TDSS-Rootkit entfernen - wie?

Sakurafreak · 28.02.2010, 15:40

Hallo,

ich habe interessehalber mal GMER laufen lassen, welcher mir folgendes Logfile ausspuckte:

Zitat:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-28 14:00:21
Windows 5.1.2600 Service Pack 3
Running: 6xc7eqg0.exe; Driver: C:\DOKUME~1\user\LOKALE~1\Temp\uggorkoc.sys

---- System - GMER 1.0.15 ----

SSDT F7CFE83E ZwCreateKey
SSDT F7CFE834 ZwCreateThread
SSDT F7CFE843 ZwDeleteKey
SSDT F7CFE84D ZwDeleteValueKey
SSDT F7CFE852 ZwLoadKey
SSDT F7CFE820 ZwOpenProcess
SSDT F7CFE825 ZwOpenThread
SSDT F7CFE85C ZwReplaceKey
SSDT F7CFE857 ZwRestoreKey
SSDT F7CFE848 ZwSetValueKey
SSDT F7CFE82F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2410 80501C48 4 Bytes CALL 645B141C
.text ntkrnlpa.exe!ZwCallbackReturn + 2440 80501C78 4 Bytes CALL 518F144C
.text ntkrnlpa.exe!ZwCallbackReturn + 2468 80501CA0 4 Bytes CALL 2D211474
.text ntkrnlpa.exe!ZwCallbackReturn + 2470 80501CA8 4 Bytes CALL 6513147C
.text ntkrnlpa.exe!ZwCallbackReturn + 24F4 80501D2C 4 Bytes CALL 418F1500
.text ...

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs EBC25400

---- Services - GMER 1.0.15 ----

Service system32\drivers\TDSSpaxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpaxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpaxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoeqh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSosvn.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfub.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSfpmp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsbhc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpaxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpaxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoeqh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSosvn.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfub.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSfpmp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsbhc.dll

---- EOF - GMER 1.0.15 ----

Im Anhang MBAM und RSIT Logs.

Danke schonmal für die Hilfe

Larusso · 28.02.2010, 16:04

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code:

ATTFilter

deine Logfile

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

schritt 3

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte poste in Deiner nächsten Antwort
Combofix Logfile

Sakurafreak · 05.03.2010, 20:44

Hey Larusso,

sorry das es so lange gedauert hat, hatte die letzte Zeit viel um die Ohren.

Hier das Combofix Logfile:

Zitat:

ComboFix 10-03-04.06 - user 05.03.2010 20:16:00.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.383.174 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\wura.inf
C:\Dokumente und Einstellungen\user\Anwendungsdaten\xoraxuzasi.reg
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\vumaqisi.vbs
C:\Programme\\setup.exe
C:\Programme\Gemeinsame Dateien\oredy.vbs
C:\WINDOWS\Downloaded Program Files\popcaploader.inf
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\iebho00.dll
C:\WINDOWS\system32\iebho02.dll
C:\WINDOWS\system32\iebho04.dll
C:\WINDOWS\system32\iebho05.dll
C:\WINDOWS\system32\iebho06.dll
C:\WINDOWS\system32\iebho07.dll
C:\WINDOWS\system32\iebho08.dll
C:\WINDOWS\system32\iebho0A.dll
C:\WINDOWS\system32\iebho0B.dll
C:\WINDOWS\system32\iebho0C.dll
C:\WINDOWS\system32\iebho0D.dll
C:\WINDOWS\system32\iebho0E.dll
C:\WINDOWS\system32\iebho0F.dll
C:\WINDOWS\system32\iebho11.dll
C:\WINDOWS\system32\iebho12.dll
C:\WINDOWS\system32\iebho14.dll
C:\WINDOWS\system32\iebho15.dll
C:\WINDOWS\system32\iebho16.dll
C:\WINDOWS\system32\iebho19.dll
C:\WINDOWS\system32\iebho1A.dll
C:\WINDOWS\system32\iebho1B.dll
C:\WINDOWS\system32\iebho1C.dll
C:\WINDOWS\system32\iebho1D.dll
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\ms32clod.dll
C:\WINDOWS\system32\o4Patch.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\pst.dat
C:\WINDOWS\system32\SHELLLNK.TLB
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\Thumbs.db
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\zip32.dll
C:\WINDOWS\tuzyfuxin.exe
C:\WINDOWS\umicykazu.reg
C:\WINDOWS\wuasirvy.dll

Infizierte Kopie von C:\WINDOWS\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - C:\WINDOWS\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSserv.sys
-------\Service_npf
-------\Service_TDSSserv.sys

((((((((((((((((((((((( Dateien erstellt von 2010-02-05 bis 2010-03-05 ))))))))))))))))))))))))))))))
.

