Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys

doofid · 21.04.2010, 09:19

Hallo zusammen,
so, ich will mal hoffen, dass ich den Regeln dieses Forums gerecht werde und mir hier keinen Fauxpass erlaube

Ich habe mir anscheinend einen Virus eingefangen. Antivir und Spybot finden den oben genannten Trojaner hsntoaox.sys mit dem Verweis auf einen Rootkit, doch lässt dieser sich nicht löschen. Ich habe es auch schon mit diversen anderen Programmen versucht, ganz simpel zuerst mit unlocker, aber auch mit Rootkit-Remover, Sophos Anti-Rootkit und anderen - leider immer erfolglos. Ich bin jetzt mal genau die Schritte wie hier beschrieben durchgegangen (siehe unten). Nach dem Scan mit Malmware wurde zwar im Report geschrieben, dass die Datei erfolgreicht gelöscht wurde, sie befindet sich aber nach wie vor im Ordner unter System 32/driver.

Wie schlimm steht's um mein System? Muss ich alles platt machen und neu aufspielen oder ist das noch so hinzubekommen?

Über Euren Rat würde ich mich sehr freuen - vielen Dank!
Viele Grüße,
Doofid

-------------------------------
MALMWARE-REPORT:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4014

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

21.04.2010 09:44:55
mbam-log-2010-04-21 (09-44-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 105706
Laufzeit: 5 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Windows\System32\ecesq.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Windows\System32\t5rdv.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\ecesq.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\System32\t5rdv.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\system32\Drivers\hsntoaox.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

---------------------------
RSIT-AUSWERTUNG:

log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by User at 2010-04-21 09:58:56
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 15 GB (18%) free of 87 GB
Total RAM: 3071 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:59:03, on 21.04.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mobile Master\MMAgent.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mobile Master\MMScan.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\User\Desktop\RSIT.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Trend Micro\HijackThis\User.exe
C:\Windows\system32\msfeedssync.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Softonic-de Toolbar - {6b9c3e37-fcbd-4834-a71a-fa45c106a001} - C:\Program Files\Softonic-de\tbSoft.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Softonic-de Toolbar - {6b9c3e37-fcbd-4834-a71a-fa45c106a001} - C:\Program Files\Softonic-de\tbSoft.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Softonic-de Toolbar - {6b9c3e37-fcbd-4834-a71a-fa45c106a001} - C:\Program Files\Softonic-de\tbSoft.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MMAgent] C:\Program Files\Mobile Master\MMAgent.exe
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: dirdel.bat
O4 - Startup: Dropbox.lnk = User\AppData\Roaming\Dropbox\bin\Dropbox.exe
O8 - Extra context menu item: &Citavi Picker... - file://C:\Program Files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9680 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{9714DDCD-DC4E-48B4-B0BE-571A843F3114}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b9c3e37-fcbd-4834-a71a-fa45c106a001}]
Softonic-de Toolbar - C:\Program Files\Softonic-de\tbSoft.dll [2009-12-31 2349080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
Adobe PDF Conversion Toolbar Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2009-02-27 349576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4971EE7-DAA0-4053-9964-665D8EE6A077}]
SmartSelect Class - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2009-02-27 349576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2009-02-27 349576]
{6b9c3e37-fcbd-4834-a71a-fa45c106a001} - Softonic-de Toolbar - C:\Program Files\Softonic-de\tbSoft.dll [2009-12-31 2349080]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-18 1008184]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-03-28 1045800]
"OpwareSE4"=C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe [2006-10-11 75304]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"UnlockerAssistant"=C:\Program Files\Unlocker\UnlockerAssistant.exe [2008-05-02 15872]
"Adobe_ID0EYTHM"=C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE [2007-03-20 1884160]
"Adobe Acrobat Speed Launcher"=C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe [2009-02-27 38768]
""= []
"Acrobat Assistant 8.0"=C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe [2009-02-27 640376]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-12-04 13556256]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2008-12-04 92704]
"NPSStartup"= []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]
"LightScribe Control Panel"=C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe [2009-04-13 2387968]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-18 125952]
"Skype"=C:\Program Files\Skype\\Phone\Skype.exe [2010-03-09 26100520]
"MMAgent"=C:\Program Files\Mobile Master\MMAgent.exe [2008-10-24 1347008]
"AutoStartNPSAgent"=C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe [2010-02-11 102400]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia.PCSync]
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
C:\Program Files\phonostar\ps_agent.exe [2009-05-13 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
C:\Program Files\phonostar\ps_timer.exe [2009-05-13 126976]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\QTTask.exe -atboottime []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Program Files\Winamp\winampa.exe [2009-07-01 37888]

