Plötzlicher "Absturz" - Nun geht fast nix mehr

bleistift` · 21.01.2010, 20:22

Habe beim Surfen auf einer normalen Seite (http://www.ultimate-guitar.com/) eine Virenmeldung bekommen, genauen Wortlaut bekomme ich nicht mehr hin.

Es starteten sich 2 Prozesse, die ich wieder beendet habe, die Dateien habe ich gelöscht.

Nun ist im Temp-Ordner eine reg.datei names "test" vorhanden, vorher die kommt, weiß ich nicht.

Antivir startet seitdem nicht mehr, auch Spybot verweigert seinen Dienst.

Bei jedem Windows-Start wird gefragt, ob ich Firefox als neuen Standardbrowser nehmen will, steht also nach jedem Neustart auf IE, was bei mir nie der Fall war.

Außerdem habe ich über Nero keinen Zugriff mehr auf meinen Brenner ("Sie haben keine Berechtigung"), in der richtigen Administratorgruppe bin ich aber und auch Nero Burning Rights ist korrekt konfiguriert.

Hochladen konnte ich das HijackThis-Logfile nicht, dabei stürzt seit der Geschichte Firefox ab.

Hoffe, mir kann jemand helfen...

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:56, on 21.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [DelReg] C:\Programme\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1220940319703
O20 - AppInit_DLLs: unhulu.dll
O20 - Winlogon Notify: hgGyvVOI - C:\WINDOWS\
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cherry Device Interface - Cherry, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5590 bytes

Chris4You · 21.01.2010, 20:36

Hi,

da startet sich was mit jeder App:
unhulu.dll
Die müssen wir finden und bei Virustotal.com prüfen lassen...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\windows\system32\unhulu.dll
oder (wahrscheinlich)
c:\windows\unhulu.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O20 - AppInit_DLLs: unhulu.dll
O20 - Winlogon Notify: hgGyvVOI - C:\WINDOWS\

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

bleistift` · 21.01.2010, 20:39

Die Datei "unhulu.dll" konnte ich nirgends finden, auch die Windows-Suche brachte nichts, versteckte Dateien werden angezeigt und wurden in der Suche einbezogen. Was nun?

€: Auch "MAM" lässt sich nicht installieren, nach dem Klick auf "Ausführen" passiert nichts mehr, der Setup-Prozess läuft abernoch im Hintergrund...

Chris4You · 21.01.2010, 21:28

Hi,

Rookitverdacht, lass mal GMER von der Leine...
Wenn die Installation von MAM hängt, abschießen, neu runterladen und im Downloaddialoge bereits umbenennen auf z.B. test.exe.
Wenn die Installation durchgeht, nicht starten lassen, ins Inst.-Verzeichnis von MAM wechseln und die mbam.exe auf "hugo.exe" umbenennen...
Ev. startet sie dann...

Vor RSIT versuchen wir eine erste Bereinigung:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyvVOI

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste auch noch RSIT...

chris

BIOTEC · 22.01.2010, 10:38

Also ich kann auf der Website nicht feststellen...die scheint clean zu sein...!

bleistift` · 23.01.2010, 13:58

Zitat:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-22 04:13:24
Windows 5.1.2600 Service Pack 3
Running: ln5fdts8.exe; Driver: C:\DOKUME~1\BLEIST~1\LOKALE~1\Temp\pwldapob.sys

---- System - GMER 1.0.15 ----

Code 8A14D098 ZwEnumerateKey
Code 8A14E098 ZwFlushInstructionCache
Code 8A0A8096 IofCallDriver
Code 879659F6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E13A7 5 Bytes JMP 8A0A809B
.text ntoskrnl.exe!IofCompleteRequest 804E17BD 5 Bytes JMP 879659FB
PAGE ntoskrnl.exe!ZwEnumerateKey 80578E14 5 Bytes JMP 8A14D09C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BFB 5 Bytes JMP 8A14E09C
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB617E380, 0x3DF545, 0xE8000020]
C:\Programme\CyberLink\PowerDVD8\000.fcl entry point in "" section [0x9A72241C]
.clc C:\Programme\CyberLink\PowerDVD8\000.fcl unknown last code section [0x9A723000, 0x1000, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\SCardSvr.exe[264] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 008E000A
.text C:\Programme\Cherry\CDI\cdi.exe[476] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CA000A
.text C:\WINDOWS\system32\ctfmon.exe[752] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00B7000A
.text C:\WINDOWS\Explorer.EXE[908] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CE000A
.text C:\Dokumente und Einstellungen\USERNAME\Desktop\ln5fdts8.exe[920] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CD000A
.text ...

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 Ch2kPS2.sys (Cherry PS2 driver for Win2k/Cherry GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 Ch2kPS2.sys (Cherry PS2 driver for Win2k/Cherry GmbH)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat tdrpm139.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTtkllnsvpap.sys (*** hidden *** ) A2ECB000-A2EE7000 (114688 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [1096] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1496] 0x00860000
Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1612] 0x00860000
Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1660] 0x00860000
Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1748] 0x00860000
Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1860] 0x00860000
Library \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [3912] 0x00860000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTtkllnsvpap.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTtkllnsvpap.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTtkllnsvpap.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTulbbgrfpoy.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTqxwsdgkjwt.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTthonciqaew.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTwqbuhwaqpa.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTtkllnsvpap.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTtkllnsvpap.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTulbbgrfpoy.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTqxwsdgkjwt.dat
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTthonciqaew.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTtirsvdohmu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTwqbuhwaqpa.dll
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@TracesProcessed 144

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtkrl32mainweq.dll 749 bytes
File C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temp\H8SRT5cb2.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temp\h8srtmainqt.dll 16431 bytes
File C:\WINDOWS\system32\drivers\H8SRTtkllnsvpap.sys 39936 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTqxwsdgkjwt.dat 243 bytes
File C:\WINDOWS\system32\h8srtshsyst.dll 1048 bytes
File C:\WINDOWS\system32\H8SRTthonciqaew.dll 27136 bytes executable
File C:\WINDOWS\system32\H8SRTtirsvdohmu.dll 16896 bytes executable
File C:\WINDOWS\system32\H8SRTulbbgrfpoy.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTwqbuhwaqpa.dll 40960 bytes executable
File C:\WINDOWS\Temp\H8SRT9286.tmp 243 bytes

---- EOF - GMER 1.0.15 ----

MAM lässt sich nach wie vor weder installieren noch starten.
Installation hängt sich nach Umbennung auf.
Gestartet wird die angelegte und umbenannte .exe auch nicht.