2010-03-05 19:13:05 . 2010-03-05 19:13:13 -------- d-sha-r- \cmdcons
2010-03-05 19:11:18 . 2010-03-05 19:29:51 -------- d-----w- \cofi
2010-03-05 19:10:59 . 2010-03-05 19:29:10 -------- d-----w- \Qoobox
2010-02-28 13:26:27 . 2010-02-28 13:27:14 -------- d-----w- \Avenger
2010-02-28 13:04:25 . 2010-02-28 13:04:47 -------- d-----w- C:\rsit
2010-02-28 13:04:25 . 2010-02-28 13:04:47 -------- d-----w- \rsit
2010-02-24 13:29:30 . 2010-02-24 13:29:30 -------- d-----w- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Imaxel
2010-02-24 12:41:58 . 2010-02-24 12:43:57 -------- d-----w- C:\Programme\I-Port.de
2010-02-11 11:20:11 . 2010-02-11 11:22:57 -------- d-----w- C:\Programme\familybild

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 13:04:43 . 2008-11-04 10:13:41 -------- d-----w- C:\Programme\Trend Micro
2010-02-25 13:12:13 . 2009-03-10 17:45:27 -------- d-----w- C:\Dokumente und Einstellungen\user\Anwendungsdaten\ICQ
2010-02-11 12:13:27 . 2009-02-17 15:43:42 -------- d---a-w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-11 10:31:02 . 2009-02-17 15:11:44 -------- d-----w- C:\Dokumente und Einstellungen\user\Anwendungsdaten\gtk-2.0
2010-01-21 15:17:46 . 2009-04-09 16:50:39 -------- d-----w- C:\Programme\Microsoft Silverlight
2010-01-18 17:04:39 . 2008-08-10 17:08:06 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2010-01-18 14:25:35 . 2008-08-10 16:54:26 -------- d-----w- C:\Programme\Messenger Plus! Live
2010-01-07 19:41:41 . 2010-01-06 15:57:43 -------- d-----w- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Apple Computer
2010-01-07 15:35:26 . 2009-05-10 11:24:19 -------- d-----w- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2010-01-07 15:35:16 . 2009-05-10 11:24:18 -------- d-----w- C:\Programme\DVDVideoSoft
2010-01-06 20:03:42 . 2010-01-06 15:53:15 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2010-01-06 15:57:08 . 2010-01-06 15:56:20 -------- d-----w- C:\Programme\iTunes
2010-01-06 15:57:08 . 2010-01-06 15:56:20 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-01-06 15:56:27 . 2010-01-06 15:56:27 -------- d-----w- C:\Programme\iPod
2010-01-06 15:56:26 . 2010-01-06 15:53:15 -------- d-----w- C:\Programme\Gemeinsame Dateien\Apple
2010-01-06 15:56:20 . 2010-01-06 15:54:51 -------- d-----w- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-01-06 15:55:54 . 2010-01-06 15:55:53 -------- d-----w- C:\Programme\Bonjour
2010-01-06 15:55:46 . 2010-01-06 15:54:53 -------- d-----w- C:\Programme\QuickTime
2010-01-06 15:54:21 . 2010-01-06 15:54:21 -------- d-----w- C:\Programme\Apple Software Update
2010-01-06 15:32:33 . 2006-05-22 16:09:50 -------- d-----w- C:\Programme\Java
2010-01-06 15:27:55 . 2010-01-06 15:27:55 152576 ----a-w- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-06 15:27:11 . 2010-01-06 15:27:11 79488 ----a-w- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-06 15:20:57 . 2009-12-21 19:18:29 -------- d-----w- C:\Programme\Inkscape
2009-02-23 14:54:04 . 2009-02-23 13:16:04 181446 ----a-w- C:\Programme\bitsetup.log
2009-02-23 14:53:23 . 2009-02-23 13:16:04 213 ----a-w- C:\Programme\bitdeins.ini
2009-02-23 14:53:22 . 2009-02-23 13:16:03 0 ----a-w- C:\Programme\disk1
2000-02-09 11:27:58 . 2000-02-09 11:27:58 1347 ----a-w- C:\Programme\upgrade.in_
2000-02-08 13:00:36 . 2000-02-08 13:00:36 1838080 ----a-w- C:\Programme\ProRes23.dll
2000-02-08 13:00:26 . 2000-02-08 13:00:26 1803264 ----a-w- C:\Programme\ProRes20.dll
2000-02-08 13:00:07 . 2000-02-08 13:00:07 1818624 ----a-w- C:\Programme\ProRes15.dll
2000-02-08 12:59:54 . 2000-02-08 12:59:54 1841664 ----a-w- C:\Programme\ProRes13.dll
2000-02-08 12:59:44 . 2000-02-08 12:59:44 1839616 ----a-w- C:\Programme\ProRes7.dll
2000-02-08 12:59:32 . 2000-02-08 12:59:32 1859072 ----a-w- C:\Programme\ProRes6.dll
