| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen in C:\autoexec.exe und ...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.02.2010, 10:49
| #1 |
 |  TR/Dropper.Gen in C:\autoexec.exe und ... Hallo erstmal und vielen Dank an die Betreiber dieses Forums und alle Helfer! Ihr scheint hier echt ganze Arbeit zu leisten! Ich habe nun folgendes Problem: Vor ca. 2 Wochen bekam ich eine ganze Flut an Virusmeldungen von AntiVir und ich habe alle intuitiv erstmal gelöscht. Sollte man aber, nach meiner Internetrecherche wohl nicht machen!? Wo die Viren herkamen, weiß ich nicht genau. Jedenfalls ist ein Trojaner danach immer wieder aufgetaucht: TR/Dropper.Gen! Und zwar in 2 Dateien: C:\autoexec.exe und C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VB10K7TM\update4303[1].exe Ich habe darauf hin mal meine Updates überprüft und alles runtergeladen, was ich noch nicht hatte. Darunter war auch der IE 8. Danach habe ich CCleaner, Malwarebytes und RSIT in der Reihenfolge drüber laufen lassen. Leider hat beim Scan von Malwarebytes jemand den ersten Scan abgebrochen und die infizierten Dateien dann glöscht. Antivir findet jedenfalls bei kompletten Suchläufen nichts. Der letzte Suchlauf an dem ein Fund aufgetreten ist war vor drei Tagen... Hier sind auf jeden Fall erstmal meine Logs: der AntiVirlog: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 13. Februar 2010 14:30 Es wird nach 1748777 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : *** Computername : *** Versionsinformationen: BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 08:43:21 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:43:21 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 08:43:21 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:31:15 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:13:34 VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 17:13:35 VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 17:13:35 VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 17:13:35 VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 17:13:35 VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 17:13:35 VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 17:13:36 VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 17:13:36 VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 17:13:36 VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 17:13:36 VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 17:13:36 VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 16:41:36 VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 16:41:38 VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 16:42:21 VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 16:41:42 VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 19:28:22 VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 19:28:20 VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 19:28:23 VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 19:28:25 VBASE022.VDF : 7.10.4.31 2048 Bytes 11.02.2010 19:28:25 VBASE023.VDF : 7.10.4.32 2048 Bytes 11.02.2010 19:28:25 VBASE024.VDF : 7.10.4.33 2048 Bytes 11.02.2010 19:28:25 VBASE025.VDF : 7.10.4.34 2048 Bytes 11.02.2010 19:28:26 VBASE026.VDF : 7.10.4.35 2048 Bytes 11.02.2010 19:28:26 VBASE027.VDF : 7.10.4.36 2048 Bytes 11.02.2010 19:28:26 VBASE028.VDF : 7.10.4.37 2048 Bytes 11.02.2010 19:28:26 VBASE029.VDF : 7.10.4.38 2048 Bytes 11.02.2010 19:28:26 VBASE030.VDF : 7.10.4.39 2048 Bytes 11.02.2010 19:28:26 VBASE031.VDF : 7.10.4.41 26624 Bytes 11.02.2010 19:28:27 Engineversion : 8.2.1.160 AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 01:08:06 AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02.02.2010 16:41:43 AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 17:14:57 AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 08:43:21 AERDL.DLL : 8.1.3.4 479605 Bytes 30.11.2009 21:46:31 AEPACK.DLL : 8.2.0.5 422262 Bytes 15.01.2010 21:58:52 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39 AEHEUR.DLL : 8.1.1.5 2326901 Bytes 06.02.2010 16:41:49 AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 21:58:49 AEGEN.DLL : 8.1.1.86 369012 Bytes 02.02.2010 16:41:43 AEEMU.DLL : 8.1.1.0 393587 Bytes 09.10.2009 18:14:05 AECORE.DLL : 8.1.11.1 184694 Bytes 02.02.2010 16:41:42 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 10.10.2009 18:13:07 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 08:43:20 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\Users\User\AppData\Local\Temp\36b44964.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: D:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 13. Februar 2010 14:30 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'D:\' <MY FAVES> D:\m0vnonh.bat [FUND] Ist das Trojanische Pferd TR/PSW.Magania.auui D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx [FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.48 Beginne mit der Desinfektion: D:\m0vnonh.bat [FUND] Ist das Trojanische Pferd TR/PSW.Magania.auui [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4beca9bf.qua' verschoben! D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx [FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.48 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bddaa06.qua' verschoben! Ende des Suchlaufs: Samstag, 13. Februar 2010 14:30 Benötigte Zeit: 00:21 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6 Verzeichnisse wurden überprüft 183 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 181 Dateien ohne Befall 7 Archive wurden durchsucht 0 Warnungen 2 Hinweise abgebrochenes Malwarebyteslog: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3747 Windows 6.0.6001 Service Pack 1 Internet Explorer 7.0.6001.18000 16.02.2010 22:16:29 mbam-log-2010-02-16 (22-16-29).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|Q:\|S:\|) Durchsuchte Objekte: 87957 Laufzeit: 18 minute(s), 21 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: C:\Users\***\AppData\Roaming\SystemProc\lsass.exe (Malware.Packer) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Malware.Packer) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\***\AppData\Roaming\SystemProc\lsass.exe (Malware.Packer) -> Quarantined and deleted successfully. 2. Malwarebyteslog: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3747 Windows 6.0.6001 Service Pack 1 Internet Explorer 7.0.6001.18000 16.02.2010 23:37:03 mbam-log-2010-02-16 (23-37-03).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|Q:\|S:\|) Durchsuchte Objekte: 281188 Laufzeit: 1 hour(s), 18 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 3 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D} (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Trojan.Swisyn) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\Program Files\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Trojan.Swisyn) -> Quarantined and deleted successfully. C:\confin.sys (Malware.Trace) -> Quarantined and deleted successfully. info.log von rsit (ist das eigentlich das HiJacklog?): info.txt logfile of random's system information tool 1.06 2010-02-17 09:53:55 ======Uninstall list====== -->"C:\Program Files\Creative Installation Information\CD_RIPPER_UNICODE_2\Setup.exe" /remove /l0x0007 -->"C:\Program Files\Creative Installation Information\CREATIVE_SYNC_MANAGER_U\Setup.exe" /remove /l0x0007 -->"C:\Program Files\Creative Installation Information\CREATIVE_VIDEO_CONVERTER\Setup.exe" /remove /l0x0007 -->C:\Program Files\Conexant\SmartAudio\SETUP.EXE -U -ISmartAudio -SM=SMAUDIO.EXE,1801 -->C:\Program Files\InstallShield Installation Information\{69333A04-5134-40A5-A055-9166A7AA1EC8}\setup.exe -runfromtemp -l0x0009 -removeonly -->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe 2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL Access Help-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C6FA39A7-26B1-480A-BC74-6D17531AC222}\Setup.exe" -l0x7 UNINSTALL Adobe Flash Player 10 ActiveX-->MsiExec.exe /X{2BD2FA21-B51D-4F01-94A7-AC16737B2163} Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Anzeige am Bildschirm-->rundll32.exe "C:\Program Files\Lenovo\HOTKEY\cleanup.dll",InfUninstall DefaultUninstall.LH 132 C:\Program Files\Lenovo\HOTKEY\tphk_sl.inf Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE Camera Center-->MsiExec.exe /X{668ACF05-E455-4932-A2D2-5822A8206FEB} CCleaner-->"C:\Program Files\CCleaner\uninst.exe" Client Security - Password Manager-->MsiExec.exe /X{44E9D4C2-946C-4378-9354-558803C47A68} Conexant HD Audio-->C:\Program Files\CONEXANT\CNXT_AUDIO_HDA\UIU32a.exe -U -IBxtherza.INF Dienstprogramm "ThinkPad UltraNav"-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17CBC505-D1AE-459D-B445-3D2000A85842}\Setup.exe" -l0x7 UNINSTALL DirectXInstallService-->MsiExec.exe /X{098122AB-C605-4853-B441-C0A4EB359B75} eBay Icon-->C:\Users\User\AppData\Roaming\Desktopicon\uninst.exe