C:\ProgramData\Microsoft\Windows\Start Menu\Neuer Ordner\Startup
SA.DAT
SCHEDLGU.TXT
User_Feed_Synchronization-{9714DDCD-DC4E-48B4-B0BE-571A843F3114}.job

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
dirdel.bat
Dropbox.lnk - C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoStartMenuMorePrograms"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e87f250-3954-11de-8913-001e37bc77ce}]
shell\AutoRun\command - J:\AutoPlay.exe -auto

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcf9acba-4a92-11de-8206-001e37bc77ce}]
shell\Auto\command - K:\pagefile.pif
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL K:\pagefile.pif

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - "C:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe","%1"

======List of files/folders created in the last 1 months======

2010-04-21 09:58:56 ----D---- C:\rsit
2010-04-21 09:38:23 ----D---- C:\Users\User\AppData\Roaming\Malwarebytes
2010-04-21 09:38:09 ----D---- C:\ProgramData\Malwarebytes
2010-04-21 09:38:09 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-04-20 19:10:03 ----D---- C:\Program Files\Sophos
2010-04-14 12:30:34 ----D---- C:\ProgramData\Spybot - Search & Destroy
2010-04-14 12:30:34 ----D---- C:\Program Files\Spybot - Search & Destroy
2010-04-13 23:42:54 ----A---- C:\Windows\system32\ntoskrnl.exe
2010-04-13 23:42:54 ----A---- C:\Windows\system32\ntkrnlpa.exe
2010-04-13 23:42:50 ----A---- C:\Windows\system32\vbscript.dll
2010-04-13 23:42:43 ----A---- C:\Windows\system32\iphlpsvc.dll
2010-04-13 23:41:51 ----A---- C:\Windows\system32\wintrust.dll
2010-04-13 23:41:16 ----A---- C:\Windows\system32\cabview.dll
2010-04-13 16:28:26 ----D---- C:\Program Files\Trend Micro
2010-03-31 10:18:56 ----A---- C:\Windows\system32\mshtml.dll
2010-03-31 10:18:55 ----A---- C:\Windows\system32\ieframe.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\wininet.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\urlmon.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\occache.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\mstime.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\msfeeds.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\iertutil.dll
2010-03-31 10:18:54 ----A---- C:\Windows\system32\iedkcs32.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\msfeedssync.exe
2010-03-31 10:18:53 ----A---- C:\Windows\system32\msfeedsbs.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\jsproxy.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\ieUnatt.exe
2010-03-31 10:18:53 ----A---- C:\Windows\system32\ieui.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\iesysprep.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\iesetup.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\iernonce.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\iepeers.dll
2010-03-31 10:18:53 ----A---- C:\Windows\system32\ie4uinit.exe
2010-03-23 16:05:28 ----D---- C:\Program Files\Common Files\Skype