2000-02-08 12:59:23 . 2000-02-08 12:59:23 1855488 ----a-w- C:\Programme\ProRes5.dll
2000-02-08 12:59:05 . 2000-02-08 12:59:05 1859584 ----a-w- C:\Programme\ProRes3.dll
2000-02-08 12:58:55 . 2000-02-08 12:58:55 1846784 ----a-w- C:\Programme\ProRes2.dll
2000-02-08 12:58:10 . 2000-02-08 12:58:10 1814016 ----a-w- C:\Programme\ProRes0.dll
2000-02-08 12:55:24 . 2000-02-08 12:55:24 613376 ----a-w- C:\Programme\sprint.exe
2000-02-08 12:52:23 . 2000-02-08 12:52:23 320512 ----a-w- C:\Programme\FineOCREngine.dll
2000-02-08 12:51:35 . 2000-02-08 12:51:35 34304 ----a-w- C:\Programme\register.exe
2000-02-08 12:50:51 . 2000-02-08 12:50:51 2533376 ----a-w- C:\Programme\Fine32.exe
2000-02-08 12:47:52 . 2000-02-08 12:47:52 42996 ----a-w- C:\Programme\fineform.tlb
2000-02-08 12:47:50 . 2000-02-08 12:47:50 46600 ----a-w- C:\Programme\finenorm.tlb
2000-02-08 12:24:12 . 2000-02-08 12:24:12 74240 ----a-w- C:\Programme\logonp.dll
2000-02-08 12:23:20 . 2000-02-08 12:23:20 643072 ----a-w- C:\Programme\rules.dll
2000-02-08 12:22:01 . 2000-02-08 12:22:01 792064 ----a-w- C:\Programme\export.dll
2000-02-08 12:20:26 . 2000-02-08 12:20:26 2121216 ----a-w- C:\Programme\da.dll
2000-02-08 12:08:15 . 2000-02-08 12:08:15 1662464 ----a-w- C:\Programme\recpage.dll
2000-02-08 12:03:17 . 2000-02-08 12:03:17 349696 ----a-w- C:\Programme\lcdcnv50.dll
2000-02-08 12:03:06 . 2000-02-08 12:03:06 9186 ----a-w- C:\Programme\scanners.dat
2000-02-08 12:02:35 . 2000-02-08 12:02:35 78336 ----a-w- C:\Programme\StEDW.exe
2000-02-08 12:02:18 . 2000-02-08 12:02:18 1122816 ----a-w- C:\Programme\lcspell.dll
2000-02-08 11:59:09 . 2000-02-08 11:59:09 579072 ----a-w- C:\Programme\grinf10.dll
2000-02-08 11:58:42 . 2000-02-08 11:58:42 644096 ----a-w- C:\Programme\image.dll
2000-02-08 11:28:47 . 2000-02-08 11:28:47 39424 ----a-w- C:\Programme\NgrmUkr.dll
2000-02-08 11:28:41 . 2000-02-08 11:28:41 54784 ----a-w- C:\Programme\NgrmTrk.dll
2000-02-08 11:28:32 . 2000-02-08 11:28:32 40960 ----a-w- C:\Programme\NgrmSwe.dll
2000-02-08 11:28:28 . 2000-02-08 11:28:28 58880 ----a-w- C:\Programme\NgrmSpn.dll
2000-02-08 11:28:24 . 2000-02-08 11:28:24 34816 ----a-w- C:\Programme\NgrmRus.dll
2000-02-08 11:28:20 . 2000-02-08 11:28:20 96768 ----a-w- C:\Programme\NgrmPtb.dll
2000-02-08 11:28:16 . 2000-02-08 11:28:16 96768 ----a-w- C:\Programme\NgrmPtg.dll
2000-02-08 11:28:12 . 2000-02-08 11:28:12 58880 ----a-w- C:\Programme\NgrmPlk.dll
2000-02-08 11:28:09 . 2000-02-08 11:28:09 34816 ----a-w- C:\Programme\NgrmNon.dll
2000-02-08 11:28:06 . 2000-02-08 11:28:06 34816 ----a-w- C:\Programme\NgrmNor.dll
2000-02-08 11:28:02 . 2000-02-08 11:28:02 54784 ----a-w- C:\Programme\NgrmIta.dll
2000-02-08 11:27:58 . 2000-02-08 11:27:58 40960 ----a-w- C:\Programme\NgrmGre.dll
2000-02-08 11:27:54 . 2000-02-08 11:27:54 39424 ----a-w- C:\Programme\NgrmDen.dll
2000-02-08 11:27:50 . 2000-02-08 11:27:50 39424 ----a-w- C:\Programme\NgrmGer.dll
2000-02-08 11:27:47 . 2000-02-08 11:27:47 63488 ----a-w- C:\Programme\NgrmFra.dll
2000-02-08 11:27:44 . 2000-02-08 11:27:44 27136 ----a-w- C:\Programme\NgrmFin.dll
2000-02-08 11:27:37 . 2000-02-08 11:27:37 44032 ----a-w- C:\Programme\NgrmEti.dll
2000-02-08 11:27:29 . 2000-02-08 11:27:29 25088 ----a-w- C:\Programme\NgrmEng.dll
2000-02-08 11:27:27 . 2000-02-08 11:27:27 61440 ----a-w- C:\Programme\NgrmNlb.dll
2000-02-08 11:27:22 . 2000-02-08 11:27:22 61440 ----a-w- C:\Programme\NgrmDut.dll
2000-02-08 11:27:17 . 2000-02-08 11:27:17 37888 ----a-w- C:\Programme\NgrmDan.dll
2000-02-08 11:27:14 . 2000-02-08 11:27:14 121856 ----a-w- C:\Programme\NgrmCsy.dll
2000-02-08 11:27:08 . 2000-02-08 11:27:08 26112 ----a-w- C:\Programme\NgrmBul.dll
2000-02-08 11:18:58 . 2000-02-08 11:18:58 1968812 ----a-w- C:\Programme\germanNS.lcd
2000-02-08 11:18:14 . 2000-02-08 11:18:14 291313 ----a-w- C:\Programme\germanNS.lmd