Der Link zum Avenger-Download funktioniert leider nicht.

Beim Durchlauf von RSIT kam folgende Meldung:

Zitat:

info.txt logfile of random's system information tool 1.06 2010-01-23 13:53:02

======Uninstall list======

-->"C:\Programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:GER
-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->MsiExec /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{06E3E953-0570-4DFF-A7B5-46114C390228}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{06E3E953-0570-4DFF-A7B5-46114C390228}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E5AA361-4B16-4282-B639-9E5B2B6A2EC8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E5AA361-4B16-4282-B639-9E5B2B6A2EC8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32903944-19A2-418C-901D-4BBAF4C55ABA}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32903944-19A2-418C-901D-4BBAF4C55ABA}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D8AA0B4-E890-4BF7-A9D1-8E63027E76D3}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D8AA0B4-E890-4BF7-A9D1-8E63027E76D3}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{57FA4E0F-82C9-417D-87BC-0186D6CB7A44}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6BF90A01-FA3F-42B9-A071-7D744409967E}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6BF90A01-FA3F-42B9-A071-7D744409967E}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{73919E2B-725C-4FAA-8473-45E063A3575F}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8DF9BF77-7E10-4973-965E-3B7013ABEA6D}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8DF9BF77-7E10-4973-965E-3B7013ABEA6D}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{98181885-5B28-4280-9B56-452FF877D5B9}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{98181885-5B28-4280-9B56-452FF877D5B9}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A0B5225-B59B-4D72-B3FE-71AAA693A8E2}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A0B5225-B59B-4D72-B3FE-71AAA693A8E2}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A82F10CB-18B5-4EAC-AEF2-FA49CD565626}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A9BB081B-C020-4D02-A763-D32204D2563D}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A9BB081B-C020-4D02-A763-D32204D2563D}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5AF6143-E738-4768-A5E6-C07C68A464A4}\setup.exe" -l0x9
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5AF6143-E738-4768-A5E6-C07C68A464A4}\setup.exe" -l0x9 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8DA9EB2-DBEF-4F0A-B90A-45B77D9E65B2}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8DA9EB2-DBEF-4F0A-B90A-45B77D9E65B2}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C229589D-CC1A-43FF-9507-CDED3AB85325}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C229589D-CC1A-43FF-9507-CDED3AB85325}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB99E420-8071-48F9-9567-4A53BE7569C4}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB99E420-8071-48F9-9567-4A53BE7569C4}\setup.exe" -l0x7 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.57-->"C:\Programme\7-Zip\Uninstall.exe"
Acronis True Image Home-->MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
Adobe Download Manager-->"C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /Get1
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\Setup.exe" -l0x7
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Advertising Center-->MsiExec.exe /X{B2EC4A38-B545-4A00-8214-13FE0E915E6D}
AmpliTube2-->C:\Programme\InstallShield Installation Information\{C95AACD4-9507-4F5C-9D53-22B1ACCFECD1}\setup.exe -runfromtemp -l0x0009 uninstall -removeonly
AnyDVD-->"C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Programme\SlySoft\AnyDVD"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ASIO4ALL-->C:\Programme\ASIO4ALL v2\uninstall.exe
Ask Toolbar-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Audacity 1.2.6-->"C:\Programme\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
BestPractice (remove only)-->"C:\Programme\BestPractice\uninstall.exe"
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CDex extraction audio-->"C:\Programme\CDex\uninstall.exe"
CloneDVD2-->"C:\Programme\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Programme\CloneDVD2"
Counter-Strike-->"D:\Steam\steam.exe" steam://uninstall/10
Creative ZEN Vision M Series-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{31C44235-A613-4E95-B297-207BF6C6A8C1}\SETUP.EXE" -l0x7 /remove
Creative-Manager für Wechseldatenträger-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{57FA4E0F-82C9-417D-87BC-0186D6CB7A44}\setup.exe" -l0x7 /remove
Creative-Systeminformationen-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7 /remove
CyberLink PowerDVD 8-->"C:\Programme\InstallShield Installation Information\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}\setup.exe" /z-uninstall
DDBAC-->MsiExec.exe /I{8853CF64-9DAF-4946-A23C-ABEB45E12C28}
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DolbyFiles-->MsiExec.exe /X{B1ADF008-E898-4FE2-8A1F-690D9A06ACAF}
DualCoreCenter-->"C:\Programme\MSI\DualCoreCenter\unins000.exe"
Fahrschule 2008-->MsiExec.exe /X{5BEBBA7E-9856-45C0-982C-CD5221C202EA}
FIFA 09-->MsiExec.exe /X{2315B23D-3E21-4920-837D-AE6460934ECB}
FlashFXP v3-->"C:\Programme\FlashFXP\Uninstall.exe" "C:\Programme\FlashFXP\install.log" -u
Free M4a to MP3 Converter 6.0-->"C:\Programme\M4a MP3 Converter\unins000.exe"
Gemeinsam genutzte Internet-Komponenten von Westwood-->D:\CC AR2\Internet\UnstllAP.EXE
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Photosmart, Officejet and Deskjet 7.0.A-->C:\Programme\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat
Japanese Fonts Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5760-0000-800000000003}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
KeyMan V3.5 Build 1-->MsiExec.exe /I{DC627AE5-A2B1-4D16-AF56-178D10EC3E81}