======List of files/folders modified in the last 1 months======

2010-04-21 09:59:03 ----D---- C:\Windows\Prefetch
2010-04-21 09:58:58 ----D---- C:\Windows\Temp
2010-04-21 09:54:38 ----D---- C:\Windows\System32
2010-04-21 09:54:38 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-04-21 09:54:37 ----D---- C:\Windows\inf
2010-04-21 09:50:23 ----D---- C:\Users\User\AppData\Roaming\Dropbox
2010-04-21 09:47:35 ----D---- C:\Windows\system32\drivers
2010-04-21 09:47:35 ----D---- C:\Windows\Panther
2010-04-21 09:38:09 ----RD---- C:\Program Files
2010-04-21 09:38:09 ----HD---- C:\ProgramData
2010-04-21 09:32:39 ----D---- C:\Windows\Minidump
2010-04-21 09:32:39 ----D---- C:\Windows\Debug
2010-04-21 09:32:39 ----D---- C:\Windows
2010-04-21 00:06:20 ----SHD---- C:\System Volume Information
2010-04-20 19:58:12 ----D---- C:\Users\User\AppData\Roaming\The Bat!
2010-04-16 11:09:53 ----A---- C:\Windows\demdata.txt
2010-04-14 13:32:16 ----D---- C:\Windows\winsxs
2010-04-14 13:22:08 ----D---- C:\Windows\system32\catroot
2010-04-14 13:22:07 ----D---- C:\Windows\system32\catroot2
2010-04-14 13:17:19 ----D---- C:\Program Files\Windows Mail
2010-04-14 09:44:39 ----SHD---- C:\Windows\Installer
2010-04-13 16:34:20 ----D---- C:\Program Files\CCleaner
2010-04-13 16:20:52 ----D---- C:\Program Files\QuickTime
2010-04-13 16:19:16 ----D---- C:\Program Files\Common Files
2010-04-13 16:15:45 ----D---- C:\ProgramData\Apple Computer
2010-04-10 10:23:10 ----A---- C:\Windows\system32\msvcsv60.dll
2010-04-05 20:17:26 ----D---- C:\Program Files\Mozilla Firefox
2010-04-04 21:11:09 ----D---- C:\Users\User\AppData\Roaming\dvdcss
2010-04-01 19:15:30 ----D---- C:\Windows\system32\migration
2010-04-01 19:15:30 ----D---- C:\Program Files\Internet Explorer
2010-04-01 13:50:08 ----D---- C:\Users\User\AppData\Roaming\Skype
2010-04-01 13:37:12 ----D---- C:\Users\User\AppData\Roaming\skypePM
2010-03-28 22:10:14 ----D---- C:\Windows\system32\WDI
2010-03-23 16:05:31 ----D---- C:\Windows\system32\Tasks