2000-02-08 11:18:09 . 2000-02-08 11:18:09 3059143 ----a-w- C:\Programme\Flemmish.lcd
2000-02-08 11:17:07 . 2000-02-08 11:17:07 89337 ----a-w- C:\Programme\Flemmish.lmd
2000-02-08 11:17:05 . 2000-02-08 11:17:05 798902 ----a-w- C:\Programme\Brazil.lcd
2000-02-08 11:16:50 . 2000-02-08 11:16:50 101600 ----a-w- C:\Programme\Brazil.lmd
2000-02-08 11:16:38 . 2000-02-08 11:16:38 1388424 ----a-w- C:\Programme\Turkish.lcd
2000-02-08 11:16:12 . 2000-02-08 11:16:12 241073 ----a-w- C:\Programme\Turkish.lmd
2000-02-08 11:16:10 . 2000-02-08 11:16:10 661274 ----a-w- C:\Programme\Bulgar.lcd
2000-02-08 11:15:55 . 2000-02-08 11:15:55 42406 ----a-w- C:\Programme\Bulgar.lmd
2000-02-08 11:15:53 . 2000-02-08 11:15:53 2298037 ----a-w- C:\Programme\Greek.lcd
2000-02-08 11:14:59 . 2000-02-08 11:14:59 78353 ----a-w- C:\Programme\Greek.lmd
2000-02-08 11:14:57 . 2000-02-08 11:14:57 6159111 ----a-w- C:\Programme\Eston.lcd
2000-02-08 11:13:32 . 2000-02-08 11:13:32 55314 ----a-w- C:\Programme\Eston.lmd
2000-02-08 11:13:32 . 2000-02-08 11:13:32 2249060 ----a-w- C:\Programme\Czech.lcd
2000-02-08 11:12:54 . 2000-02-08 11:12:54 111817 ----a-w- C:\Programme\Czech.lmd
2000-02-08 11:12:52 . 2000-02-08 11:12:52 1094057 ----a-w- C:\Programme\Polish.lcd
2000-02-08 11:12:32 . 2000-02-08 11:12:32 155990 ----a-w- C:\Programme\Polish.lmd
2000-02-08 11:12:30 . 2000-02-08 11:12:30 798902 ----a-w- C:\Programme\Portug.lcd
2000-02-08 11:12:17 . 2000-02-08 11:12:17 101600 ----a-w- C:\Programme\Portug.lmd
2000-02-08 11:12:16 . 2000-02-08 11:12:16 1596307 ----a-w- C:\Programme\NorwNyn.lcd
2000-02-08 11:11:50 . 2000-02-08 11:11:50 42851 ----a-w- C:\Programme\NorwNyn.lmd
2000-02-08 11:11:50 . 2000-02-08 11:11:50 2475240 ----a-w- C:\Programme\NorwBok.lcd
2009-05-13 21:55:22 . 2009-05-13 21:55:22 1044480 ----a-w- C:\Programme\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55:22 . 2009-05-13 21:55:22 200704 ----a-w- C:\Programme\mozilla firefox\plugins\ssldivx.dll
2007-12-23 22:06:38 . 2007-12-23 22:06:37 56 -csh--r- C:\WINDOWS\system32\7D3F3F754F.sys
2007-12-23 22:06:39 . 2007-12-23 22:06:33 952 -csha-w- C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 15:44:14 3883840]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 07:56:34 204288]
"ICQ"="C:\Programme\ICQ6.5\ICQ.exe" [2009-11-16 15:36:19 172792]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 05:52:42 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 09:43:34 90112]
"S3Trayp"="S3trayp.exe" [2005-04-05 05:49:34 159744]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-11 17:58:00 16264192]
"LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.EXE" [2001-10-01 12:14:44 818176]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2005-07-25 08:39:56 2043904]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 15:34:20 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2009-11-10 22:08:18 417792]
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 12:08:43 209153]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 03:08:38 35696]
"Adobe ARM"="C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 11:08:30 935288]
"SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2010-01-06 15:28:40 149280]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2009-11-12 15:33:10 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 05:52:42 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Ulead Photo Express SE Calendar Checker.lnk - C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe [2009-2-23 61440]
Watch.lnk - C:\WINDOWS\twain_32\S6U12BX\WATCH.exe [2009-2-23 356352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=c_366639.nls
"midi1"=c_366639.nls
"mixer1"=c_366639.nls
"aux1"=c_366639.nls
"wave2"=c_366639.nls
"midi2"=c_366639.nls
"mixer2"=c_366639.nls
"aux2"=c_366639.nls