LightScribe Applications-->MsiExec.exe /X{7373184D-8E8F-4308-912A-3901071FA1AD}
LightScribe System Software-->MsiExec.exe /X{CC8E94A2-55C7-4460-953C-2A790180578C}
LightScribe Template Designs - Art Pack 1-->MsiExec.exe /X{2CDB2DCD-1153-4ED4-9D0A-606231CEFE9A}
LightScribe Template Designs - Business Pack 1-->MsiExec.exe /X{0345CF70-FA00-4F4E-A218-0FA494F465A4}
LightScribe Template Designs - Fantasy Pack 1-->MsiExec.exe /X{DE72186D-A4A5-4504-839C-B14FC3432DA1}
LightScribe Template Designs - Holiday Pack 1-->MsiExec.exe /X{CEF736FF-8133-42F3-8E18-BDFE293B87FF}
LightScribe Template Designs - Special Occasion Pack 1-->MsiExec.exe /X{B6C766E9-B26D-4D54-A22B-A52B069C6C14}
LightScribe Template Designs - Sports Pack 1-->MsiExec.exe /X{725F0ABA-808A-4256-885C-1E60245521D0}
LightScribe Template Designs - Tattoo Pack 1-->MsiExec.exe /X{E35A1183-F6D8-4DCA-A111-296AFFA00A5C}
LightScribe Template Designs - Urban Pack 1-->MsiExec.exe /X{85548764-32DC-43ED-BAA5-5386FDB2500A}
LightScribe Template Designs - Wedding Pack 1-->MsiExec.exe /X{15B6EAD9-E83D-458F-AF6F-B8F865FA4F28}
LightScribeTemplateLabeler-->MsiExec.exe /X{305D4B08-5807-4475-B1C8-D54685534864}
Malwarebytes' Anti-Malware-->"C:\Programme\HUGO\unins000.exe"
Menu Templates - Starter Kit-->MsiExec.exe /X{B78120A0-CF84-4366-A393-4D0A59BC546C}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 German Language Pack-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Games for Windows - LIVE -->MsiExec.exe /X{4AA3D64E-9EC3-4B0F-AB91-5885AC55641F}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{FD052FB9-FE90-4438-B355-15EDC89D8FB1}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Miranda IM 0.8.12-->C:\Programme\Miranda IM\Uninstall.exe
Movie Templates - Starter Kit-->MsiExec.exe /X{E498385E-1C51-459A-B45F-1721E37AA1A0}
Mozilla Firefox (3.5.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mp3tag v2.43-->C:\Programme\Mp3tag\Mp3tagUninstall.EXE
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
Native Instruments - Rig Kontrol 3 Driver-->C:\Programme\Native Instruments\Rig Kontrol 3 Driver\uninst.exe Software\Native Instruments\Rig Kontrol 3 Driver\Setup
Native Instruments Guitar Rig 3-->C:\PROGRA~1\NATIVE~1\GUITAR~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\GUITAR~1\INSTALL.LOG
Nero 9-->C:\Programme\Gemeinsame Dateien\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="9M03-02C6-53P2-M337-L954-UMME-0Z62-KMTK"
Nero BurnRights-->C:\WINDOWS\UNNeroBurnRights.exe /UNINSTALL
Nero BurnRights-->MsiExec.exe /X{7829DB6F-A066-4E40-8912-CB07887C20BB}
Nero ControlCenter-->MsiExec.exe /X{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}
Nero CoverDesigner-->MsiExec.exe /X{62AC81F6-BDD3-4110-9D36-3E9EAAB40999}
Nero Disc Copy Gadget-->MsiExec.exe /X{F1861F30-3419-44DB-B2A1-C274825698B3}
Nero DiscSpeed-->MsiExec.exe /X{869200DB-287A-4DC0-B02B-2B6787FBCD4C}
Nero DriveSpeed-->MsiExec.exe /X{33CF58F5-48D8-4575-83D6-96F574E4D83A}
Nero InfoTool-->MsiExec.exe /X{FBCDFD61-7DCF-4E71-9226-873BA0053139}
Nero Installer-->MsiExec.exe /X{E8A80433-302B-4FF1-815D-FCC8EAC482FF}
Nero PhotoSnap-->MsiExec.exe /X{9E82B934-9A25-445B-B8DF-8012808074AC}
Nero Recode-->MsiExec.exe /X{359CFC0A-BEB1-440D-95BA-CF63A86DA34F}
Nero Rescue Agent-->MsiExec.exe /X{368BA326-73AD-4351-84ED-3C0A7A52CC53}
Nero ShowTime-->MsiExec.exe /X{D9DCF92E-72EB-412D-AC71-3B01276E5F8B}
Nero StartSmart-->MsiExec.exe /X{7748AC8C-18E3-43BB-959B-088FAEA16FB2}
Nero Vision-->MsiExec.exe /X{43E39830-1826-415D-8BAE-86845787B54B}
Nero WaveEditor-->MsiExec.exe /X{A209525B-3377-43F4-B886-32F6B6E7356F}
NeroBurningROM-->MsiExec.exe /X{D025A639-B9C9-417D-8531-208859000AF8}
NeroExpress-->MsiExec.exe /X{595A3116-40BB-4E0F-A2E8-D7951DA56270}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
nLite 1.4.9.1-->"C:\Programme\nLite\unins000.exe"
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA nView Desktop Manager-->C:\Programme\NVIDIA Corporation\nView\nViewSetup.exe -uninstall
NVIDIA PhysX-->MsiExec.exe /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
OCR Software by I.R.I.S 7.0-->C:\Programme\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
Photomatix Pro version 3.0.2-->"C:\Programme\PhotomatixPro3\unins000.exe"
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
Quake Live Mozilla Plugin-->MsiExec.exe /I{9FDCD01E-9926-4399-8BB9-74EEBE604C11}
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
Rainlendar2 (remove only)-->"C:\Programme\Rainlendar2\uninst.exe"
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SCR3xx USB Smart Card Reader-->MsiExec.exe /I{7EABFCD9-9F26-4E2C-A762-73ABE2C54E95}
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
SnagIt 8-->MsiExec.exe /I{DA0BF7AB-88EB-4675-8FA1-531EAD938821}
Sound Blaster X-Fi-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18F11181-EA1A-42AE-AF89-4867C7F7A6FA}\SETUP.EXE" -l0x7 /remove
SoundTrax-->MsiExec.exe /X{C5A7CB6C-E76D-408F-BA0E-85605420FE9D}
SpeechRedist-->MsiExec.exe /X{8795CBED-55E2-4693-9F14-84EC446935BE}
Spybot - Search & Destroy-->"C:\Programme\Spybot\unins000.exe"
Starcraft-->C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat
StarMoney 6.0 S-Edition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1440F386-53D5-4401-8847-3413A125245A}\setup.exe" -l0x7 -removeonly
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Steinberg Cubase SX v3.1.1.944-->C:\PROGRA~1\STEINB~1\CUBASE~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\CUBASE~1\INSTALL.LOG
SyncroSoft Emu (Remove only)-->C:\Programme\SyncroSoft\Pos\H2O\Uninst.exe
Syncrosofts Lizenz Kontrolle-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 1.0.0-->C:\Programme\VLC\uninstall.exe
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Resource Kit Tools-->MsiExec.exe /I{FA237125-51FF-408C-8BB8-30C2B3DFFF9C}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
WinRAR-->C:\Programme\WinRAR\uninstall.exe
xp-AntiSpy 3.93-->C:\Programme\xp-AntiSpy\uninst.exe