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2006-11-14 37376]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2007-10-18 8704]
R3 ASAPIW2K;ASAPIW2K; C:\Windows\System32\Drivers\ASAPIW2K.sys [2003-11-28 11264]
R3 BCM43XX;Treiber für Broadcom 802.11-Netzwerkadapter; C:\Windows\system32\DRIVERS\bcmwl6.sys [2009-05-03 1331192]
R3 BthEnum;Bluetooth-Auflistungsdienst; C:\Windows\system32\DRIVERS\BthEnum.sys [2009-04-11 22528]
R3 BthPan;Bluetooth-Gerät (PAN); C:\Windows\system32\DRIVERS\bthpan.sys [2008-01-18 92160]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\Windows\System32\Drivers\BTHUSB.sys [2009-04-11 29696]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-18 14208]
R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\CHDRT32.sys [2008-03-04 188416]
R3 FsUsbExDisk;FsUsbExDisk; \??\C:\Windows\system32\FsUsbExDisk.SYS [2009-06-08 36608]
R3 HpqRemHid;HP Remote Control HID Device; C:\Windows\system32\DRIVERS\HpqRemHid.sys [2007-07-11 7168]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2007-11-01 985600]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2007-11-01 208896]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2007-03-06 1059112]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-12-04 7606688]
R3 nvsmu;nvsmu; C:\Windows\system32\DRIVERS\nvsmu.sys [2007-02-16 12032]
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\Windows\system32\DRIVERS\rfcomm.sys [2009-04-11 148992]
R3 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2005-11-16 28928]
R3 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2005-12-22 51840]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2009-04-11 89088]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-03-28 199472]
R3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-18 35328]
R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-18 134016]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2007-11-01 661504]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-18 11264]
S3 1612FW;Hercules 16/12 FW Service; C:\Windows\System32\Drivers\1612FW.sys [2007-02-20 165760]
S3 1612GSIF;Hercules 16/12 FW GSIF; C:\Windows\system32\drivers\1612gsif.sys [2004-08-05 11392]
S3 1612midi;Hercules 16/12 FW MIDI; C:\Windows\system32\drivers\1612midi.sys [2007-02-14 14336]
S3 1612wav;Hercules 16/12 FW Audio Device (WDM); C:\Windows\system32\drivers\1612Wav.sys [2007-02-22 36352]
S3 av010wnf;av010wnf; C:\Windows\system32\drivers\av010wnf.sys []
S3 BCM43XV;Broadcom Extensible 802.11-Netzwerkadaptertreiber; C:\Windows\system32\DRIVERS\bcmwl6.sys [2009-05-03 1331192]
S3 BTHPORT;Bluetooth-Porttreiber; C:\Windows\System32\Drivers\BTHport.sys [2009-04-11 507904]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-18 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 kore2avs;kore2avs; C:\Windows\System32\Drivers\kore2avs.sys [2008-12-09 35344]
S3 kore2usb;kore2usb; C:\Windows\System32\Drivers\kore2usb.sys [2008-12-09 210192]
S3 MEMSWEEP2;MEMSWEEP2; \??\C:\Windows\system32\DA09.tmp []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-18 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-18 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-18 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-18 6016]
S3 nmwcd;Nokia USB Phone Parent; C:\Windows\system32\drivers\ccdcmb.sys [2009-10-06 17664]
S3 nmwcdc;Nokia USB Generic; C:\Windows\system32\drivers\ccdcmbo.sys [2009-10-06 22016]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\Windows\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 Saffire;Saffire Pro; C:\Windows\System32\Drivers\Saffire.sys [2008-07-18 126592]
S3 SaffireAudio;Saffire Pro Audio; C:\Windows\system32\drivers\SaffireAudio.sys [2008-07-18 20864]
S3 SaffireMidi;Saffire Pro MIDI; C:\Windows\system32\drivers\SaffireMidi.sys [2008-07-18 20480]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\Windows\system32\DRIVERS\sscdbus.sys [2007-07-03 80552]
S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\Windows\system32\DRIVERS\sscdmdfl.sys [2007-07-03 11944]
S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\Windows\system32\DRIVERS\sscdmdm.sys [2007-07-03 106792]
S3 sscdserd;SAMSUNG Mobile Modem Diagnostic Serial Port (WDM); C:\Windows\system32\DRIVERS\sscdserd.sys [2007-07-03 86824]
S3 SynasUSB;SynasUSB; C:\Windows\system32\drivers\SynasUSB.sys [2007-10-24 23288]
S3 SysProtDrv.sys;SysProtDrv.sys; \??\C:\Users\User\AppData\Local\Temp\Rar$EX00.402\SysProt\SysProtDrv.sys [2010-04-20 44288]
S3 upperdev;upperdev; C:\Windows\system32\DRIVERS\usbser_lowerflt.sys [2009-10-06 7936]
S3 usbser;USB Modem Driver; C:\Windows\system32\drivers\usbser.sys [2009-04-11 27648]
S3 UsbserFilt;UsbserFilt; C:\Windows\system32\DRIVERS\usbser_lowerfltj.sys [2009-10-06 7936]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-18 83328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Program Files\Bonjour\mDNSResponder.exe [2006-02-28 229376]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-18 21504]
R2 FsUsbExService;FsUsbExService; C:\Windows\system32\FsUsbExService.Exe [2009-06-08 233472]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2009-04-13 73728]
R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-18 21504]
R2 NIHardwareService;NIHardwareService; C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe [2009-06-16 3575808]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-12-04 203296]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-18 21504]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared files\RichVideo.exe [2007-01-09 272024]
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2007-10-18 386560]
S3 Adobe LM Service;Adobe LM Service; C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe [2009-05-05 68096]
S3 Adobe Version Cue CS3;Adobe Version Cue CS3 {de_DE} ; C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe [2007-03-20 153792]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-05-05 651720]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-18 21504]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-20 136120]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [2009-10-27 657408]

-----------------EOF-----------------
info.txt:
info.txt logfile of random's system information tool 1.06 2010-04-21 09:59:04