Ergänzung zu Lenovo Care-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6280149E-EFF3-4F1B-BD43-5B7EDD6F620A}\SETUP.EXE" -l0x7 -AddRemove Firebird SQL Server - MAGIX Edition 2.0.0.1 (D)-->C:\Program Files\MAGIX\Common\Database\uninstall.exe Free Audio CD Burner version 1.2-->"C:\Program Files\DVDVideoSoft\Free Audio CD Burner\unins000.exe" Free YouTube to MP3 Converter version 3.2-->"C:\Program Files\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe" GeoGebra-->"C:\Program Files\GeoGebra\UninstallerData\Uninstaller.exe" Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466} Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} GPL Ghostscript 8.64-->C:\Program Files\gs\uninstgs.exe "C:\Program Files\gs\gs8.64\uninstal.txt" GSview 4.9-->C:\Program Files\Ghostgum\gsview\uninstgs.exe "C:\Program Files\Ghostgum\gsview\uninstal.txt" HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDA_HSF\UIU32m.exe -U -ILE9HERzm.INF Help Center-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{986F64DC-FF15-449D-998F-EE3BCEC6666A}\Setup.exe" -l0x7 -AddRemove HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" hp LaserJet 1005-->zuninst.exe ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Integrated Camera-->C:\Program Files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\SETUP.exe -runfromtemp -l0x0007 -removeonly Intel PROSet Wireless-->Intel PROSet Wireless Intel(R) Graphics Media Accelerator Driver-->C:\Windows\system32\igxpun.exe -uninstall Intel(R) PROSet/Wireless WiFi-Software-->MsiExec.exe /I{F22FD942-651D-4EE8-BD6F-7E0AF5E17625} InterVideo WinDVD-->"C:\Program Files\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} Lenovo Care-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CF52099A-3BEA-4C41-AEA8-1E190F04D737}\Setup.exe" -l0x7 -AddRemove Lenovo Registration-->C:\Program Files\Lenovo Registration\uninstall.exe Lenovo System Interface Driver-->RunDll32.exe setupapi.dll,InstallHinfSection DefaultUninstall.NTx86 130 C:\Program Files\Lenovo\SMIIF\lnvsmi.inf Lenovo System Toolbox-->C:\Program Files\PCDR5\uninst.exe Lenovo Welcome-->"C:\Program Files\Lenovo\Lenovo Welcome\unins000.exe" Lenovo_ATK_Package-->C:\Program Files\InstallShield Installation Information\{055B9AD2-48E1-462E-9992-814123063C46}\setup.exe -runfromtemp -l0x0009 -removeonly MAGIX Foto Manager 2007 4.2.0.42 (D)-->C:\Program Files\MAGIX\Foto_Manager_2007\instslct.exe MAGIX Goya burnR 2.3.1.3 (D)-->C:\Program Files\MAGIX\Goya_burnR\instslct.exe MAGIX Music Maker Hip Hop Edition 2 4.0.0.10 (D)-->C:\Program Files\MAGIX\MusicMakerHipHopEdition2\instslct.exe MAGIX Music Manager 2007 8.2.0.54 (D)-->C:\Program Files\MAGIX\Music_Manager_2007\instslct.exe MAGIX Online Druck Service 2.3.2.0 (D)-->C:\Program Files\MAGIX\Online_Druck_Service\instslct.exe Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Message Center-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E7E836B8-4BDD-454F-82E6-5FEA17C83AD4}\Setup.exe" -l0x7 -AddRemove Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft SQL Server Native Client-->MsiExec.exe /I{1D1D8ADC-BF08-4E61-9393-5FA305B16864} Microsoft SQL Server VSS Writer-->MsiExec.exe /I{5C759B74-34F4-43C6-A5D9-039CB754C5E9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mobile Broadband Connect-->MsiExec.exe /I{11733061-B36C-472D-BC43-EB67A912C897} Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC} OpenOffice.org 3.1-->MsiExec.exe /I{99E862CC-6F69-4D39-99AA-DBF71BF3B585} Präsentationsdirektor-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{65706020-7B6F-41F2-8047-FC69579E386A}\Setup.exe" -l0x7 -AddRemove Product Recovery Disc Burning Utility-->MsiExec.exe /X{FA62B4C2-6CFD-462F-9B59-68A730001AB3} QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2} Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -l0x0007 -removeonly Registry patch for Windows Vista USB S3 PM Enablement-->Rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 130 C:\Program Files\Lenovo\USBPMon\USBPMon.inf Registry patch of Changing Timing of IDLE IRP by Finger Print Driver for Windows Vista -->Rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 130 C:\Program Files\Lenovo\FPIRPOn\FPIRPOn.inf Registry Patch of Enabling Device Initiated Power Management(DIPM) on SATA for Windows Vista-->Rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 130 C:\Program Files\Lenovo\Dipmon\Dipmon.inf Registry patch to improve USB device detection on resume from sleep for Windows Vista-->MsiExec.exe /X{4AB5764A-3894-49A2-BAA8-C4665F74CD4C} Rescue and Recovery-->MsiExec.exe /X{7E4C16B8-8F76-4940-8505-98E93C00BF19} RICOH R5C83x/84x Flash Media Controller Driver Ver.3.55.01-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\setup.exe" -l0x7 anything Roxio Activation Module-->MsiExec.exe /I{EC877639-07AB-495C-BFD1-D63AF9140810} Roxio Central Audio-->MsiExec.exe /I{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83} Roxio Central Copy-->MsiExec.exe /I{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD} Roxio Central Core-->MsiExec.exe /I{ED439A64-F018-4DD4-8BA5-328D85AB09AB} Roxio Central Data-->MsiExec.exe /I{08E81ABD-79F7-49C2-881F-FD6CB0975693} Roxio Central Tools-->MsiExec.exe /I{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4} Roxio Creator Small Business Edition-->C:\ProgramData\Uninstall\{537BF16E-7412-448C-95D8-846E85A1D817}\setup.exe /x {537BF16E-7412-448C-95D8-846E85A1D817} Roxio Creator Small Business Edition-->MsiExec.exe /I{E8A54984-9776-4283-ACE2-782BA850A1C0} Roxio Express Labeler 3-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA} Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748} Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36} Sonic CinePlayer Decoder Pack-->MsiExec.exe /I{8D337F77-BE7F-41A2-A7CB-D5A63FD7049B} Sonic Icons for Lenovo-->MsiExec.exe /I{B334D9AE-1393-423E-97C0-3BDC3360E692} System Update-->MsiExec.exe /X{8675339C-128C-44DD-83BF-0A5D6ABD8297} Text-To-Speech-Runtime-->MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2} ThinkPad Energie-Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DAC01CEE-5BAE-42D5-81FC-B687E84E8405}\SETUP.EXE" -l0x7 -AddRemove ThinkPad FullScreen Magnifier-->rundll32.exe "C:\Program Files\Lenovo\ZOOM\cleanup.dll",InfUninstall DefaultUninstall 132 C:\Program Files\Lenovo\Zoom\TpScrex.inf ThinkPad Mobility Center Customization-->MsiExec.exe /X{90FABD40-E741-446F-839D-CEAE905D63BE} ThinkPad Power Management Driver for SL Series-->RunDll32.exe tpinspm.dll,Uninstall ThinkPad UltraNav Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall ThinkPad-Dienstprogramm 'EasyEject'-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1297C681-92D7-40EF-93BF-03F66EC5105C}\SETUP.EXE" -l0x7 -AddRemove ThinkVantage Access Connections-->MsiExec.exe /X{4BD295B9-0190-4C54-B08E-33A6ECA922DF} ThinkVantage Status Gadget-->MsiExec.exe /X{5523092E-13AA-4EED-8E18-255860F6D9DC} ThinkVantage System für aktiven Festplattenschutz-->MsiExec.exe /X{46A84694-59EC-48F0-964C-7E76E9F8A2ED} ThinkVantage Technologies Welcome Message-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1007F41F-7D69-468E-8017-3849A5A973C2}\Setup.exe" -l0x7 anything Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe" Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F} Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update for Office 2007 (KB934528)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {2B939677-2FFD-48F6-9075-7BF48CB87C80} Update for Office System 2007 Setup (KB929722)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {D8E9BEBD-655F-467D-8176-CA9959C140A3} Veetle TV 0.9.15-->C:\Program Files\Veetle\UninstallVeetleTV.exe Verizon Wireless BroadbandAccess Self Activation-->MsiExec.exe /I{3F963A06-7C18-4039-9789-9644B3266AE7} VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe Wallpapers-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DB71210F-8314-4AE3-B7A7-EBAF85BD30E9}\Setup.exe" -l0x7 UNINSTALL Windows Driver Package - Lenovo 1.44 (05/14/2008 1.44)-->C:\PROGRA~1\DIFX\7F01D4C0B2897E27\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\ibmpmdrv.inf_c34e414f\ibmpmdrv.inf Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4} WinRAR-->C:\Program Files\WinRAR\uninstall.exe Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe" Zattoo 3.3.4 Beta-->C:\Program Files\Zattoo\uninst.exe ZEN Media Explorer-->"C:\Program Files\Creative Installation Information\ZEN_MTP_MEDIA_EXPLORER\Setup.exe" /remove /l0x0007 ======Security center information====== AS: Windows Defender ======System event log====== Computer Name: *** Event Code: 20003 Message: Der Prozess zum Hinzufügen von Dienst tunnel für Geräteinstanz-ID ROOT\*ISATAP\0012 wurde mit folgendem Status beendet: 0. Record Number: 70175 Source Name: Microsoft-Windows-User-PnP Time Written: 20100217084741.159582-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 