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Symantec Fax Starter Edition-Anschluss.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk
backup=C:\WINDOWS\pss\Symantec Fax Starter Edition-Anschluss.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\D-Link AirPlus G]
2006-11-17 14:54:00 1552384 ----a-w- C:\Programme\D-Link\AirPlus G\AirGCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08:18 417792 ----a-w- C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-15 19:04:00 2879488 -c--a-r- C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2005-03-08 03:33:28 53248 ----a-w- C:\WINDOWS\system32\VTTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6.5\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP2\\RpcAgentSrv.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP2\\WNt500x86\\RpcSandraSrv.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27939:TCP"= 27939:TCP:Service
"27955:TCP"= 27955:TCP:Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\drivers\xfilt.sys [17.04.2009 15:14:39 21144]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 17:38:46 108289]
R2 fssfltr;FssFltr;C:\WINDOWS\system32\drivers\fssfltr_tdi.sys [09.04.2009 18:09:43 54752]
R3 S3G700;S3G700;C:\WINDOWS\system32\drivers\S3G700m.sys [19.04.2007 17:45:48 792576]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [06.03.2009 09:44:37 4352]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\BRGSp50.sys [28.02.2008 18:59:04 20608]
S3 EP800Camera;E-Video DC-100 USB Camera;C:\WINDOWS\system32\drivers\ep800vc.sys [07.04.2009 16:19:59 106428]
S3 fsssvc;Windows Live Family Safety-Dienst;C:\Programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 22:48:42 704864]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\drivers\fwlanusb.sys [06.03.2009 09:44:00 265088]
S3 npggsvc;nProtect GameGuard Service;C:\WINDOWS\system32\GameMon.des -service --> C:\WINDOWS\system32\GameMon.des -service [?]
S3 nraspptp;nraspptp;\??\C:\DOKUME~1\user\LOKALE~1\Temp\nraspptp.sys --> C:\DOKUME~1\user\LOKALE~1\Temp\nraspptp.sys [?]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys --> C:\WINDOWS\system32\DRIVERS\wg111v2.sys [?]
S3 s3chipid;s3chipid;\??\C:\DOKUME~1\user\LOKALE~1\Temp\s3chipid.sys --> C:\DOKUME~1\user\LOKALE~1\Temp\s3chipid.sys [?]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [17.04.2009 15:09:24 98488]
S3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys --> C:\WINDOWS\System32\Drivers\SjyPkt.sys [?]
S3 trid3d;trid3d;C:\WINDOWS\system32\drivers\trid3dm.sys [02.03.2006 14:39:45 222336]
S3 uptilink;uptilink;\??\C:\DOKUME~1\user\LOKALE~1\Temp\uptilink.sys --> C:\DOKUME~1\user\LOKALE~1\Temp\uptilink.sys [?]
S4 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\drivers\avmunet.sys [15.03.2006 15:13:33 15104]
S4 MOSUMAC;USB-Ethernet Driver;C:\WINDOWS\system32\drivers\MOSUMAC.SYS [02.03.2006 16:39:52 27002]
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = C:\WINDOWS\system32\blank.htm
uStart Page = hxxp://www.google.de/ig?ct=1056757711&source=hade
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
mLocal Page = C:\WINDOWS\system32\blank.htm
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {38ADA187-D608-4551-A678-A506335EF8F8} = 192.168.178.1
TCP: {6B0D0C6D-A727-43BD-B367-6E12AA7D7764} = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-Locked - (no file)
HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
MSConfigStartUp-PC Booster - C:\Programme\inKline Global\PC Booster\pcbooster.exe
MSConfigStartUp-SunJavaUpdateSched - C:\Programme\Java\jre1.6.0_06\bin\jusched.exe