======Uninstall list======

32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
3GP Player 2009-->"C:\Program Files\3GP Player 2009\unins000.exe"
AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}
Allok Video Splitter 1.7.0-->"C:\Program Files\Allok Video Splitter\unins000.exe"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ArcSoft PhotoStudio 5.5-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{85309D89-7BE9-4094-BB17-24999C6118FC}\Setup.exe" -l0x7
ASAPI-->MsiExec.exe /X{8A7E941F-2BB4-47D0-B732-8AE5F3513B68}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Best Service Artist Drums-->C:\PROGRA~1\NATIVE~1\BESTSE~1\ARTIST~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\BESTSE~1\ARTIST~1\INSTALL.LOG
Broadcom 802.11 Wireless LAN Adapter-->"C:\Program Files\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe" verbose /rootkey="Software\Broadcom\802.11\UninstallInfo" /rootdir="C:\Program Files\Broadcom\Broadcom 802.11\Driver"
Canon ScanGear Starter-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{18A5DFF2-8A95-49F3-873F-743CB5549F3D}\SETUP.EXE" -l0x7 anything
CanoScan Toolbox Ver4.9-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CA9BCD4D-B782-4637-8F1F-F9A328D3C244}\setup.exe" -l0x7 anything
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
CD-LabelPrint-->"C:\Program Files\Canon\Pixma\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Citavi 2.5-->C:\Program Files\Citavi\Deinstallieren.exe
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Conexant HD Audio-->C:\Program Files\CONEXANT\CNXT_AUDIO_HDA\UIU32a.exe -U -IQh30CFza.INF
CyberLink YouCam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
Digital Image Recovery 1.47-->"C:\Program Files\Digital Image Recovery\unins000.exe"
Drive Rescue 1.9-->"C:\Program Files\Drive Rescue\unins000.exe"
DVD Suite-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly
Emagic EVP73 VSTi v1.0-->C:\PROGRA~1\STEINB~1\VSTPLU~1\emagic\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\emagic\INSTALL.LOG
ESU for Microsoft Vista-->MsiExec.exe /I{65AA10FF-6F32-48AE-881F-FC96E7BF3A5E}
Final Master Trial-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E622ECC4-4310-4D7B-B401-159E0C22516A}\Setup.exe" -l0x7
Finale 2007-->C:\Windows\unvise32.exe C:\Program Files\Finale 2007\uninstal.log
Focusrite Plug-in Suite 1.0.2-->"C:\Program Files\Focusrite\Focusrite Plug-in Suite\unins000.exe"
Free Video Dub version 1.5-->"C:\Program Files\DVDVideoSoft\Free Video Dub\unins000.exe"
FreeMind-->"C:\Program Files\FreeMind\unins000.exe"
Garritan Ambiance Installer-->C:\Program Files\Finale 2007\uninstallAmbience.exe
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_HERMOSA_HSF\UIU32m.exe -U -IHPQHERzm.inf
Hercules 16/12 FW drivers-->C:\Program Files\InstallShield Installation Information\{8F03D312-383B-4EFD-A0A5-E6AD6B19DA49}\setup.exe -runfromtemp -l0x0007 -removeonly
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
HP QuickTouch 1.00 D2-->MsiExec.exe /I{30DAA715-5032-40F9-A0AE-95C9AEBB3E3F}
HP Update-->MsiExec.exe /X{818ABC3C-635C-4651-8183-D0E9640B7DD1}
ImageMaster 1.0.1.6-->"C:\Program Files\ImageMaster v1.0\Uninstall\unins000.exe"
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
K-Lite Codec Pack 4.8.0 (Corporate)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\setup.exe" -uninstall
Last.fm 1.5.4.24567-->"C:\Program Files\Last.fm\unins000.exe"
LightScribe System Software-->MsiExec.exe /X{2EC502F7-CBB0-44F8-8F5D-C9A6FC1E5A2A}
Linplug SaxLab v1.0.2-->C:\PROGRA~1\STEINB~1\VSTPLU~1\LINPLU~1\SAXLAB~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\LINPLU~1\SAXLAB~1\INSTALL.LOG
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Manual CanoScan LiDE 25-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C45EB9E5-7165-4FB0-8C31-77FC4743362F}\setup.exe" -l0x7
Mastering Edition 1.5-->C:\PROGRA~1\SPECTR~1\MASTER~1\UNWISE.EXE C:\PROGRA~1\SPECTR~1\MASTER~1\INSTALL.LOG
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{91110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Mobile Master Outlook AddIn-->MsiExec.exe /X{D75E57D5-733A-454C-9094-F7B5C66A9382}
MobileMaster-->MsiExec.exe /X{AA1E2D5F-56CA-4F07-AA4C-F2973244B946}