20003 Message: Der Prozess zum Hinzufügen von Dienst tunnel für Geräteinstanz-ID ROOT\*6TO4MP\0009 wurde mit folgendem Status beendet: 0. Record Number: 70176 Source Name: Microsoft-Windows-User-PnP Time Written: 20100217084745.606582-000 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: *** Event Code: 14204 Message: Dienst "WMPNetworkSvc" wurde gestartet. Record Number: 70177 Source Name: Microsoft-Windows-WMPNSS-Service Time Written: 20100217084747.000000-000 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Windows Media Player-Netzwerkfreigabedienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 70178 Source Name: Service Control Manager Time Written: 20100217084747.000000-000 Event Type: Informationen User: Computer Name: *** Event Code: 7036 Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet". Record Number: 70179 Source Name: Service Control Manager Time Written: 20100217085101.000000-000 Event Type: Informationen User: =====Application event log===== Computer Name: *** Event Code: 20221 Message: CoID={302E461C-A6C4-42BC-9336-098DF1ECFB15}: Der Benutzer "***\***" hat eine Broadband-Verbindung mit einem per-user-Verbindungsprofil mit dem Namen "Breitbandverbindung" angewählt. Die Verbindungseinstellungen lauten: Dial-in User = 03812102507 VpnStrategy =Not Applicable DataEncryption = Requested PrerequisiteEntry = CompartmentsEnabled = No AutoLogon = No UseRasCredentials = No CustomAuthKey = AuthRestriction Mask = 0x00000228 RasIpv4DefaultGateway = Yes Ipv4AddressAssignment = By Server Ipv4DNSServerAssignment = By Server RasIpv6DefaultGateway = Yes Ipv6DNSServerAssignment = By Server IpDnsFlags = IpNBTEnabled = No UseFlags = Internet Connection IpSecFlags = No Pre-shared key ConnectOnWinlogon = No. Record Number: 8914 Source Name: RasClient Time Written: 20100217084738.000000-000 Event Type: Informationen User: Computer Name: *** Event Code: 20222 Message: CoID={302E461C-A6C4-42BC-9336-098DF1ECFB15}: Der Benutzer "***\***" versucht, eine Verbindung zum RAS-Server für die Verbindung mit dem Namen "Breitbandverbindung" mit dem folgenden Gerät herzustellen: Server address/Phone Number = Device = WAN-Miniport (PPPOE) Port = PPPoE2-0 MediaType = PPPoE. Record Number: 8915 Source Name: RasClient Time Written: 20100217084738.000000-000 Event Type: Informationen User: Computer Name: *** Event Code: 20223 Message: CoID={302E461C-A6C4-42BC-9336-098DF1ECFB15}: Der Benutzer "***\***" hat eine Verbindung mit dem RAS-Server hergestellt, verwendet wurde das Gerät: " Server address/Phone Number = Device = WAN-Miniport (PPPOE) Port = PPPoE2-0 MediaType = PPPoE". Record Number: 8916 Source Name: RasClient Time Written: 20100217084738.000000-000 Event Type: Informationen User: Computer Name: *** Event Code: 20224 Message: CoID={302E461C-A6C4-42BC-9336-098DF1ECFB15}: Die Verbindung mit dem RAS-Server wurde von Benutzer "MUCKLA\User" hergestellt. Record Number: 8917 Source Name: RasClient Time Written: 20100217084738.000000-000 Event Type: Informationen User: Computer Name: *** Event Code: 20225 Message: CoID={302E461C-A6C4-42BC-9336-098DF1ECFB15}: Der Benutzer "***\***" hat erfolgreich eine Verbindung mit dem Namen "Breitbandverbindung" mit dem RAS-Server hergestellt. Die Verbindungsparameter lauten: TunnelIpAddress = 78.54.32.62 TunnelIpv6Address = fe80:: Dial-in User = 03812102507. Record Number: 8918 Source Name: RasClient Time Written: 20100217084743.000000-000 Event Type: Informationen User: =====Security event log===== Computer Name: *** Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 11231 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100217085351.852382-000 Event Type: Überwachung gescheitert User: Computer Name: *** Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 11232 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100217085351.899182-000 Event Type: Überwachung gescheitert User: Computer Name: *** Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 11233 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100217085351.930382-000 Event Type: Überwachung gescheitert User: Computer Name: *** Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 11234 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100217085351.977182-000 Event Type: Überwachung gescheitert User: Computer Name: *** Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 11235 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20100217085352.023982-000 Event Type: Überwachung gescheitert User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\WiFi\bin\;c:\Program Files\Common Files\Lenovo;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\ThinkPad\ConnectUtilities\;C:\Program Files\Lenovo\Client Security Solution;C:\Program Files\QuickTime\QTSystem\ "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel "PROCESSOR_REVISION"=0f0d "NUMBER_OF_PROCESSORS"=2 "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat "DFSTRACINGON"=FALSE "configsetroot"=%SystemRoot%\ConfigSetRoot "TVT"=C:\Program Files\Lenovo "RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\ "EMC_AUTOPLAY"=C:\Program Files\Common Files\Roxio Shared\ "TPCCommon"=C:\PROGRA~1\Lenovo\LENOVO~2 "RR"=C:\Program Files\Lenovo\Rescue and Recovery "TVTPYDIR"=C:\Program Files\Common Files\Lenovo\Python24 "TVTCOMMON"=C:\Program Files\Common Files\Lenovo "SWSHARE"=C:\SWSHARE "CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip "QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip -----------------EOF----------------- und zu guter letzt das log.txt von rsit: Logfile of random's system information tool 1.06 (written by random/random) Run by User at 2010-02-17 09:53:30 Microsoft® Windows Vista™ Home Basic Service Pack 1 System drive C: has 114 GB (50%) free of 227 GB Total RAM: 2013 MB (53% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:53:53, on 17.02.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\TpShocks.exe C:\Program Files\Lenovo\LenovoCare\LPMGR.EXE C:\Program Files\Lenovo\LenovoCare\LPMLCHK.EXE C:\Windows\System32\rundll32.exe C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Creative\ZEN Media Explorer\CTCheck.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Lenovo\Camera Center\bin\LenovoCameraCenter.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\PROGRA~1\ThinkPad\UTILIT~1\PWMUIAux.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\***\Desktop\RSIT.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\trend micro\User.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lenovo.live.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe O4 - HKLM\..\Run: [LPMailChecker] C:\PROGRA~1\Lenovo\LENOVO~2\LPMLCHK.exe O4 - HKLM\..\Run: [CameraApplicationLauncher] C:\Program Files\Lenovo\Camera Center\bin\CameraApplicationLaunchpadLauncher.exe O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [CreateLMBCShortCut] "C:\Program Files\Lenovo\Mobile Broadband Connect\UserShortcutCreator.exe" O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWlIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWlIcon.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\ZEN Media Explorer\CTCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O9 - Extra 'Tools' menuitem: Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{722AEC2B-0EF2-4724-8779-13DA56B77C14}: NameServer = 213.191.74.18 62.109.123.197 O17 - HKLM\System\CCS\Services\Tcpip\..\{D6FD34A3-AF1A-4543-88CC-B91DDCE3288F}: NameServer = 0.0.0.0 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\ASLDRSrv.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: ThinkPad PM Service for SL Series (IBMPMSVC) - Lenovo - C:\Windows\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Service of LFKA (LFKAS) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe O23 - Service: SessionLauncher - Unknown owner - C:\Users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe (file missing) O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\Program Files\Lenovo\System Update\SUService.exe O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - c:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\Windows\System32\TPHDEXLG.exe O23 - Service: Anzeige am Bildschirm (TPHKSVC) - Lenovo Group Limited - C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\UpdateMonitor.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 9892 bytes ======Scheduled tasks folder====== C:\Windows\tasks\GoogleUpdateTaskMachineCore.job C:\Windows\tasks\GoogleUpdateTaskMachineUA.job C:\Windows\tasks\PCDoctorBackgroundMonitorTask.