=====HijackThis Backups=====

O20 - Winlogon Notify: hgGyvVOI - C:\WINDOWS\ [2010-01-21]
O20 - AppInit_DLLs: unhulu.dll [2010-01-21]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: PATRICK
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 19995
Source Name: Service Control Manager
Time Written: 20091129090444.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: PATRICK
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 19994
Source Name: Service Control Manager
Time Written: 20091129090407.000000+060
Event Type: Informationen
User:

Computer Name: PATRICK
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 19993
Source Name: Service Control Manager
Time Written: 20091129090407.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: PATRICK
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 19992
Source Name: Service Control Manager
Time Written: 20091129090406.000000+060
Event Type: Informationen
User:

Computer Name: PATRICK
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Terminaldienste" gesendet.

Record Number: 19991
Source Name: Service Control Manager
Time Written: 20091129090406.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: PATRICK
Event Code: 1102
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: System.Web.Mobile, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a

Record Number: 828
Source Name: .NET Runtime Optimization Service
Time Written: 20081231160356.000000+060
Event Type:
User:

Computer Name: PATRICK
Event Code: 1100
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: System.Web.Mobile, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a

Record Number: 827
Source Name: .NET Runtime Optimization Service
Time Written: 20081231160354.000000+060
Event Type: Informationen
User:

Computer Name: PATRICK
Event Code: 1102
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: sysglobl, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a

Record Number: 826
Source Name: .NET Runtime Optimization Service
Time Written: 20081231160354.000000+060
Event Type:
User:

Computer Name: PATRICK
Event Code: 1100
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: sysglobl, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a

Record Number: 825
Source Name: .NET Runtime Optimization Service
Time Written: 20081231160353.000000+060
Event Type: Informationen
User:

Computer Name: PATRICK
Event Code: 1102
Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: System.Speech, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35

Record Number: 824
Source Name: .NET Runtime Optimization Service
Time Written: 20081231160353.000000+060
Event Type:
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Windows Resource Kits\Tools;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by USERNAME at 2010-01-23 13:52:56
Microsoft Windows XP Professional Service Pack 3
System drive C: has 29 GB (64%) free of 45 GB
Total RAM: 3071 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:01, on 23.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
C:\Programme\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\USERNAME\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\USERNAME.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [DelReg] C:\Programme\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware (registration)] regsvr32.exe /s "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\HUGO\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DualCoreCenter.lnk = C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O4 - Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220940319703
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cherry Device Interface - Cherry, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5616 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\acronis.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\WINDOWS\tasks\shutdown.job
C:\WINDOWS\tasks\shutdown_once.job
C:\WINDOWS\tasks\WakeUp.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Programme\Spybot\SDHelper.dll [2008-09-15 1562960]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DelReg"=C:\Programme\MSI\DualCoreCenter\DelReg.exe [2008-05-13 196608]
"TrueImageMonitor.exe"=C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe [2008-10-01 4365688]
"AcronisTimounterMonitor"=C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe [2008-10-01 962464]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2008-10-01 165144]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"CherryKeyMan"=C:\Programme\Cherry\KeyMan\KeyMan.exe [2007-11-28 237620]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-08-17 13877248]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware (registration)"=regsvr32.exe /s C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll []
"Malwarebytes' Anti-Malware"=C:\Programme\HUGO\mbamgui.exe [2010-01-07 429392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"=C:\Programme\Rainlendar2\Rainlendar2.exe [2007-09-27 1356800]
"LightScribe Control Panel"=C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2009-08-20 2363392]
"SpybotSD TeaTimer"=C:\Programme\Spybot\TeaTimer.exe [2008-09-16 1833296]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
C:\WINDOWS\CTHELPER.EXE [2006-05-24 17920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
C:\WINDOWS\system32\CTXFIHLP.EXE [2006-05-24 18944]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
C:\WINDOWS\system32\NvCpl.dll [2009-08-17 13877248]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\WINDOWS\system32\NvMcTray.dll [2009-08-17 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
C:\Programme\NVIDIA Corporation\nView\nwiz.exe [2009-08-12 1657376]

C:\Dokumente und Einstellungen\USERNAME\Startmenü\Programme\Autostart
DualCoreCenter.lnk - C:\Programme\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
SnagIt 8.lnk - C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Miranda IM\miranda32.exe"="C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM"
"C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Eine DLL-Datei als Anwendung ausführen"
"D:\Steam\steamapps\****@t-online.de\counter-strike\hl.exe"="D:\Steam\steamapps\****@t-online.de\counter-strike\hl.exe:*:Disabled:Half-Life Launcher"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Disabled:hpoews01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Disabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Disabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Disabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Disabled:hpqcopy.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Disabled:hpqkygrp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Disabled:hpqnrs08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Disabled:hpqscnvw.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Disabled:hpzwiz01.exe"
"C:\Programme\Java\jre6\bin\javaw.exe"="C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\VLC\vlc.exe"="C:\Programme\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\Dokumente und Einstellungen\USERNAME\temp\TeamViewer\Version4\TeamViewer.exe"="C:\Dokumente und Einstellungen\USERNAME\temp\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"D:\GTA IV\Grand Theft Auto IV\GTAIV.exe"="D:\GTA IV\Grand Theft Auto IV\GTAIV.exe:*:Disabled:Grand Theft Auto IV"
"D:\Call Of Duty\CoDMP.exe"="D:\Call Of Duty\CoDMP.exe:*:Enabled:CoDMP"
"D:\ CC AR2\patchgetmd.dat"="D:\ CC AR2\patchgetmd.dat:*:Enabled:patchgrabber"
"D:\TmNationsForever\TmForever.exe"="D:\TmNationsForever\TmForever.exe:*:Enabled:TmForever"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"D:\Batman Arkham Asylum\Binaries\ShippingPC-BmGame.exe"="D:\Batman Arkham Asylum\Binaries\ShippingPC-BmGame.exe:*:Enabled:BmGame"
"D:\Dragon Age\bin_ship\daorigins.exe"="D:\Dragon Age\bin_ship\daorigins.exe:*:Enabled:Dragon Age Origins -Spiel"
"D:\Dragon Age\DAOriginsLauncher.exe"="D:\Dragon Age\DAOriginsLauncher.exe:*:Enabled:Dragon Age Origins -Launcher"
"D:\Dragon Age\bin_ship\daupdatersvc.service.exe"="D:\Dragon Age\bin_ship\daupdatersvc.service.exe:*:Enabled:Dragon Age Origins -Inhaltsupdater"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a78c884e-f56e-11de-be3d-001d92a53181}]
shell\AutoRun\command - G:\setupSNK.exe