Mozilla Firefox (3.6.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Native Instruments Controller Editor-->"C:\ProgramData\{ED1D8D80-31D0-42F1-8B98-B06345E5AD3E}\Controller Editor Setup.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Controller Editor-->C:\ProgramData\{ED1D8D80-31D0-42F1-8B98-B06345E5AD3E}\Controller Editor Setup.exe
Native Instruments Finale GPO 2.0-->C:\PROGRA~1\FINALE~1.0\UNWISE.EXE C:\PROGRA~1\FINALE~1.0\INSTALL.LOG
Native Instruments Kontakt 3-->"C:\ProgramData\{A7689876-F0D2-4DC6-9C70-CA306AA80853}\Kontakt 3 Setup.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Kontakt 3-->C:\ProgramData\{A7689876-F0D2-4DC6-9C70-CA306AA80853}\Kontakt 3 Setup.exe
Native Instruments Kore 2-->"C:\ProgramData\{926AA06E-8C65-4E2D-8820-E207F857C8CE}\Kore 2 Setup PC.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Kore 2-->C:\ProgramData\{926AA06E-8C65-4E2D-8820-E207F857C8CE}\Kore 2 Setup PC.exe
Native Instruments Kore2 Controller Driver-->"C:\ProgramData\{57A17D2C-24D0-4DC8-AA7D-006F3BC9294A}\Kore2 Controller Driver Setup.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Kore2 Controller Driver-->C:\ProgramData\{57A17D2C-24D0-4DC8-AA7D-006F3BC9294A}\Kore2 Controller Driver Setup.exe
Native Instruments Service Center-->"C:\ProgramData\{D7CFB71A-972A-44FF-AE44-8780EB53ABB2}\Service Center Setup.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Service Center-->C:\ProgramData\{D7CFB71A-972A-44FF-AE44-8780EB53ABB2}\Service Center Setup.exe
Nokia Connectivity Cable Driver-->MsiExec.exe /I{C50EF365-2898-489A-B6C7-30DAA466E9A2}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
PC Connectivity Solution-->MsiExec.exe /I{6E0352EE-6F0D-4FBC-B1B8-4FF032C78BE0}
PC Inspector File Recovery-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x7
PC Inspector smart recovery-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C9A87D86-FDFD-418B-BF96-EF09320973B3}\Setup.exe" -l0x7
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
phonostar-Player Version 2.01.5-->"C:\Program Files\phonostar\unins000.exe"
PhotoRescue Pro-->"C:\Program Files\PhotoRescue Pro\UninsHs.exe" /u0={51211CD1-08CC-4EBD-A21A-530CD05D6150}
PicaJet Photo Recovery 1.0.1 Beta-->C:\Program Files\PicaJet Photo Recovery\uninst.exe
Picasa 3-->"C:\Program Files\Google\Picasa3\Uninstall.exe"
Power2Go-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" -uninstall
PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall
Saffire PRO 40 1.0-->"C:\Program Files\Focusrite\Saffire PRO 40\unins000.exe"
SAMSUNG Mobile Composite Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6_old\SSBCUninstall.exe
Samsung Mobile Modem Device Software-->C:\Windows\system32\Samsung_USB_Drivers\7\SSECUninstall.exe
SAMSUNG Mobile Modem Driver Set-->C:\Windows\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
SAMSUNG Mobile Modem V2 Software-->C:\Windows\system32\Samsung_USB_Drivers\3_6810\SSCEUninstall.exe
Samsung Mobile phone USB driver Software-->C:\Windows\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\Windows\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\Windows\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung New PC Studio-->"C:\Program Files\InstallShield Installation Information\{F193FC0E-9E18-40FC-A974-509A1BDD240A}\setup.exe" -runfromtemp -l0x0407 -removeonly
Samsung New PC Studio-->MsiExec.exe /X{F193FC0E-9E18-40FC-A974-509A1BDD240A}
SAMSUNG SYMBIAN USB Download Driver-->C:\Program Files\SAMSUNG\SYMBIAN USB Download Driver\Uninstall.exe
SAMSUNG USB Mobile Device Software-->C:\Windows\system32\Samsung_USB_Drivers\6\SS_BUninstall.exe
SamsungConnectivityCableDriver-->MsiExec.exe /X{7E84FAC8-C518-40F9-9807-7455301D6D25}
ScanSoft OmniPage SE 4.0-->MsiExec.exe /I{C1E693A4-B1D5-4DCD-B68D-2087835B7184}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sibelius 5-->MsiExec.exe /I{C23B8C30-E05E-4CB5-8188-F27CC3B2DD3E}
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SmartMusic 9-->C:\Windows\unvise32.exe C:\Program Files\SmartMusic 9\uninstal.log
Softonic-de Toolbar-->C:\PROGRA~1\SOFTON~1\UNWISE.EXE /U C:\PROGRA~1\SOFTON~1\INSTALL.LOG
Sophos Anti-Rootkit 1.5.0-->C:\Program Files\Sophos\Sophos Anti-Rootkit\helper.exe remove
SpeedSoft Virtual Sampler-->C:\Programme\SpeedSoft\VSampler\bin\UnInstall.exe