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF468356-BB7E-42D7-9F15-4F3B9BCFCED2}] IePasswordManagerHelper Class - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll [2008-06-13 808248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-11-10 41760] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184] "SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-04-10 1045800] ""= [] "TpShocks"=C:\Windows\system32\TpShocks.exe [2008-06-06 181536] "LPManager"=C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe [2008-06-08 165208] "LPMailChecker"=C:\PROGRA~1\Lenovo\LENOVO~2\LPMLCHK.exe [2008-06-08 124248] "CameraApplicationLauncher"=C:\Program Files\Lenovo\Camera Center\bin\CameraApplicationLaunchpadLauncher.exe [2009-02-02 16384] "PWMTRV"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor [] "CreateLMBCShortCut"=C:\Program Files\Lenovo\Mobile Broadband Connect\UserShortcutCreator.exe [2009-04-03 40960] "ACTray"=C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe [2009-04-03 435488] "ACWlIcon"=C:\Program Files\ThinkPad\ConnectUtilities\ACWlIcon.exe [2009-04-03 165152] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "CTCheck"=C:\Program Files\Creative\ZEN Media Explorer\CTCheck.exe [2007-11-06 397312] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-11-10 149280] "QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-11-10 417792] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTSyncU.exe"=C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe [2007-07-17 868352] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AMSG] C:\Program Files\ThinkVantage\AMSG\Amsg.exe [2007-02-01 419376] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BTVLogEx.DLL,StartBattLog [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth] C:\Program Files\Lenovo\Client Security Solution\cssauth.exe [2008-06-25 3077432] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe [2008-06-04 242976] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds] C:\Windows\system32\hkcmd.exe [2008-11-05 178712] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray] C:\Windows\system32\igfxtray.exe [2008-11-05 150040] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless] C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe [2009-02-27 1202448] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence] C:\Windows\system32\igfxpers.exe [2008-11-05 154136] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray] C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe [2008-04-25 244208] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2uvc] C:\Windows\vsnp2uvc.exe [2007-07-11 569344] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe [2009-11-10 149280] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPFNF7] C:\Program Files\Lenovo\NPDIRECT\TPFNF7SP.exe [2008-07-30 60192] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe [2008-03-24 64368] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe [2008-05-24 487424] C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup OpenOffice.org 3.1.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\Windows\system32\igfxdev.dll [2008-10-28 221184] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=scecli ACGina [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=0 "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2c002f0-8628-11de-8bfd-002618851c3f}] shell\AutoRun\command - S:\LenovoSDrive.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6b37ea7-1011-11df-aa21-002618afbdfc}] shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f013d5cd-b1da-11de-ab44-806e6f6e6963}] shell\AutoRun\command - Q:\LenovoQDrive.exe ======File associations====== .js - edit - C:\Windows\System32\Notepad.exe %1 .js - open - C:\Windows\System32\WScript.exe "%1" %* ======List of files/folders created in the last 1 months====== 2010-02-17 09:53:30 ----D---- C:\rsit 2010-02-17 09:53:30 ----D---- C:\Program Files\trend micro 2010-02-16 22:25:14 ----A---- C:\Windows\system32\occache.dll 2010-02-16 22:25:13 ----A---- C:\Windows\system32\msfeedsbs.dll 2010-02-16 22:25:13 ----A---- C:\Windows\system32\msfeeds.dll 2010-02-16 22:25:13 ----A---- C:\Windows\system32\jsproxy.dll 2010-02-16 22:25:13 ----A---- C:\Windows\system32\iepeers.dll 2010-02-16 22:25:12 ----A---- C:\Windows\system32\ieui.dll 2010-02-16 22:25:12 ----A---- C:\Windows\system32\iesetup.dll 2010-02-16 22:25:11 ----A---- C:\Windows\system32\wininet.dll 2010-02-16 22:25:11 ----A---- C:\Windows\system32\msfeedssync.exe 2010-02-16 22:25:11 ----A---- C:\Windows\system32\iernonce.dll 2010-02-16 22:25:11 ----A---- C:\Windows\system32\ie4uinit.exe 2010-02-16 22:25:10 ----A---- C:\Windows\system32\urlmon.dll 2010-02-16 22:25:10 ----A---- C:\Windows\system32\ieUnatt.exe 2010-02-16 22:25:10 ----A---- C:\Windows\system32\iesysprep.dll 2010-02-16 22:25:10 ----A---- C:\Windows\system32\iertutil.dll 2010-02-16 22:25:10 ----A---- C:\Windows\system32\iedkcs32.dll 2010-02-16 22:25:08 ----A---- C:\Windows\system32\ieframe.dll 2010-02-16 22:25:07 ----A---- C:\Windows\system32\mshtml.dll 2010-02-16 22:22:01 ----A---- C:\Windows\system32\mshtmled.dll 2010-02-16 22:22:01 ----A---- C:\Windows\system32\icardie.dll 2010-02-16 22:22:00 ----A---- C:\Windows\system32\msls31.dll 2010-02-16 22:22:00 ----A---- C:\Windows\system32\mshtmler.dll 2010-02-16 22:22:00 ----A---- C:\Windows\system32\corpol.dll 2010-02-16 22:22:00 ----A---- C:\Windows\system32\admparse.dll 2010-02-16 22:21:59 ----A---- C:\Windows\system32\imgutil.dll 2010-02-16 22:21:59 ----A---- C:\Windows\system32\ieakeng.dll 2010-02-16 22:21:59 ----A---- C:\Windows\system32\dxtmsft.dll 2010-02-16 22:21:58 ----A---- C:\Windows\system32\msrating.dll 2010-02-16 22:21:58 ----A---- C:\Windows\system32\licmgr10.dll 2010-02-16 22:21:58 ----A---- C:\Windows\system32\inseng.dll 2010-02-16 22:21:58 ----A---- C:\Windows\system32\ieaksie.dll 2010-02-16 22:21:58 ----A---- C:\Windows\system32\dxtrans.dll 2010-02-16 22:21:57 ----A---- C:\Windows\system32\WinFXDocObj.exe 2010-02-16 22:21:57 ----A---- C:\Windows\system32\wextract.exe 2010-02-16 22:21:57 ----A---- C:\Windows\system32\webcheck.dll 2010-02-16 22:21:57 ----A---- C:\Windows\system32\ieakui.dll 2010-02-16 22:21:56 ----A---- C:\Windows\system32\pngfilt.dll 2010-02-16 22:21:56 ----A---- C:\Windows\system32\mstime.dll 2010-02-16 22:21:56 ----A---- C:\Windows\system32\advpack.dll 2010-02-16 22:21:55 ----A---- C:\Windows\system32\ieapfltr.dll 2010-02-16 22:21:54 ----A---- C:\Windows\system32\vbscript.dll 2010-02-16 22:21:54 ----A---- C:\Windows\system32\url.dll 2010-02-16 22:21:54 ----A---- C:\Windows\system32\jscript.dll 2010-02-16 22:21:52 ----A---- C:\Windows\system32\mshta.exe 2010-02-16 22:21:52 ----A---- C:\Windows\system32\iexpress.exe 2010-02-16 22:21:51 ----A---- C:\Windows\system32\SetIEInstalledDate.exe 2010-02-16 22:21:51 ----A---- C:\Windows\system32\SetDepNx.exe 2010-02-16 22:21:51 ----A---- C:\Windows\system32\RegisterIEPKEYs.exe 2010-02-16 22:21:51 ----A---- C:\Windows\system32\PDMSetup.exe 2010-02-16 21:56:57 ----D---- C:\Users\***\AppData\Roaming\Malwarebytes 2010-02-16 21:56:50 ----D---- C:\ProgramData\Malwarebytes 2010-02-16 21:56:50 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2010-02-16 21:42:29 ----D---- C:\Program Files\CCleaner 2010-02-10 08:35:28 ----A---- C:\Windows\system32\ntoskrnl.exe 2010-02-10 08:35:28 ----A---- C:\Windows\system32\ntkrnlpa.exe 2010-02-10 08:35:19 ----A---- C:\Windows\system32\quartz.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\tsbyuv.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\msyuv.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\msvidc32.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\msrle32.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\mciavi32.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\iyuv_32.dll 2010-02-10 08:35:18 ----A---- C:\Windows\system32\avicap32.dll 2010-02-10 08:35:17 ----A---- C:\Windows\system32\msvfw32.dll 2010-02-10 08:35:17 ----A---- C:\Windows\system32\avifil32.dll 2010-02-08 14:03:44 ----D---- C:\Users\***\AppData\Roaming\Xfire 2010-02-08 14:03:42 ----SD---- C:\Program Files\Xfire 2010-02-08 13:55:07 ----D---- C:\Program Files\THQ 2010-01-20 17:49:52 ----D---- C:\Users\***\AppData\Roaming\TrojanHunter 2010-01-20 13:55:25 ----R---- C:\Windows\system32\streamhlp.dll 2010-01-20 13:55:25 ----D---- C:\Program Files\TrojanHunter 5.2 2010-01-20 13:37:36 ----SHD---- C:\Users\***\AppData\Roaming\SystemProc ======List of files/folders modified in the last 1 months====== 2010-02-17 09:53:43 ----D---- C:\Windows\Prefetch 2010-02-17 09:53:34 ----D---- C:\Windows\Temp 2010-02-17 09:53:30 ----RD---- C:\Program Files 2010-02-17 09:51:39 ----D---- C:\Program Files\Mozilla Firefox 2010-02-17 09:50:46 ----D---- C:\Windows\Debug 2010-02-17 09:50:46 ----D---- C:\Windows 2010-02-17 09:40:55 ----A---- C:\sysiclog.txt 2010-02-16 23:42:11 ----D---- C:\Windows\system32\drivers 2010-02-16 23:42:11 ----D---- C:\Windows\de-DE 2010-02-16 23:38:50 ----D---- C:\Windows\system32\migration 2010-02-16 23:38:50 ----D---- C:\Windows\System32 2010-02-16 23:38:50 ----D---- C:\Program Files\Internet Explorer 2010-02-16 