======List of files/folders created in the last 1 months======

2010-01-23 13:52:56 ----D---- C:\rsit
2010-01-23 13:47:40 ----D---- C:\Programme\Malware Avenger
2010-01-23 10:32:04 ----D---- C:\Programme\HUGO
2010-01-21 20:06:26 ----N---- C:\WINDOWS\UNNeroBurnRights.exe
2010-01-21 20:06:26 ----A---- C:\WINDOWS\system32\NeroCo.dll
2010-01-21 20:03:55 ----HD---- C:\WINDOWS\system32\GroupPolicy
2010-01-21 19:58:47 ----D---- C:\Programme\Trend Micro
2010-01-21 19:46:04 ----A---- C:\WINDOWS\ntbtlog.txt
2010-01-21 19:10:25 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
2010-01-15 22:06:40 ----D---- C:\Programme\Windows Sidebar
2010-01-15 21:50:00 ----D---- C:\Programme\Nero
2010-01-15 21:49:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2010-01-15 21:47:56 ----D---- C:\Programme\Ask.com
2010-01-15 21:47:02 ----D---- C:\Programme\Gemeinsame Dateien\LightScribe
2010-01-15 21:01:55 ----D---- C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\NeroDCTemplates
2010-01-15 12:14:06 ----A---- C:\WINDOWS\ScUnin.exe

======List of files/folders modified in the last 1 months======

2010-01-23 13:47:40 ----RD---- C:\Programme
2010-01-23 10:32:06 ----D---- C:\WINDOWS\system32\drivers
2010-01-23 10:31:40 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-23 10:26:15 ----D---- C:\Programme\Mozilla Firefox
2010-01-23 09:53:04 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-23 09:49:25 ----D---- C:\WINDOWS\Temp
2010-01-23 09:49:25 ----D---- C:\WINDOWS\system32
2010-01-21 20:51:56 ----AD---- C:\WINDOWS
2010-01-21 20:51:03 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-21 20:07:58 ----D---- C:\WINDOWS\Minidump
2010-01-21 20:07:09 ----D---- C:\WINDOWS\security
2010-01-21 20:06:26 ----D---- C:\Programme\Ahead
2010-01-20 17:15:18 ----D---- C:\Programme\StarMoney 6.0 S-Edition
2010-01-18 20:45:49 ----D---- C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\vlc
2010-01-18 18:01:23 ----SHD---- C:\WINDOWS\Installer
2010-01-18 18:01:23 ----HD---- C:\Config.Msi
2010-01-18 17:59:26 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-15 22:15:44 ----D---- C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\Nero
2010-01-15 22:08:51 ----D---- C:\Programme\Gemeinsame Dateien\Nero
2010-01-15 21:48:10 ----D---- C:\WINDOWS\Prefetch
2010-01-15 21:48:08 ----SD---- C:\WINDOWS\Tasks
2010-01-15 21:47:02 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-15 21:45:46 ----D---- C:\WINDOWS\WinSxS
2010-01-15 21:24:12 ----D---- C:\Programme\Gemeinsame Dateien\Ahead
2010-01-13 18:59:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-01-13 18:56:38 ----D---- C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\Adobe
2010-01-08 21:37:57 ----A---- C:\WINDOWS\win.ini
2009-12-30 22:33:41 ----D---- C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\dvdcss

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}; \??\C:\Programme\CyberLink\PowerDVD8\000.fcl []
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-10 56816]
R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2008-10-16 44704]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-10-23 99904]
R3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI); C:\WINDOWS\system32\DRIVERS\Ch2kPS2.sys [2008-01-24 130560]
R3 CLEDX;Team H2O CLEDX service; C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-05-24 502272]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-05-24 499584]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-05-24 7168]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-05-24 143872]
R3 DualCoreCenter;DualCoreCenter; \??\C:\Programme\MSI\DualCoreCenter\NTGLM7X.sys []
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-05-24 78336]
R3 ha20x2k;Creative 20X HAL Driver; C:\WINDOWS\system32\drivers\ha20x2k.sys [2006-05-24 1110016]
R3 ha20x2k;Creative 20X HAL Driver; C:\WINDOWS\system32\drivers\ha20x2k.sys [2006-05-24 1110016]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-08-16 7729568]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2008-04-07 54016]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2008-04-07 22016]
R3 NVR0Dev;NVR0Dev; \??\C:\WINDOWS\nvoclock.sys []
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-05-24 116224]
R3 RushTopDevice2;RushTopDevice2; \??\C:\Programme\MSI\DualCoreCenter\RushTop.sys []
R3 SCR3xx USB Smart Card Reader;SCR3xx USB Smart Card Reader; C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2006-11-07 47488]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S1 seneka;seneka; C:\WINDOWS\system32\drivers\senekaccrtcofl.sys []
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704]
S3 GMSIPCI;GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS []
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2006-04-13 49664]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2006-04-13 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2006-04-13 21568]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys []
S3 STC2DFU;STCII DFU Adapter; C:\WINDOWS\system32\DRIVERS\Stc2Dfu.SYS [2004-10-24 7796]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 Rdadmnrpamnu;Rdadmnrpamnu; C:\WINDOWS\system32\drivers\Rdadmnrpamnu.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2008-10-01 554264]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2008-11-10 152984]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2009-09-23 935208]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2008-12-31 603904]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289]
S2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
S2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2009-08-20 73728]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-08-17 168004]
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2006-03-03 69632]
S2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-09-23 75064]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2008-09-25 68096]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 Cherry Device Interface;Cherry Device Interface; C:\Programme\Cherry\CDI\cdi.exe [2007-12-04 585774]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater; D:\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-07-26 25832]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2008-12-31 360192]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

Chris4You · 23.01.2010, 14:05

Hi,

Rootkit...