Larusso · 05.03.2010, 21:12

Hy

schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

schritt 2

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt
Log von Gmer

Sakurafreak · 06.03.2010, 09:47

So,
hier die drei Logfiles:

gmer:

Zitat:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-06 09:42:52
Windows 5.1.2600 Service Pack 3
Running: kdd49n44.exe; Driver: C:\DOKUME~1\user\LOKALE~1\Temp\uggorkoc.sys

---- System - GMER 1.0.15 ----

SSDT F7CF992E ZwCreateKey
SSDT F7CF9924 ZwCreateThread
SSDT F7CF9933 ZwDeleteKey
SSDT F7CF993D ZwDeleteValueKey
SSDT F7CF9942 ZwLoadKey
SSDT F7CF9910 ZwOpenProcess
SSDT F7CF9915 ZwOpenThread
SSDT F7CF994C ZwReplaceKey
SSDT F7CF9947 ZwRestoreKey
SSDT F7CF9938 ZwSetValueKey
SSDT F7CF991F ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs EB9F2400

---- EOF - GMER 1.0.15 ----

und Extras

Zitat:

OTL Extras logfile created on: 06.03.2010 08:13:44 - Run 1
OTL by OldTimer - Version 3.1.34.0 Folder = C:\Dokumente und Einstellungen\user\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

383,00 Mb Total Physical Memory | 158,00 Mb Available Physical Memory | 41,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): D:\pagefile.sys 1200 1200 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 34,54 Gb Total Space | 2,58 Gb Free Space | 7,46% Space Free | Partition Type: NTFS
Drive D: | 39,95 Gb Total Space | 34,90 Gb Free Space | 87,37% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: USER-5AC6A16435
Current User Name: user
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"27939:TCP" = 27939:TCP:*:Enabled:Service
"27955:TCP" = 27955:TCP:*:Enabled:Service