23:38:48 ----D---- C:\Windows\system32\de-DE 2010-02-16 23:38:44 ----D---- C:\Windows\system32\en-US 2010-02-16 23:38:44 ----D---- C:\Windows\PolicyDefinitions 2010-02-16 22:26:42 ----D---- C:\Windows\winsxs 2010-02-16 22:26:40 ----D---- C:\Windows\system32\catroot 2010-02-16 22:25:57 ----D---- C:\Windows\system32\catroot2 2010-02-16 22:20:57 ----SHD---- C:\System Volume Information 2010-02-16 22:16:40 ----D---- C:\Windows\nap 2010-02-16 21:56:50 ----HD---- C:\ProgramData 2010-02-16 21:49:49 ----D---- C:\Windows\Minidump 2010-02-15 23:23:29 ----D---- C:\Users\***\AppData\Roaming\Skype 2010-02-15 23:19:02 ----D---- C:\Users\***\AppData\Roaming\skypePM 2010-02-15 20:27:41 ----HD---- C:\Program Files\InstallShield Installation Information 2010-02-13 14:31:58 ----D---- C:\Windows\inf 2010-02-13 14:31:58 ----A---- C:\Windows\system32\PerfStringBackup.INI 2010-02-07 13:12:19 ----D---- C:\Users\***\AppData\Roaming\vlc 2010-02-06 19:01:46 ----D---- C:\*** 2010-02-05 05:29:32 ----SHD---- C:\Windows\Installer 2010-02-05 05:28:58 ----D---- C:\Program Files\Google 2010-02-01 11:26:22 ----A---- C:\Windows\system32\mrt.exe 2010-01-24 21:33:36 ----D---- C:\Users\***\AppData\Roaming\dvdcss ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 lenovo.smi;Lenovo System Interface Driver; C:\Windows\system32\DRIVERS\smiif32.sys [2008-05-12 13480] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 TPPWRIF;TPPWRIF; C:\Windows\System32\drivers\Tppwr32v.sys [2008-10-26 12080] R2 ASMMAP;ASMMAP; \??\C:\Program Files\Lenovo\ATK Hotkey\ASMMAP.sys [2007-07-24 13880] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-07 56816] R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-18 12672] R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2008-02-15 46592] R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-07-30 43008] R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-07-30 38400] R2 tvtfilter;tvtfilter; C:\Windows\system32\DRIVERS\tvtfilter.sys [2009-08-10 33536] R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2007-10-18 8704] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208] R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\CHDRT32.sys [2008-09-18 251392] R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2008-03-25 980992] R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2008-03-25 207872] R3 IBMPMDRV;IBMPMDRV; C:\Windows\system32\DRIVERS\ibmpmdrv.sys [2008-05-14 22312] R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-10-28 2476544] R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI; C:\Windows\system32\drivers\IntcHdmi.sys [2008-09-21 112128] R3 MTsensor;ATK0101 ACPI UTILITY; C:\Windows\system32\DRIVERS\A0101V32.sys [2006-12-14 7680] R3 MUXMP;My WiFi PAN MUX-IM Virtual Miniport Driver; C:\Windows\system32\DRIVERS\mux.sys [2009-02-18 30768] R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit; C:\Windows\system32\DRIVERS\NETw5v32.sys [2009-03-04 4232704] R3 psadd;Lenovo Parties Service Access Device Driver; C:\Windows\system32\DRIVERS\psadd.sys [2009-08-10 30144] R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2008-04-15 118784] R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-07-17 89088] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-04-10 199728] R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016] R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2008-03-25 661504] S1 tvtumon;tvtumon; C:\Windows\system32\DRIVERS\tvtumon.sys [2008-07-11 48192] S3 AVMUNET;Eumex 300 IP; C:\Windows\system32\DRIVERS\avmunet.sys [2005-03-02 15104] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632] S3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\Windows\system32\DRIVERS\e1e6032.sys [2008-01-21 220672] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2008-01-21 200704] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016] S3 MUXP;My WiFi PAN Mux-IM Protocol Driver; C:\Windows\system32\DRIVERS\mux.sys [2009-02-18 30768] S3 SNP2UVC;USB2.0 PC Camera (SNP2UVC); C:\Windows\system32\DRIVERS\snp2uvc.sys [2007-10-01 9632128] S3 TPM;TPM; C:\Windows\system32\drivers\tpm.sys [2008-01-21 45624] S3 WimFltr;WimFltr; C:\Windows\system32\DRIVERS\wimfltr.sys [2009-01-04 128104] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328] S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656] S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616] S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AcPrfMgrSvc;Ac Profile Manager Service; C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe [2009-04-03 124192] R2 AcSvc;Access Connections Main Service; C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe [2009-04-03 238880] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 ASLDRService;ASLDR Service; C:\Program Files\Lenovo\ATK Hotkey\ASLDRSrv.exe [2007-10-02 94208] R2 ATKGFNEXSrv;ATKGFNEX Service; C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe [2007-10-30 94208] R2 EvtEng;Intel(R) PROSet/Wireless Event Log; C:\Program Files\Intel\WiFi\bin\EvtEng.exe [2009-02-27 870672] R2 IBMPMSVC;ThinkPad PM Service for SL Series; C:\Windows\system32\ibmpmsvc.exe [2008-05-14 36128] R2 IviRegMgr;IviRegMgr; C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe [2007-01-04 112152] R2 LFKAS;Service of LFKA; C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe [2008-03-19 208896] R2 Power Manager DBC Service;Power Manager DBC Service; C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE [2008-10-26 66848] R2 RegSrvc;Intel(R) PROSet/Wireless Registry Service; C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe [2009-02-27 473360] R2 SUService;System Update; c:\Program Files\Lenovo\System Update\SUService.exe [2008-05-24 32768] R2 ThinkVantage Registry Monitor Service;ThinkVantage Registry Monitor Service; c:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe [2008-06-13 746808] R2 TPHDEXLGSVC;ThinkPad HDD APS Logging Service; C:\Windows\System32\TPHDEXLG.exe [2008-05-14 37416] R2 TPHKSVC;Anzeige am Bildschirm; C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe [2008-08-08 53325] R2 TSSCoreService;TSS Core Service; C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe [2008-06-13 779576] R2 TVT Backup Protection Service;TVT Backup Protection Service; C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe [2008-05-24 520192] R2 TVT Backup Service;TVT Backup Service; C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe [2008-05-24 950272] R2 TVT Scheduler;TVT Scheduler; c:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe [2008-05-24 1155072] R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2007-10-18 386560] S2 gupdate;Google Update Service (gupdate); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-10-10 133104] S2 Roxio Upnp Server 10;Roxio Upnp Server 10; C:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe [2008-04-25 362992] S2 RoxLiveShare10;LiveShare P2P Server 10; C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [2008-04-25 309744] S2 RoxWatch10;Roxio Hard Drive Watcher 10; C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe [2008-04-25 166384] S2 SessionLauncher;SessionLauncher; C:\Users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe [] S2 SQLWriter;SQL Server VSS Writer; c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2007-02-10 89968] S2 TVT_UpdateMonitor;TVT Windows Update Monitor; C:\Program Files\Lenovo\Rescue and Recovery\UpdateMonitor.exe [2008-10-09 360448] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 MyWiFiDHCPDNS;Wireless PAN DHCP Server; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [2009-02-27 211216] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10; C:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2008-04-25 313840] S3 RoxMediaDB10;RoxMediaDB10; C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [2008-04-25 1120752] S3 stllssvr;stllssvr; C:\Program Files\Common Files\SureThing Shared\stllssvr.exe [2008-03-24 74384] S3 UPnPService;UPnPService; C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768] -----------------EOF----------------- Schon einmal vielen Dank und einen, soweit möglich, schönen Achermittwoch. Mit freundlichen Grüßen skar |
|
17.02.2010, 21:17
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Dropper.Gen in C:\autoexec.exe und ... Hallo und
__________________ Ich vermute die Infektion kommt durch infizierte USB-Sticks. Die Autorun-Funktion wird oft von Schädlingen missbraucht, um die Schädlinge automatisch nach dem Einstecken zu starten, da die meisten Benutzer Adminrechte haben, ist die Infektion auch fast immer erfolgreich....  Du hast mit Malwarebytes und Co schon viel weggeräumt, daher denke ich wär es an der Zeit für CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ |
|
17.02.2010, 23:05
| #3 |
| | TR/Dropper.Gen in C:\autoexec.exe und ... Danke für die freundliche Begrüßung!