Feuer frei:

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html)

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Drivers to delete:
H8SRTd.sys

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

bleistift` · 25.01.2010, 16:26

Hier die nächsten Log's:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTtkllnsvpap.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3619
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

25.01.2010 16:18:58
mbam-log-2010-01-25 (16-18-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|K:\|L:\|)
Durchsuchte Objekte: 217199
Laufzeit: 49 hour(s), 53 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\seneka (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQMMIUL3\z002102318801r0007J0b000601Rc5c0105bW0ec2fc77Xbca3c0acYf7fb5821Z03007f350[1] (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Programme\Steinberg\Cubase SX 3\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTulbbgrfpoy.dll (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTtkllnsvpap.sys (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
H:\Programme\Netzwerk\ipscan.exe (PUP.Malware.Tool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTthonciqaew.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTwqbuhwaqpa.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTqxwsdgkjwt.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\bleistift\Lokale Einstellungen\Temp\H8SRT5cb2.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Chris4You · 25.01.2010, 16:42

Hi,

das sieht doch schon viel besser aus, Rootkit abgetötet und noch ein paar andere Sachen.

Nächster Schritt, Avira, agressive Einstellungen (wahrscheinlich hängt noch was in der Systemwiederherstellung)..

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

chris

Argus · 25.01.2010, 16:57

@chris
Kann Bleistift fuer mich mal ein log erstellen mit hilfe von "zoek"?

Zoek
Download zoek.exe zum Desktop
Doppelklick zoek.exe
Warte…. es erscheint ein logfile
Poste dessen Inhalt hier ins Forum(Anhang) oder Uploaden mit hilfe von http://www.file-upload.net/

Chris4You · 25.01.2010, 19:08

@Argus: Ist okay, lerne gerne was neues!

chris

bleistift` · 26.01.2010, 06:59

Weitere Log's, leicht "zensiert":

Zitat:

======C:\WINDOWS====
----a-w 0 2010-01-25 15:38:46 C:\WINDOWS\0.log
--s-a-w 2,048 2010-01-25 15:37:53 C:\WINDOWS\bootstat.dat
----a-w 125,636 2009-10-08 18:36:41 C:\WINDOWS\DirectX.log
----a-w 16 2009-10-06 15:23:49 C:\WINDOWS\msocreg32.dat
----a-w 116 2010-01-18 16:59:26 C:\WINDOWS\NeroDigital.ini
----a-w 122,134 2010-01-21 18:50:13 C:\WINDOWS\ntbtlog.txt
----a-w 25 2009-09-14 12:37:59 C:\WINDOWS\popcinfot.dat
----a-w 32,586 2010-01-25 15:20:06 C:\WINDOWS\SchedLgU.Txt
----a-w 26,074 2010-01-15 11:25:51 C:\WINDOWS\scunin.dat
----a-w 94,208 2010-01-15 11:25:50 C:\WINDOWS\ScUnin.exe
----a-w 967 2010-01-15 11:25:50 C:\WINDOWS\ScUnin.pif
----a-w 252,503 2009-12-30 21:27:54 C:\WINDOWS\setupapi.log
----a-w 227 2009-09-28 04:21:09 C:\WINDOWS\system.ini
----a-w 159 2010-01-25 15:38:35 C:\WINDOWS\wiadebug.log
----a-w 50 2010-01-25 15:38:35 C:\WINDOWS\wiaservc.log
----a-w 644 2010-01-08 20:37:57 C:\WINDOWS\win.ini
----a-w 1,194,321 2010-01-25 21:42:08 C:\WINDOWS\WindowsUpdate.log