Spesoft Audio Converter 1.90-->"C:\Program Files\Spesoft Audio Converter\unins000.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Steinberg Cubase 5-->MsiExec.exe /I{4A19D6AC-ADE0-4A07-80FF-9C9812C45557}
Steinberg Drum Loop Expansion 01-->MsiExec.exe /I{490BF87E-1F75-4453-BF55-9F540543A3CA}
Steinberg Groove Agent ONE Content-->MsiExec.exe /I{BD86F1AC-B594-46E4-85DC-1258AC9E2232}
Steinberg HALion Symphonic Orchestra-->"C:\Program Files\Steinberg\Vstplugins\HALion Symphonic Orchestra\Uninstall.exe" "C:\Program Files\Steinberg\VstPlugins\HALion Symphonic Orchestra\Install.log"
Steinberg HALionOne Additional Content Set 01-->MsiExec.exe /I{F3AFD063-8BAD-485E-B641-E7F5A2C5AE71}
Steinberg HALionOne Expression Set-->MsiExec.exe /I{E22AD5D3-EB60-4A8F-835C-6C10E369DCE2}
Steinberg HALionOne GM Drum Set-->MsiExec.exe /I{AC997F93-0757-4ED4-A701-F40C2D654D09}
Steinberg HALionOne GM Set-->MsiExec.exe /I{F057965A-D974-4C64-ADB1-4381CD4B8956}
Steinberg HALionOne Pro Set-->MsiExec.exe /I{D82CDA0D-C182-42C8-8FF2-5649C98D6003}
Steinberg HALionOne Studio Drum Set-->MsiExec.exe /I{865D9ED1-EAC2-436D-AFA7-0B750EB5AAAB}
Steinberg HALionOne Studio Set-->MsiExec.exe /I{D23CBFDA-C46B-4920-BA70-FC7878A3F05A}
Steinberg HALionOne-->MsiExec.exe /I{E70E7159-93B1-470D-9FBD-D8E9EF34B538}
Steinberg LoopMash Content-->MsiExec.exe /I{4D454CF8-12FD-464D-B57B-B46FE27B78BB}
Steinberg Magneto VST v1.5-->C:\PROGRA~1\STEINB~1\VSTPLU~1\Magneto\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\Magneto\INSTALL.LOG
Steinberg REVerence Content 01-->MsiExec.exe /I{532B917B-8235-4FA5-BE36-643A8BB053A5}
Steinberg SX Unlocked VST Plugins Pack 1-->C:\PROGRA~1\STEINB~1\VSTPLU~1\SXPLUG~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\SXPLUG~1\INSTALL.LOG
Steinberg Ultravoice v1.02-->C:\PROGRA~1\STEINB~1\VSTPLU~1\ULTRAV~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\ULTRAV~1\INSTALL.LOG
Steinberg Virtual Bassist 1.0.0-->"C:\Program Files\Steinberg\Vstplugins\Virtual Bassist\unins000.exe"
Steinberg Voice Designer v1.03-->C:\PROGRA~1\STEINB~1\VSTPLU~1\VOICED~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\VSTPLU~1\VOICED~1\INSTALL.LOG
Steinberg WaveLab 5.01b-->C:\PROGRA~1\STEINB~1\WaveLab\UNWISE.EXE C:\PROGRA~1\STEINB~1\WaveLab\INSTALL.LOG
SUPER © Version 2009.bld.35 (Jan 5, 2009)-->C:\PROGRA~1\SUPER\Setup.exe /remove /q0
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Syncrosoft Lizenz Kontrolle-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
Syncrosofts Lizenz Kontrolle-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
Synful Orchestra DXi/VSTi v2.22-->C:\PROGRA~1\Synful\SYNFUL~1\UNWISE.EXE C:\PROGRA~1\Synful\SYNFUL~1\INSTALL.LOG
The Bat! Professional v4.0.16-->MsiExec.exe /I{0E244602-86C4-4A84-A5C7-8BAD0395AD0C}
Total Commander (Remove or Repair)-->C:\Program Files\totalcmd\tcuninst.exe
T-RackS 24 v2.0.1-->C:\PROGRA~3\IK Multimedia\T-RACK~1\UNWISE.EXE C:\PROGRA~3\IK Multimedia\T-RACK~1\INSTALL.LOG
TZ-EasyBuch Start -->C:\Program Files\TZ-EasyBuch_Start\uninst.exe
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 0.9.9-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VSL MIDI PerformanceTool-->MsiExec.exe /I{EDACCA15-E585-4BAB-B2F0-742DC5F67AB1}
Waves Diamond Bundle 4.05-->C:\PROGRA~1\Waves\DIAMON~1\UNWISE.EXE C:\PROGRA~1\Waves\DIAMON~1\INSTALL.LOG
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows-Treiberpaket - MobileTop (sshpmdm) Modem (01/26/2008 2.6.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\mbtmdm.inf_afb0631d\mbtmdm.inf
Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\shpacm.inf_9257b9f7\shpacm.inf
Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\DPInst.exe /u C:\Windows\System32\DriverStore\FileRepository\shpusb.inf_9ffad97b\shpusb.inf
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\B4723E9A0713E5B1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
WISO Sparbuch 2009-->C:\Program Files\InstallShield Installation Information\{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}\Setup.exe -runfromtemp -l0x0007 -removeonly
WISO Sparbuch 2010-->"C:\Program Files\InstallShield Installation Information\{46B70DEB-97B3-4E38-B746-EC16905E6A8F}\Setup.exe" -runfromtemp -l0x0007 -removeonly