__________________Hier ist der logfile von combofix! Allerdings musste ich den Rechner neustarten um wieder einen Browser starten zu können, nachdem combofix mir den logfile ausgespuckt hat...Ich hoffe, das ist kein schlechtes Omen! Liebe Grüße, Skar edit: Was mir grad noch einfällt: Hätte ich die USB Speichergeräte während des Scans anschließen sollen? ComboFix 10-02-12.01 - User 17.02.2010 22:36:18.1.2 - x86 Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.49.1031.18.2013.1060 [GMT 1:00] ausgeführt von:: c:\users\User\Desktop\cofi.exe.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-3710315528-3666460402-1358917083-500 c:\users\***\AppData\Roaming\Desktopicon c:\users\***\AppData\Roaming\Desktopicon\eBay.ico c:\users\***\AppData\Roaming\Desktopicon\uninst.exe c:\users\***\AppData\Roaming\SystemProc c:\windows\system32\Thumbs.db Q:\AUTORUN.INF S:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2010-01-17 bis 2010-02-17 )))))))))))))))))))))))))))))) . 2010-02-17 12:46 . 2010-02-17 12:47 -------- d-----w- c:\windows\system32\ca-ES 2010-02-17 12:46 . 2010-02-17 12:47 -------- d-----w- c:\windows\system32\eu-ES 2010-02-17 12:46 . 2010-02-17 12:46 -------- d-----w- c:\windows\system32\vi-VN 2010-02-17 12:16 . 2010-02-17 12:16 -------- d-----w- c:\windows\system32\EventProviders 2010-02-17 08:53 . 2010-02-17 08:53 -------- d-----w- C:\rsit 2010-02-17 08:53 . 2010-02-17 08:53 -------- d-----w- c:\program files\trend micro 2010-02-16 21:22 . 2009-03-08 11:33 18944 ----a-w- c:\windows\system32\corpol.dll 2010-02-16 21:22 . 2009-03-08 11:32 72704 ----a-w- c:\windows\system32\admparse.dll 2010-02-16 21:22 . 2009-03-08 11:31 48128 ----a-w- c:\windows\system32\mshtmler.dll 2010-02-16 21:22 . 2009-03-08 11:22 156160 ----a-w- c:\windows\system32\msls31.dll 2010-02-16 20:56 . 2010-02-16 20:56 -------- d-----w- c:\users\User\AppData\Roaming\Malwarebytes 2010-02-16 20:56 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-16 20:56 . 2010-02-16 20:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-16 20:56 . 2010-02-16 20:56 -------- d-----w- c:\programdata\Malwarebytes 2010-02-16 20:56 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-16 20:42 . 2010-02-16 20:42 -------- d-----w- c:\program files\CCleaner 2010-02-08 13:03 . 2010-02-08 13:03 -------- d-----w- c:\users\User\AppData\Roaming\Xfire 2010-02-08 13:03 . 2010-02-08 13:03 -------- d-s---w- c:\program files\Xfire 2010-02-08 12:55 . 2010-02-08 12:55 -------- d-----w- c:\program files\THQ 2010-01-20 16:49 . 2010-01-20 16:49 -------- d-----w- c:\users\User\AppData\Roaming\TrojanHunter 2010-01-20 12:55 . 2010-02-16 20:34 -------- d-----w- c:\program files\TrojanHunter 5.2 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-17 13:34 . 2009-11-10 09:46 1 ----a-w- c:\users\User\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-02-17 12:58 . 2008-04-15 15:02 618442 ----a-w- c:\windows\system32\perfh007.dat 2010-02-17 12:58 . 2008-04-15 15:02 122842 ----a-w- c:\windows\system32\perfc007.dat 2010-02-17 12:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Calendar 2010-02-17 12:47 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-02-17 12:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Sidebar 2010-02-17 12:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Collaboration 2010-02-17 12:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Photo Gallery 2010-02-17 12:47 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Defender 2010-02-17 12:46 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat 2010-02-15 22:23 . 2009-10-09 18:46 -------- d-----w- c:\users\***\AppData\Roaming\Skype 2010-02-15 22:19 . 2009-10-09 18:47 -------- d-----w- c:\users\***\AppData\Roaming\skypePM 2010-02-15 19:27 . 2009-08-10 18:38 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-02-07 12:12 . 2009-11-28 21:30 -------- d-----w- c:\users\***\AppData\Roaming\vlc 2010-02-05 04:28 . 2009-10-10 18:03 -------- d-----w- c:\program files\Google 2010-01-24 20:33 . 2009-12-07 21:50 -------- d-----w- c:\users\***\AppData\Roaming\dvdcss 2010-01-14 10:12 . 2009-10-10 10:51 181120 ------w- c:\windows\system32\MpSigStub.exe 2010-01-09 01:19 . 2010-01-09 01:19 -------- d-----w- c:\program files\Veetle 2010-01-07 20:44 . 2009-10-11 17:24 -------- d-----w- c:\program files\ICQ6.5 2010-01-06 11:08 . 2010-01-10 23:09 57856 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\components\coolirisstub.dll 2010-01-06 11:08 . 2010-01-10 23:09 545280 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe 2010-01-06 11:08 . 2010-01-10 23:09 4726272 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\libs\cooliris190.dll 2010-01-06 11:08 . 2010-01-10 23:09 4725760 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\libs\cooliris192.dll 2010-01-06 11:08 . 2010-01-10 23:09 344064 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe 2010-01-06 11:08 . 2010-01-10 23:09 153600 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll 2010-01-06 11:08 . 2010-01-10 23:09 103424 ----a-w- c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\libs\pixomatic.dll 2010-01-02 15:44 . 2009-10-05 12:29 132760 ----a-w- c:\users\***\AppData\Local\GDIPFONTCACHEV1.DAT 2010-01-02 06:38 . 2010-02-16 21:25 916480 ----a-w- c:\windows\system32\wininet.dll 2010-01-02 06:32 . 2010-02-16 21:25 71680 ----a-w- c:\windows\system32\iesetup.dll 2010-01-02 06:32 . 2010-02-16 21:25 109056 ----a-w- c:\windows\system32\iesysprep.dll 2010-01-02 04:57 . 2010-02-16 21:25 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2009-12-24 15:07 . 2009-12-24 12:13 -------- d-----w- c:\programdata\MAGIX 2009-12-24 15:07 . 2009-12-24 15:07 -------- d-----w- c:\program files\Common Files\MAGIX Shared 2009-12-24 15:06 . 2009-12-24 12:13 -------- d-----w- c:\program files\MAGIX 2009-12-11 11:43 . 2010-02-10 07:35 302080 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-11 11:43 . 2010-02-10 07:35 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys 2009-12-08 20:01 . 2010-02-10 07:35 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys 2009-12-08 20:01 . 2010-02-10 07:35 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-12-08 20:01 . 2010-02-10 07:35 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-12-08 17:26 . 2010-02-10 07:35 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys 2009-12-07 21:46 . 2009-10-09 18:12 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-04 18:30 . 2010-02-10 07:35 12288 ----a-w- c:\windows\system32\tsbyuv.dll 2009-12-04 18:29 . 2010-02-10 07:35 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-04 18:28 . 2010-02-10 07:35 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-04 18:28 . 2010-02-10 07:35 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-04 18:28 . 2010-02-10 07:35 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-04 18:28 . 2010-02-10 07:35 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-04 18:28 . 2010-02-10 07:35 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-04 18:28 . 2010-02-10 07:35 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-04 18:27 . 2010-02-10 07:35 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-04 15:56 . 2010-02-10 07:35 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2009-12-04 15:56 . 2010-02-10 07:35 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-08-11 04:12 . 