Entries: 17 (16)
Directories: 0 Files: 17
Bytes: 1,851,714 Blocks: 3,625
======C:\WINDOWS\system32=====
----a-w 55,328 2010-01-25 15:20:06 C:\WINDOWS\System32\BMXState-{00000008-00000000-00000006-00001102-00000005-00211102}.rfx
----a-w 55,328 2010-01-25 15:20:06 C:\WINDOWS\System32\BMXStateBkp-{00000008-00000000-00000006-00001102-00000005-00211102}.rfx
----a-w 64,900 2010-01-25 15:20:06 C:\WINDOWS\System32\DVCState-{00000008-00000000-00000006-00001102-00000005-00211102}.rfx
----a-w 200,144 2009-10-21 05:16:38 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 16 2009-10-06 15:23:49 C:\WINDOWS\System32\msvcsv60.dll
----a-w 244,230 2010-01-25 15:38:50 C:\WINDOWS\System32\NvApps.xml
----a-w 143,360 2009-08-17 01:03:00 C:\WINDOWS\System32\nvcolor.exe
----a-w 420,384 2009-08-17 01:04:24 C:\WINDOWS\System32\nvcpl.cpl
----a-w 13,877,248 2009-08-17 01:03:00 C:\WINDOWS\System32\nvcpl.dll
----a-w 2,173,472 2009-08-17 01:04:24 C:\WINDOWS\System32\nvcplui.exe
----a-w 2,505,248 2009-08-17 01:04:24 C:\WINDOWS\System32\nvcpluir.dll
----a-w 4,923,392 2009-08-17 01:03:02 C:\WINDOWS\System32\nvdisps.dll
----a-w 8,085,504 2009-08-17 01:03:18 C:\WINDOWS\System32\nvdispsr.dll
----a-w 3,547,136 2009-08-17 01:03:22 C:\WINDOWS\System32\nvgames.dll
----a-w 4,640,768 2009-08-17 01:03:28 C:\WINDOWS\System32\nvgamesr.dll
----a-w 229,376 2009-08-17 01:02:52 C:\WINDOWS\System32\nvmccs.dll
----a-w 188,416 2009-08-17 01:03:28 C:\WINDOWS\System32\nvmccss.dll
----a-w 458,752 2009-08-17 01:03:28 C:\WINDOWS\System32\nvmccssr.dll
----a-w 86,016 2009-08-17 01:03:00 C:\WINDOWS\System32\nvmctray.dll
----a-w 1,286,144 2009-08-17 01:03:28 C:\WINDOWS\System32\nvmobls.dll
----a-w 2,854,912 2009-08-17 01:03:32 C:\WINDOWS\System32\nvmoblsr.dll
----a-w 331,776 2009-08-17 01:04:08 C:\WINDOWS\System32\nvrsar.dll
----a-w 245,760 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrscs.dll
----a-w 253,952 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrsda.dll
----a-w 278,528 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrsde.dll
----a-w 282,624 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrsel.dll
----a-w 245,760 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrseng.dll
----a-w 282,624 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrses.dll
----a-w 274,432 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrsesm.dll
----a-w 249,856 2009-08-17 01:04:10 C:\WINDOWS\System32\nvrsfi.dll
----a-w 282,624 2009-08-17 01:04:12 C:\WINDOWS\System32\nvrsfr.dll
----a-w 331,776 2009-08-17 01:04:12 C:\WINDOWS\System32\nvrshe.dll
----a-w 258,048 2009-08-17 01:04:12 C:\WINDOWS\System32\nvrshu.dll
----a-w 278,528 2009-08-17 01:04:12 C:\WINDOWS\System32\nvrsit.dll
----a-w 270,336 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsja.dll
----a-w 262,144 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsko.dll
----a-w 274,432 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsnl.dll
----a-w 253,952 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsno.dll
----a-w 253,952 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrspl.dll
----a-w 270,336 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrspt.dll
----a-w 266,240 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsptb.dll
----a-w 266,240 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsru.dll
----a-w 258,048 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrssk.dll
----a-w 258,048 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrssl.dll
----a-w 253,952 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrssv.dll
----a-w 253,952 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrsth.dll
----a-w 253,952 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrstr.dll
----a-w 229,376 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrszhc.dll
----a-w 122,880 2009-08-17 01:04:14 C:\WINDOWS\System32\nvrszht.dll
----a-w 168,004 2009-08-17 01:03:00 C:\WINDOWS\System32\nvsvc32.exe
----a-w 4,026,368 2009-08-17 01:03:38 C:\WINDOWS\System32\nvvitvs.dll
----a-w 4,616,192 2009-08-17 01:03:40 C:\WINDOWS\System32\nvvitvsr.dll
----a-w 81,920 2009-08-17 01:04:08 C:\WINDOWS\System32\nvwddi.dll
----a-w 66,834 2009-08-17 01:03:00 C:\WINDOWS\System32\NvwsApps.xml
----a-w 3,170,304 2009-08-17 01:03:44 C:\WINDOWS\System32\nvwss.dll
----a-w 3,674,112 2009-08-17 01:03:50 C:\WINDOWS\System32\nvwssr.dll
----a-w 2,373,712 2009-09-23 18:09:44 C:\WINDOWS\System32\pbsvc.exe
----a-w 80,928 2009-11-14 15:49:01 C:\WINDOWS\System32\perfc007.dat
----a-w 68,156 2009-11-14 15:49:01 C:\WINDOWS\System32\perfc009.dat
----a-w 451,970 2009-11-14 15:49:01 C:\WINDOWS\System32\perfh007.dat
----a-w 435,260 2009-11-14 15:49:01 C:\WINDOWS\System32\perfh009.dat
----a-w 1,004,916 2009-11-14 15:49:01 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 75,064 2009-09-23 18:09:44 C:\WINDOWS\System32\PnkBstrA.exe
----a-w 189,784 2009-10-17 18:29:05 C:\WINDOWS\System32\PnkBstrB.exe
----a-w 189,784 2009-10-17 18:29:05 C:\WINDOWS\System32\PnkBstrB.xtr
----a-w 1,080 2010-01-25 15:20:06 C:\WINDOWS\System32\settings.sfm
----a-w 1,080 2010-01-25 15:20:06 C:\WINDOWS\System32\settingsbkup.sfm
----a-w 16 2009-10-06 15:23:49 C:\WINDOWS\System32\w3data.vss
----a-w 13,646 2010-01-25 15:38:46 C:\WINDOWS\System32\wpa.dbl

Entries: 69 (69)
Directories: 0 Files: 69
Bytes: 74,073,332 Blocks: 144,691
======C:\WINDOWS\system32\drivers=====
----a-w 56,816 2009-12-10 19:49:18 C:\WINDOWS\System32\drivers\avgntflt.sys
----a-w 19,160 2010-01-07 15:07:04 C:\WINDOWS\System32\drivers\mbam.sys
----a-w 38,224 2010-01-07 15:07:14 C:\WINDOWS\System32\drivers\mbamswissarmy.sys
----a-w 138,944 2009-10-17 18:29:17 C:\WINDOWS\System32\drivers\PnkBstrK.sys

Entries: 4 (4)
Directories: 0 Files: 4
Bytes: 253,144 Blocks: 496
======C:\WINDOWS\Tasks======
---ha-w 6 2010-01-25 15:37:54 C:\WINDOWS\Tasks\SA.DAT
----a-w 234 2010-01-25 22:01:00 C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
----a-w 286 2009-12-16 20:30:00 C:\WINDOWS\Tasks\shutdown_once.job

Entries: 3 (2)
Directories: 0 Files: 3
Bytes: 526 Blocks: 3
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
--sh--w 211 2009-09-28 04:21:09 C:\boot.ini
--sha-w 2,145,386,496 2010-01-25 15:37:50 C:\pagefile.sys

Entries: 2 (0)
Directories: 0 Files: 2
Bytes: 2,145,386,707 Blocks: 4,190,209
======C:\Dokumente und Einstellungen\*********\Anwendungsdaten======
----a-w 160 2010-01-18 16:59:26 C:\Dokumente und Einstellungen\*********\Anwendungsdaten\default.rss

