTMKM.exe [2008-07-30 1969824]
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe [2006-11-29 90112]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2010-01-11 149280]
"mcagent_exe"=C:\Programme\McAfee.com\Agent\mcagent.exe [2009-10-29 1218008]
"McENUI"=C:\PROGRA~1\McAfee\MHN\McENUI.exe [2009-07-07 1176808]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Eee Docking"=C:\Programme\ASUS\Eee Docking\Eee Docking.exe [2009-06-08 397312]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"twunk_32x.exe"=C:\DOKUME~1\Gina\LOKALE~1\Temp\twunk_32x.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe /background []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
 SuperHybridEngine.lnk - C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2007-12-19 208896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MpfService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath "
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe"="C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2010-01-19 03:01:45 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2010-01-19 00:11:40 ----D---- C:\WINDOWS\Minidump
2010-01-18 21:24:00 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2010-01-18 21:23:51 ----HDC---- C:\WINDOWS\$NtUninstallKB958869$
2010-01-18 21:22:42 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-18 21:22:31 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$
2010-01-18 21:22:21 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2010-01-18 21:21:35 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2010-01-18 21:21:25 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2010-01-18 21:20:54 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-01-18 21:20:43 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2010-01-18 21:20:33 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$
2010-01-18 21:20:21 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2010-01-18 21:20:08 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2010-01-18 21:19:56 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$
2010-01-18 21:19:46 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$
2010-01-18 21:19:24 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2010-01-18 21:19:15 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2010-01-18 21:17:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2010-01-18 21:17:47 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2010-01-18 21:16:34 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2010-01-18 21:15:59 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2010-01-18 21:15:28 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$
2010-01-18 21:15:06 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2010-01-18 14:41:56 ----HDC---- C:\WINDOWS\$NtUninstallKB976098-v2$
2010-01-18 14:41:50 ----HDC---- C:\WINDOWS\$NtUninstallKB954155_WM9$
2010-01-18 14:41:45 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2010-01-18 14:41:36 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2010-01-18 14:41:30 ----A---- C:\WINDOWS\system32\wmpns.dll
2010-01-18 14:41:24 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2010-01-18 14:41:17 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2010-01-18 14:41:09 ----HDC---- C:\WINDOWS\$NtUninstallKB973525$
2010-01-18 14:40:07 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$
2010-01-18 14:39:58 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$
2010-01-18 14:39:43 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2010-01-17 14:08:01 ----D---- C:\WINDOWS\system32\PreInstall
2010-01-17 14:08:00 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2010-01-17 00:49:10 ----A---- C:\WINDOWS\system32\muweb.dll
2010-01-17 00:49:09 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2010-01-17 00:49:09 ----A---- C:\WINDOWS\system32\mucltui.dll
2010-01-16 23:56:54 ----D---- C:\Dokumente und Einstellungen\Gina\Anwendungsdaten\Malwarebytes
2010-01-16 23:55:52 ----D---- C:\WinSetupFromUSB
2010-01-16 20:29:57 ----D---- C:\i386
2010-01-16 20:22:23 ----D---- C:\pebuilder3110a
2010-01-16 19:17:10 ----D---- C:\WINXP
2010-01-16 15:09:33 ----D---- C:\Programme\trend micro
2010-01-16 15:09:32 ----D---- C:\rsit
2010-01-16 14:56:21 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-16 14:43:18 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-16 14:36:59 ----D---- C:\Programme\CCleaner
2010-01-16 00:00:29 ----D---- C:\Programme\TrendMicro
2010-01-15 23:44:47 ----D---- C:\Programme\Gemeinsame Dateien\McAfee
2010-01-15 23:44:46 ----D---- C:\Programme\McAfee.com
2010-01-15 23:44:37 ----D---- C:\Programme\McAfee
2010-01-14 19:46:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2010-01-14 18:20:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2010-01-14 04:52:35 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
2010-01-12 23:18:06 ----D---- C:\WINDOWS\Sun
2010-01-11 22:06:00 ----A---- C:\WINDOWS\system32\javaws.exe
2010-01-11 22:06:00 ----A---- C:\WINDOWS\system32\javaw.exe
2010-01-11 22:06:00 ----A---- C:\WINDOWS\system32\java.exe
2010-01-11 22:06:00 ----A---- C:\WINDOWS\system32\deploytk.dll
2010-01-11 22:05:27 ----D---- C:\Programme\Java
2010-01-11 22:04:07 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun
2009-12-25 22:43:32 ----D---- C:\Programme\TeTras