2009-08-11 04:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-10 1045800] "TpShocks"="TpShocks.exe" [2008-06-06 181536] "LPManager"="c:\progra~1\Lenovo\LENOVO~2\LPMGR.exe" [2008-06-08 165208] "LPMailChecker"="c:\progra~1\Lenovo\LENOVO~2\LPMLCHK.exe" [2008-06-08 124248] "CameraApplicationLauncher"="c:\program files\Lenovo\Camera Center\bin\CameraApplicationLaunchpadLauncher.exe" [2009-02-02 16384] "PWMTRV"="c:\progra~1\ThinkPad\UTILIT~1\PWMTR32V.DLL" [2008-10-26 632096] "CreateLMBCShortCut"="c:\program files\Lenovo\Mobile Broadband Connect\UserShortcutCreator.exe" [2009-04-03 40960] "ACTray"="c:\program files\ThinkPad\ConnectUtilities\ACTray.exe" [2009-04-03 435488] "ACWlIcon"="c:\program files\ThinkPad\ConnectUtilities\ACWlIcon.exe" [2009-04-03 165152] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "CTCheck"="c:\program files\Creative\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-10 149280] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792] "snp2uvc"="c:\windows\vsnp2uvc.exe" [2007-07-11 569344] c:\users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AMSG] 2007-02-01 18:00 419376 ----a-w- c:\program files\ThinkVantage\AMSG\Amsg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG] 2008-10-26 17:37 214576 ------w- c:\progra~1\ThinkPad\UTILIT~1\BTVLOGEX.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth] 2008-06-25 10:14 3077432 ----a-w- c:\program files\Lenovo\Client Security Solution\cssauth.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP] 2008-06-04 17:36 242976 ------w- c:\progra~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds] 2008-11-05 05:07 178712 ----a-w- c:\windows\System32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray] 2008-11-05 05:08 150040 ----a-w- c:\windows\System32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless] 2009-02-27 04:40 1202448 ----a-w- c:\program files\Common Files\Intel\WirelessCommon\iFrmewrk.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence] 2008-11-05 05:08 154136 ----a-w- c:\windows\System32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray] 2008-04-25 06:15 244208 ----a-w- c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2uvc] 2007-07-11 13:31 569344 ----a-w- c:\windows\vsnp2uvc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-11-10 09:39 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPFNF7] 2008-07-30 19:00 60192 ------w- c:\program files\Lenovo\NPDIRECT\tpfnf7sp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY] 2008-03-24 01:15 64368 ----a-w- c:\program files\Lenovo\HOTKEY\LVOSDSVC.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVT Scheduler Proxy] 2008-05-24 14:49 487424 ----a-w- c:\program files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "VistaSp2"=hex(b):0b,35,da,48,d0,af,ca,01 R0 TPDIGIMN;TPDIGIMN;c:\windows\System32\drivers\ApsHM86.sys [14.05.2008 15:21 19496] R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\System32\drivers\smiif32.sys [20.05.2008 03:12 13480] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [09.10.2009 19:12 108289] R2 LFKAS;Service of LFKA;c:\program files\Lenovo\ATK Hotkey\LFKAS.exe [10.08.2009 19:57 208896] R2 Power Manager DBC Service;Power Manager DBC Service;c:\program files\ThinkPad\Utilities\PWMDBSVC.exe [10.08.2009 19:58 66848] R2 TPHKSVC;Anzeige am Bildschirm;c:\program files\Lenovo\HOTKEY\TPHKSVC.exe [24.09.2008 03:20 53325] R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\program files\Lenovo\Rescue and Recovery\rrpservice.exe [24.05.2008 15:17 520192] R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\System32\drivers\IntcHdmi.sys [10.08.2009 19:43 112128] R3 MUXMP;My WiFi PAN MUX-IM Virtual Miniport Driver;c:\windows\System32\drivers\mux.sys [18.02.2009 05:08 30768] R3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\System32\drivers\NETw5v32.sys [04.03.2009 09:49 4232704] S1 tvtumon;tvtumon;c:\windows\System32\drivers\tvtumon.sys [10.08.2009 20:06 48192] S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10.10.2009 19:04 133104] S2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files\Roxio\Digital Home 10\RoxioUpnpService10.exe [25.04.2008 07:18 362992] S2 RoxLiveShare10;LiveShare P2P Server 10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [25.04.2008 07:16 309744] S2 RoxWatch10;Roxio Hard Drive Watcher 10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe [25.04.2008 07:15 166384] S2 SessionLauncher;SessionLauncher;c:\users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe --> c:\users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe [?] S2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\program files\Lenovo\Rescue and Recovery\UpdateMonitor.exe [24.05.2008 14:28 360448] S3 AVMUNET;Eumex 300 IP;c:\windows\System32\drivers\avmunet.sys [21.12.2009 18:10 15104] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [24.12.2009 15:59 1527900] S3 MUXP;My WiFi PAN Mux-IM Protocol Driver;c:\windows\System32\drivers\mux.sys [18.02.2009 05:08 30768] S3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [27.02.2009 06:52 211216] S3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [25.04.2008 07:18 313840] S3 RoxMediaDB10;RoxMediaDB10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [25.04.2008 07:15 1120752] S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [24.12.2009 16:07 544768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc . Inhalt des "geplante Tasks" Ordners 2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-10 18:04] 2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-10 18:04] 2010-01-31 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job - c:\program files\PCDR5\pcdr5cuiw32.exe [2008-12-12 23:32] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://lenovo.live.com IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: {D6FD34A3-AF1A-4543-88CC-B91DDCE3288F} = 0.0.0.0 FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\ FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - component: c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\components\coolirisstub.dll FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\program files\Veetle\Player\npvlc.dll FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll FF - plugin: c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - plugin: c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\vqr9ztjx.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-eBay Icon - c:\users\User\AppData\Roaming\Desktopicon\uninst.exe ************************************************************************** Scanne versteckte Prozesse... XW‚ÞrÊW‚Þs¬X‚ [755127518] 0x00790079 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\program files\Lenovo\ATK Hotkey\ASLDRSrv.exe c:\program files\Lenovo\ATK Hotkey\GFNEXSrv.exe c:\windows\system32\WLANExt.exe c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Intel\WiFi\bin\EvtEng.exe c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe c:\windows\System32\TPHDEXLG.exe c:\program files\Lenovo\Client Security Solution\tvttcsd.exe c:\program files\Lenovo\Rescue and Recovery\rrservice.exe c:\program files\Common Files\Lenovo\Scheduler\tvtsched.exe c:\windows\system32\DRIVERS\xaudio.exe c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe c:\program files\Lenovo\System Update\SUService.exe c:\program files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe c:\windows\servicing\TrustedInstaller.exe c:\program files\Lenovo\ATK Hotkey\LCONTROL.exe c:\program files\Lenovo\ATK Hotkey\LFKA.exe c:\windows\system32\conime.exe c:\windows\System32\TpShocks.exe c:\program files\Lenovo\LenovoCare\LPMGR.EXE c:\program files\Lenovo\LenovoCare\LPMLCHK.EXE c:\windows\System32\rundll32.exe c:\program files\OpenOffice.org 3\program\soffice.exe c:\program files\Synaptics\SynTP\SynTPLpr.exe c:\program files\OpenOffice.org 3\program\soffice.bin c:\program files\Lenovo\Camera Center\bin\LenovoCameraCenter.exe c:\program files\Synaptics\SynTP\SynTPHelper.exe c:\program files\Common Files\Lenovo\tvt_reg_monitor_svc.exe c:\progra~1\ThinkPad\UTILIT~1\PWMUIAux.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-02-17 22:53:12 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-02-17 21:52 Vor Suchlauf: 13 Verzeichnis(se), 145.232.580.608 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 145.045.913.600 Bytes frei - - End Of File - - C52771397D60A81100E297BC18A87563 Geändert von skar (17.02.2010 um 23:13 Uhr) |
|