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service -- (SiSoftware)
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe" = C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service -- (SiSoftware)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{00D0200F-3B4D-4A2F-869E-533ED835A943}" = Hervorhebe-Funktion (Windows Live Toolbar)
"{025C3792-E9C6-432A-92C1-661F99D021CA}" = Ulead Photo Explorer 8.5 SE Basic
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{218761F6-CBF6-4973-B910-A33E6563A1EA}" = Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{2DD6C198-FA9A-40B4-8DE5-CE5206E3EB34}" = Smart Menus (Windows Live Toolbar)
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4C590030-7469-453E-8589-D15DA9D03F52}" = ANIWZCS2 Service
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{70B7A167-0B88-445D-A3EA-97C73AA88CAC}" = Windows Live Toolbar
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{786C4AD1-DCBA-49A6-B0EF-B317A344BD66}" = Windows Live Favorites für Windows Live Toolbar
"{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}" = ANIO Service
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90AF0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office PowerPoint Viewer 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95120000-0122-0407-0000-0000000FF1CE}" = Microsoft Office Outlook Connector
"{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2196}_is1" = SiSoftware Sandra Lite 2009.SP2
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D9E52CD1-9DF1-4A8A-9BDC-1E5E53982F2B}" = Black & White® 2
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"ABBYY FineReader 4.0 Sprint" = ABBYY FineReader 4.0 Sprint
"Adobe Acrobat 4.0" =
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Cool's_Codec_pack_4.12" = Codec Pack - All In 1 6.0.3.0
"DC100" = DC100
"familybild_is1" = familybild
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free Video to iPod Converter_is1" = Free Video to iPod Converter version 3.2
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"Gainward" = EXPERTool
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"I-Port.de" = I-Port.de
"IrfanView" = IrfanView (remove only)
"Lexmark Supplies Monitor" = Lexmark Supplies Monitor
"Lexmark Z13" = Lexmark Z13
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McLoad Preinstaller" = McLoad Preinstaller
"Messenger Plus! Live" = Messenger Plus! Live
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Mustek 1200 UB PLUS v1.1" = Mustek 1200 UB PLUS v1.1
"Network Stumbler" = Network Stumbler 0.4.0 (remove only)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PhotoScape" = PhotoScape
"RTP 1.32 Add-On for RM2k" = RTP 1.32 Add-On for RM2k
"RTP for RM2K (Png, Wav, Midi, Fonts)" = RTP for RM2K (Png, Wav, Midi, Fonts)
"Ulead Photo Express 3.0 SE" = Ulead Photo Express 3.0 SE
"Uninstall_is1" = Uninstall 1.0.0.1
"USB-Ethernet Adapter Device" = USB-Ethernet Adapter Device
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.5
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR Archivierer
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XP Codec Pack" = XP Codec Pack
"xp-AntiSpy" = xp-AntiSpy 3.95
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 06.01.2010 07:53:57 | Computer Name = USER-5AC6A16435 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 06.01.2010 13:46:16 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung neuz.exe, Version 3.8.22.1, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 12.01.2010 10:25:48 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung lxajpswx.exe, Version 1.0.2.0, fehlgeschlagenes
Modul lxajpswx.exe, Version 1.0.2.0, Fehleradresse 0x0000636b.

Error - 13.01.2010 15:03:05 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung applemobiledevicehelper.exe, Version 8.4.599.1,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00010a19.

Error - 17.01.2010 15:19:39 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung icq.exe, Version 6.5.0.2024, fehlgeschlagenes
Modul mmswitch.ax, Version 0.9.9.0, Fehleradresse 0x00001b30.

Error - 03.02.2010 14:43:14 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung applemobiledevicehelper.exe, Version 8.4.599.1,
fehlgeschlagenes Modul msvcrt.dll, Version 7.0.2600.5512, Fehleradresse 0x00037631.

Error - 03.02.2010 15:21:36 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung applemobiledevicehelper.exe, Version 8.4.599.1,
fehlgeschlagenes Modul msvcrt.dll, Version 7.0.2600.5512, Fehleradresse 0x00037631.

Error - 23.02.2010 14:35:57 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung icq.exe, Version 6.5.0.2024, fehlgeschlagenes
Modul mmswitch.ax, Version 0.9.9.0, Fehleradresse 0x00001b30.

Error - 03.03.2010 13:49:56 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul jscript.dll, Version 5.8.6001.22960, Fehleradresse 0x00014fb3.