======List of files/folders modified in the last 1 months======

2010-01-19 17:34:10 ----D---- C:\WINDOWS\Temp
2010-01-19 17:28:20 ----D---- C:\WINDOWS\Prefetch
2010-01-19 17:23:04 ----A---- C:\WINDOWS\win.ini
2010-01-19 17:22:24 ----D---- C:\WINDOWS
2010-01-19 04:56:53 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-19 03:03:27 ----D---- C:\WINDOWS\system32
2010-01-19 03:01:58 ----HD---- C:\WINDOWS\inf
2010-01-19 03:01:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-19 03:01:27 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-19 03:01:16 ----SHD---- C:\WINDOWS\Installer
2010-01-19 00:39:40 ----D---- C:\Programme\Mozilla Firefox
2010-01-18 21:35:27 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-18 21:28:37 ----D---- C:\WINDOWS\AppPatch
2010-01-18 21:23:52 ----D---- C:\WINDOWS\WinSxS
2010-01-18 21:23:11 ----D---- C:\Programme\Microsoft Works
2010-01-18 21:22:40 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-18 21:17:50 ----D---- C:\Programme\Outlook Express
2010-01-18 21:17:24 ----D---- C:\WINDOWS\system32\de-de
2010-01-18 21:17:24 ----D---- C:\Programme\Internet Explorer
2010-01-18 21:17:11 ----D---- C:\WINDOWS\ie7updates
2010-01-18 21:16:59 ----D---- C:\WINDOWS\system32\CatRoot
2010-01-18 21:05:41 ----D---- C:\WINDOWS\system32\drivers
2010-01-18 21:00:23 ----SD---- C:\WINDOWS\Tasks
2010-01-17 22:31:36 ----D---- C:\Dokumente und Einstellungen\Gina\Anwendungsdaten\Winamp
2010-01-17 00:49:02 ----D---- C:\WINDOWS\Help
2010-01-17 00:46:30 ----RD---- C:\Programme
2010-01-17 00:41:25 ----HDC---- C:\WINDOWS\$NtUninstallKB953155$
2010-01-16 14:41:57 ----D---- C:\WINDOWS\Debug
2010-01-16 00:50:06 ----D---- C:\WINDOWS\system32\Restore
2010-01-16 00:36:03 ----D---- C:\Dokumente und Einstellungen
2010-01-16 00:28:48 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2010-01-15 23:50:08 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-15 23:44:47 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-13 03:48:21 ----D---- C:\Dokumente und Einstellungen\Gina\Anwendungsdaten\Skype
2010-01-13 03:47:14 ----D---- C:\Dokumente und Einstellungen\Gina\Anwendungsdaten\skypePM
2009-12-25 22:25:45 ----D---- C:\Programme\tetris 2oo5

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 mfehidk;McAfee Inc. mfehidk; C:\WINDOWS\system32\drivers\mfehidk.sys [2009-11-04 214664]
R1 MPFP;MPFP; C:\WINDOWS\System32\Drivers\Mpfp.sys [2009-07-16 120136]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys [2009-08-05 54752]
R3 AsusACPI;ASUS ACPI Driver; C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2008-04-08 10752]
R3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\system32\DRIVERS\btport.sys [2008-02-04 37160]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2008-08-19 991656]
R3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2008-08-19 47272]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-12-19 5854688]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-03-30 5063168]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l1c51x86.sys [2009-03-02 38912]
R3 mfeavfk;McAfee Inc. mfeavfk; C:\WINDOWS\system32\drivers\mfeavfk.sys [2009-11-04 79816]
R3 mfebopk;McAfee Inc. mfebopk; C:\WINDOWS\system32\drivers\mfebopk.sys [2009-11-04 35272]
R3 mfesmfk;McAfee Inc. mfesmfk; C:\WINDOWS\system32\drivers\mfesmfk.sys [2009-11-04 40552]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2009-03-06 208304]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 usbvideo;USB µø°T¸Ë¸m (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984]
R3 uvclf;uvclf; C:\WINDOWS\system32\DRIVERS\uvclf.sys [2008-11-19 39040]
R3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 AR5416;Atheros AR5008 Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\athw.sys [2009-03-13 1528928]
S3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2008-05-30 534568]
S3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2008-07-24 156816]
S3 btwhid;btwhid; C:\WINDOWS\system32\DRIVERS\btwhid.sys [2008-03-10 57384]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 mferkdk;McAfee Inc. mferkdk; C:\WINDOWS\system32\drivers\mferkdk.sys [2009-11-04 34248]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2008-09-02 346720]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-01-11 153376]
R2 mcmscsvc;McAfee Services; C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe [2009-10-29 865832]
R2 McNASvc;McAfee Network Agent; c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe [2009-07-07 2482848]
R2 McProxy;McAfee Proxy Service; c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe [2009-07-08 359952]
R2 McShield;McAfee Real-time Scanner; C:\Programme\McAfee\VirusScan\McShield.exe [2009-11-04 144704]
R2 MpfService;McAfee Personal Firewall Service; C:\Programme\McAfee\MPF\MPFSrv.exe [2009-10-27 895696]
R2 MSK80Service;McAfee Anti-Spam Service; C:\Programme\McAfee\MSK\MskSrver.exe [2009-10-02 26640]
R2 SeaPort;SeaPort; C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]
R2 WTService;WTService; C:\WINDOWS\system32\atwtusb.exe [2008-09-16 372384]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 McSysmon;McAfee SystemGuards; C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe [2009-11-04 606736]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service; c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe [2009-01-23 203280]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 fsssvc;Windows Live Family Safety-Dienst; C:\Programme\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864]
S3 McODS;McAfee Scanner; C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe [2009-10-28 365072]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