Entries: 1 (1)
Directories: 0 Files: 1
Bytes: 160 Blocks: 1
======C:\Dokumente und Einstellungen\*********======
----a-w 13,369,344 2010-01-25 15:19:57 C:\Dokumente und Einstellungen\*********\NTUSER.DAT
---ha-w 32,768 2010-01-25 22:11:49 C:\Dokumente und Einstellungen\*********\ntuser.dat.LOG
--sh--w 300 2010-01-25 15:19:57 C:\Dokumente und Einstellungen\*********\ntuser.ini

Entries: 3 (1)
Directories: 0 Files: 3
Bytes: 13,402,412 Blocks: 26,177
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Januar 2010 16:49

Es wird nach 1638089 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PATRICK

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 18:08:19
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:08:17
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:14:58
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 13:19:09
VBASE003.VDF : 7.10.3.2 2048 Bytes 20.01.2010 13:19:09
VBASE004.VDF : 7.10.3.3 2048 Bytes 20.01.2010 13:19:09
VBASE005.VDF : 7.10.3.4 2048 Bytes 20.01.2010 13:19:09
VBASE006.VDF : 7.10.3.5 2048 Bytes 20.01.2010 13:19:09
VBASE007.VDF : 7.10.3.6 2048 Bytes 20.01.2010 13:19:09
VBASE008.VDF : 7.10.3.7 2048 Bytes 20.01.2010 13:19:09
VBASE009.VDF : 7.10.3.8 2048 Bytes 20.01.2010 13:19:10
VBASE010.VDF : 7.10.3.9 2048 Bytes 20.01.2010 13:19:10
VBASE011.VDF : 7.10.3.10 2048 Bytes 20.01.2010 13:19:10
VBASE012.VDF : 7.10.3.11 2048 Bytes 20.01.2010 13:19:10
VBASE013.VDF : 7.10.3.12 2048 Bytes 20.01.2010 13:19:10
VBASE014.VDF : 7.10.3.45 173568 Bytes 22.01.2010 13:19:10
VBASE015.VDF : 7.10.3.46 2048 Bytes 22.01.2010 13:19:10
VBASE016.VDF : 7.10.3.47 2048 Bytes 22.01.2010 13:19:10
VBASE017.VDF : 7.10.3.48 2048 Bytes 22.01.2010 13:19:10
VBASE018.VDF : 7.10.3.49 2048 Bytes 22.01.2010 13:19:11
VBASE019.VDF : 7.10.3.50 2048 Bytes 22.01.2010 13:19:11
VBASE020.VDF : 7.10.3.51 2048 Bytes 22.01.2010 13:19:11
VBASE021.VDF : 7.10.3.52 2048 Bytes 22.01.2010 13:19:11
VBASE022.VDF : 7.10.3.53 2048 Bytes 22.01.2010 13:19:11
VBASE023.VDF : 7.10.3.54 2048 Bytes 22.01.2010 13:19:11
VBASE024.VDF : 7.10.3.55 2048 Bytes 22.01.2010 13:19:11
VBASE025.VDF : 7.10.3.56 2048 Bytes 22.01.2010 13:19:11
VBASE026.VDF : 7.10.3.57 2048 Bytes 22.01.2010 13:19:11
VBASE027.VDF : 7.10.3.58 2048 Bytes 22.01.2010 13:19:11
VBASE028.VDF : 7.10.3.59 2048 Bytes 22.01.2010 13:19:11
VBASE029.VDF : 7.10.3.60 2048 Bytes 22.01.2010 13:19:11
VBASE030.VDF : 7.10.3.61 2048 Bytes 22.01.2010 13:19:11
VBASE031.VDF : 7.10.3.65 92672 Bytes 25.01.2010 13:18:55
Engineversion : 8.2.1.150
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 13:19:13
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 23.01.2010 13:19:12
AESCN.DLL : 8.1.3.1 127348 Bytes 15.01.2010 10:32:42
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 18:08:19
AERDL.DLL : 8.1.3.4 479605 Bytes 03.12.2009 16:26:19
AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 10:32:42
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.06.2009 12:25:34
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15.01.2010 10:32:41
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 10:32:38
AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 20:21:05
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 11:23:52
AECORE.DLL : 8.1.9.5 184693 Bytes 15.01.2010 10:32:37
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 03:54:45
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 16:48:29
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10.06.2009 21:19:52
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 18:08:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:, K:, L:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 25. Januar 2010 16:49

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '38656' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DualCoreCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SnagPriv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TscHelp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SnagIt32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cdi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeyMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051708.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.AA.3968
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051709.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.AA.3972
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051711.EXE
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051712.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051713.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\' <Games>
Beginne mit der Suche in 'H:\' <Rest>
Beginne mit der Suche in 'K:\' <Backup1>
Beginne mit der Suche in 'L:\' <Backup2>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051708.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.AA.3968
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8dd6c1.qua' verschoben!
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051709.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.AA.3972
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8dd6c2.qua' verschoben!
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051711.EXE
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af972f3.qua' verschoben!
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051712.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4afe4aab.qua' verschoben!
C:\System Volume Information\_restore{31605D51-8E71-4FC7-89C5-0D46B6987642}\RP374\A0051713.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aff4263.qua' verschoben!

Ende des Suchlaufs: Montag, 25. Januar 2010 18:36
Benötigte Zeit: 1:07:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9105 Verzeichnisse wurden überprüft
362894 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
362885 Dateien ohne Befall
4112 Archive wurden durchsucht
1 Warnungen
9 Hinweise
38656 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Chris4You · 26.01.2010, 07:21

Hi,

Weiterhin scheinen noch Rest da zu sein, daher:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtkrl32mainweq.dll
C:\WINDOWS\system32\H8SRTtirsvdohmu.dll
C:\WINDOWS\Temp\H8SRT9286.tmp

Folders to delete:
C:\Dokumente und Einstellungen\bleistift\Lokale Einstellungen\Temp

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

bleistift` · 26.01.2010, 16:26

Der hoffentlich letzte Log

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtkrl32mainweq.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\H8SRTtirsvdohmu.dll" not found!
Deletion of file "C:\WINDOWS\system32\H8SRTtirsvdohmu.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\Temp\H8SRT9286.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\H8SRT9286.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Chris4You · 26.01.2010, 16:42

Hi,

na, was treibt der Rechner so?

chris

Plötzlicher "Absturz" - Nun geht fast nix mehr

Log-Analyse und Auswertung: Plötzlicher "Absturz" - Nun geht fast nix mehr