Error - 03.03.2010 14:45:18 | Computer Name = USER-5AC6A16435 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

[ System Events ]
Error - 04.03.2010 12:25:56 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

Error - 05.03.2010 15:04:25 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "npkcrypt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 05.03.2010 15:04:25 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

Error - 05.03.2010 15:04:55 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

Error - 05.03.2010 15:26:45 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "npkcrypt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 05.03.2010 15:26:45 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

Error - 05.03.2010 15:29:10 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

Error - 06.03.2010 03:06:27 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "npkcrypt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 06.03.2010 03:06:27 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

Error - 06.03.2010 03:07:46 | Computer Name = USER-5AC6A16435 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers
nicht gestartet wurde: %%1058

< End of report >

Sakurafreak · 06.03.2010, 09:56

Die OTL.txt muss ich leider hochladen, da er zu viele Zeichen enthält.

OTL.txt: Klick

Larusso · 06.03.2010, 12:20

Kein Problem

Bitte keine Zitat- Tags oder Code Tags mehr. Ich mag die nicht

schritt 1

XPAntispy

Bei der Durchsicht der Logfiles habe ich gesehen, dass Du XPAntispy installiert hast. Das erhöht einerseits die Sicherheit, kann uns aber andererseits bei der Bereinigung hinderlich sein. Alle mit XPAntispy gemachten Änderungen müssen rückgängig gemacht werden, indem Du unter "Profile" das Systemprofil auf Systemstandard einstellst. Nach Beendigung der Bereinigung kannst Du in XPAntispy wieder Dein gewohntes Profil einstellen.

schritt 2

Fixen mit OTL

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..browser.startup.homepage: "http://www.ask.com/?o=13166&l=dis"
FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q="
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2008.10.31 05:54:13 | 000,014,528 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\uhesuhoja.exe
[2008.10.31 05:54:13 | 000,017,274 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\mepomo.lib
[2008.11.04 07:49:36 | 000,010,138 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\qotu.ban
[2008.10.31 05:54:13 | 000,011,103 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\oqasige.sys
[2008.10.31 05:54:13 | 000,010,788 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\ykovoquvyb.bin
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Run Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Deinen Thread

schritt 3

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
Aktiviere "Quick-Scan durchführen" => Scan.
Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

schritt 4

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
Signaturen werden heruntergeladen.
Der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

schritt 5

Starte OTL.exe erneut und klicke auf den Quickscan Button.

Bitte poste in Deiner nächsten Antwort
OTL Fix Log
Log von MBAM
Log von ESET
OTL.txt
Berichte wie der Rechner läuft

Sakurafreak · 06.03.2010, 19:40

Hi,

der ESET Online Scanner funktionierte nicht, da die Installation des Addons nicht klappte.

Hier aber die anderen drei Logfiles:

OTL.txt

Larusso · 06.03.2010, 19:47

Mit dem IE versucht ?
Mir persönlich ist ESET am liebsten aber wenn er nicht laufen will.
( Kann dauern )

Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
Java muss installiert, aktiv und erlaubt sein.
Bebilderte Anleitung von sundavis.
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.

Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Die Datenschutzerklärung akzeptieren.
Programm installieren lassen.
Update der Signaturen installieren lassen.
Wenn der Status "Complete" ist,
Scan-Einstellungen (Settings) Standard lassen
Links den Link "My Computer" anklicken.
Scan beginnt automatisch.
Wenn der Scan fertig ist, auf "View scan report" klicken,
"Save report as" und Dateityp auf .txt umstellen,
und auf dem Desktop als Kaspersky.txt speichern.
Logdatei hier posten.
Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Larusso · 07.03.2010, 13:02

Ups

Lass den Online Scan mal wenn noch nicht gemacht.

Code:

ATTFilter

C:\WINDOWS\rasqervy.dll (Malware.Trace) -> No action taken.

Hast du die Funde von Malwarebytes auch löschen lassen? ( Sieht nicht so aus)
Bitte einen erneuten Scan durchführen.

schritt 2
Danach eine neue OTL Logfile bitte.

schritt 3

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:filefind
TDSSpaxt.sys
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Bitte poste in Deiner nächsten Antwort
MBAM Log
OTL.txt
Systemlook.txt

TDSS-Rootkit entfernen - wie?

Plagegeister aller Art und deren Bekämpfung: TDSS-Rootkit entfernen - wie?