-----------------EOF-----------------
         

Avenger

a) Deaktiviere den Hintergrundwächter vom Virenscanner.

b) Stöpsele alle externen Datenträger vom Rechner ab.

c.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:

C:\DOKUME~1\Gina\LOKALE~1\Temp\twunk_32x.exe
         

f.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Danach einen neuerlichen Durchlauf mit Malwarebytes bitte.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\DOKUME~1\Gina\LOKALE~1\Temp\twunk_32x.exe" not found!
Deletion of file "C:\DOKUME~1\Gina\LOKALE~1\Temp\twunk_32x.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Heißt das, Avenger hat die Datei nicht gefunden?

Ja, da ist zwar ein Registry-Eintrag zu der Datei, aber die Datei selbst ist anscheinend nicht mehr da. Hm, etwas merkwürdig, dass nur das Rootkit gefunden wurde... Malwarebytes wird jetzt wohl nicht viel bringen, versuchen wir es mit SDFix

* Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop.

* Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken.
* Starte den Computer neu in den abgesicherten Modus (F8 während des Bootvorgangs drücken).
* Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Geduld, das kann ca. 20 Minuten dauern.
* Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst Du darum gebeten, einen Taste zu drücken, damit Dein Rechner neu starten kann.
* Drücke auf eine beliebige Taste.
* Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen.
* Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden.
* Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread.

Okay, hier ist der Report:

Code: Alles auswählenAufklappen

ATTFilter

SDFix: Version 1.240 
Run by Gina on 19.01.2010 at 22:22

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-19 22:33:26
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "
"C:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"="C:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :



Files with Hidden Attributes :

Thu 14 Jan 2010        31,006 ...H. --- "C:\Dokumente und Einstellungen\Gina\Eigene Dateien\~WRL0003.tmp"
Mon 18 Jan 2010        20,688 A.SHR --- "C:\Programme\McAfee\MQC\MRU.bak"
Mon 18 Jan 2010           265 A.SHR --- "C:\Programme\McAfee\MQC\qcconf.bak"
Sun 29 Nov 2009        69,120 ...H. --- "C:\Dokumente und Einstellungen\Gina\Anwendungsdaten\Microsoft\Word\~WRL0003.tmp"
Sun 14 Jun 2009       825,344 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL0048.tmp"
Sat  6 Jun 2009     1,234,944 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL0350.tmp"
Fri  5 Jun 2009     1,977,856 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL0513.tmp"
Sun 14 Jun 2009       641,536 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL0518.tmp"
Mon  2 Feb 2009     1,027,584 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL0585.tmp"
Wed  3 Dec 2008       547,328 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL1237.tmp"
Sun 12 Apr 2009       173,568 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL1628.tmp"
Mon  8 Jun 2009     3,992,064 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL1734.tmp"
Sun  3 Aug 2008       763,904 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL2420.tmp"
Wed 10 Jun 2009     2,471,424 A..H. --- "C:\Dokumente und Einstellungen\Gina\Desktop\Alles\fanfiction =D\~WRL3299.tmp"

Finished!
         

Hm, nichts gefunden.
Installiere mal Firefox neu.
Da GMER nicht läuft, versuchen wir es mit

Rootkitscan mit RootRepeal

- Lade den Scanner hier herunter:
RootRepeal - RootRepeal - Rootkit Detector
- scrolle runter und downloade RootRepeal.zip.
- Trenne deinen Computer vom Internet
- Deaktiviere dein Firewall und Antivirenprogramm
- Entpacke die Datei auf Deinen Desktop.
- Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
- Klicke auf den Reiter Report und dann auf den Button Scan.
- Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
- Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
- Wähle C:\ und klicke wieder Ok.
- Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
- Bitte wärend des Scans nicht am Computer arbeiten!
- Wenn der Suchlauf beendet ist, klicke auf Save Report.
- Speichere das Logfile als RootRepeal.txt auf dem Desktop.
- Kopiere den Inhalt hier in den Thread.
- Aktiviere Antivirenprogramm wieder.