18.02.2010, 08:57
| #5 |
| | TR/Dropper.Gen in C:\autoexec.exe und ... Okay....hier das GMER log. Wünsch dir einen schönen Tag! GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-18 08:45:10 Windows 6.0.6002 Service Pack 2 Running: 2ntmcvdr.exe; Driver: C:\Users\***\AppData\Local\Temp\uwrdypog.sys ---- System - GMER 1.0.15 ---- SSDT ACE452FC ZwCreateThread SSDT ACE452E8 ZwOpenProcess SSDT ACE452ED ZwOpenThread SSDT ACE452F7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!KeSetEvent + 221 81EB8984 4 Bytes [FC, 52, E4, AC] {CLD ; PUSH EDX; IN AL, 0xac} .text ntkrnlpa.exe!KeSetEvent + 3F1 81EB8B54 4 Bytes CALL 80986FAB .text ntkrnlpa.exe!KeSetEvent + 40D 81EB8B70 4 Bytes [ED, 52, E4, AC] {IN EAX, DX; PUSH EDX; IN AL, 0xac} .text ntkrnlpa.exe!KeSetEvent + 621 81EB8D84 4 Bytes [F7, 52, E4, AC] {NOT DWORD [EDX-0x1c]; LODSB } ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) ---- Files - GMER 1.0.15 ---- File C:\RRbackups\common 0 bytes File C:\RRbackups\common\bmgrmode.dat 29 bytes File C:\RRbackups\common\css.dat 8192 bytes File C:\RRbackups\common\hints.dat 8192 bytes File C:\RRbackups\common\mnd.dat 8192 bytes File C:\RRbackups\common\regcerts.dat 8192 bytes File C:\RRbackups\common\restore.log 110 bytes File C:\RRbackups\common\rr.log 45977 bytes File C:\RRbackups\common\rr_bcdenum.dat 4392 bytes File C:\RRbackups\common\SAM 262144 bytes File C:\RRbackups\common\seccache.dat 8192 bytes File C:\RRbackups\common\secpolicy.dat 24576 bytes File C:\RRbackups\common\settings.dat 32768 bytes File C:\RRbackups\common\system.dat 12288 bytes File C:\RRbackups\common\tvtcmn.dat 8192 bytes File C:\RRbackups\common\usersids.dat 11440 bytes File C:\RRbackups\Documents and Settings 0 bytes File C:\RRbackups\Documents and Settings\Administrator 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3710315528-3666460402-1358917083-500 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\CREDHIST 24 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-2269395964-3629036801-3450486125-500 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-2269395964-3629036801-3450486125-500\45a22690-2945-4572-b508-aa3a2e38a0f1 388 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-2269395964-3629036801-3450486125-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-500 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-500\76ec8e72-59a2-4c45-9855-07eb4f8e8013 388 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-500\Preferred 24 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\Documents and Settings\User 0 bytes File C:\RRbackups\Documents and Settings\User\AppData 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Lenovo 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Lenovo\Client Security Solution 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3710315528-3666460402-1358917083-1003 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3710315528-3666460402-1358917083-1003\6b29ae44e85efac3c72ff4d1865d73f1_07e28850-a0f1-41a2-b12e-67ec0fe56877 53 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3710315528-3666460402-1358917083-1003\83aa4cc77f591dfc2374580bbd95f6ba_07e28850-a0f1-41a2-b12e-67ec0fe56877 45 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3710315528-3666460402-1358917083-1003\8f71098770f72c7a67cd8f1151619865_07e28850-a0f1-41a2-b12e-67ec0fe56877 54 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3710315528-3666460402-1358917083-1003\f58155b4b1d5a524ca0261c3ee99fb50_07e28850-a0f1-41a2-b12e-67ec0fe56877 1765 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Protect 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Protect\CREDHIST 160 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-1003 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-1003\30faf882-5eae-437e-9f4c-11c81b30b7d6 388 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-1003\e27f96d1-fdd3-4c2a-9b6b-1da41f3fb874 388 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\Protect\S-1-5-21-3710315528-3666460402-1358917083-1003\Preferred 24 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\SystemCertificates 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\SystemCertificates\My 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs 0 bytes File C:\RRbackups\Documents and Settings\User\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs 0 bytes File C:\RRbackups\ProgramData 0 bytes File C:\RRbackups\ProgramData\Lenovo 0 bytes File C:\RRbackups\ProgramData\Lenovo\Client Security Solution 0 bytes File C:\RRbackups\ProgramData\Microsoft 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\MachineKeys 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 0 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\8f71098770f72c7a67cd8f1151619865_07e28850-a0f1-41a2-b12e-67ec0fe56877 54 bytes File C:\RRbackups\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_07e28850-a0f1-41a2-b12e-67ec0fe56877 915 bytes ---- EOF - GMER 1.0.15 ---- |
|
18.02.2010, 15:57
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Dropper.Gen in C:\autoexec.exe und ...Zitat:
__________________ --> TR/Dropper.Gen in C:\autoexec.exe und ... |
|
18.02.2010, 18:27
| #7 |
| | TR/Dropper.Gen in C:\autoexec.exe und ... Guten Abend! Hier habe ich jetzt leider ein Problem: ich finde den Ordner C:\RRbackups nicht. Habe auch noch 'versteckte Dateien anzeigen' eingestellt. Das find ich jetzt auch sehr merkwürdig, weil der GMER die Datei ja gefunden hat. Werd nochmal weitersuchen! |
|
18.02.2010, 18:56
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Dropper.Gen in C:\autoexec.exe und ... Dann lass den Ordner einfach so sein. Ich vermute das ist ein Spezialordner von Lenovo. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
18.02.2010, 20:10
| #9 |
| | TR/Dropper.Gen in C:\autoexec.exe und ... Das Programm hat nichts mehr gefunden. Nichtsdestotrotz hier noch das Log. Ich bedanke mich dann schonmal! Echt supernett, dass ihr unentgeltlich anderen Leuten helft! Ist auch echt interessant. Ich werde, wenn ich es zeitlich einrichten kann, demnächst mal ab und zu vorbeigucken. Bis dann! Skar Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3756 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18882 18.02.2010 20:05:14 mbam-log-2010-02-18 (20-05-14).txt Scan-Methode: Vollständiger Scan (C:\|E:\|Q:\|S:\|) Durchsuchte Objekte: 293784 Laufzeit: 59 minute(s), 35 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
| Themen zu TR/Dropper.Gen in C:\autoexec.exe und ... |
| .com, 0 bytes, 32-bit, antivir, antivir guard, avgntflt.sys, bho, browser, content.ie5, converter, desktop, device driver, diagnostics, druck, error, excel, festplatte, firefox, flash player, gupdate, hdaudio.sys, home, lenovo, local\temp, logfile, m.exe, magix, malware.packer, malware.trace, mp3, msiexec.exe, notepad.exe, notification, nt.dll, office 2007, plug-in, problem, programdata, proxy, registrierungsschlüssel, scan, security, server, service pack 1, software, start menu, suchlauf, thinkvantage registry monitor service, trojan.swisyn, trojaner, tunnel, updates, usbvideo.sys, viren, windows, wscript.exe |
Linear-Darstellung