=====HijackThis Backups=====

O2 - BHO: (no name) - AutorunsDisabled - (no file) [2010-04-13]
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2010-04-13]
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe, [2010-04-14]

======Security center information======

AS: Spybot - Search and Destroy
AS: Windows-Defender

======System event log======

Computer Name: *****
Event Code: 7036
Message: Dienst "Zugriff auf Eingabegeräte" befindet sich jetzt im Status "Ausgeführt".
Record Number: 101746
Source Name: Service Control Manager
Time Written: 20091118095515.000000-000
Event Type: Informationen
User:

Computer Name: *****
Event Code: 7036
Message: Dienst "ReadyBoost" befindet sich jetzt im Status "Ausgeführt".
Record Number: 101745
Source Name: Service Control Manager
Time Written: 20091118095515.000000-000
Event Type: Informationen
User:

Computer Name: *****
Event Code: 7036
Message: Dienst "Kryptografiedienste" befindet sich jetzt im Status "Ausgeführt".
Record Number: 101744
Source Name: Service Control Manager
Time Written: 20091118095515.000000-000
Event Type: Informationen
User:

Computer Name: *****
Event Code: 7036
Message: Dienst "Bluetooth-Unterstützungsdienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 101743
Source Name: Service Control Manager
Time Written: 20091118095515.000000-000
Event Type: Informationen
User:

Computer Name: *****
Event Code: 7036
Message: Dienst "Anwendungserfahrung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 101742
Source Name: Service Control Manager
Time Written: 20091118095515.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: 26L2233B2-11
Event Code: 1003
Message: Der Windows-Suchdienst wurde gestartet.

Record Number: 5
Source Name: Microsoft-Windows-Search
Time Written: 20090503064545.000000-000
Event Type: Informationen
User:

Computer Name: 26L2233B2-11
Event Code: 5615
Message: Der Windows-Verwaltungsinstrumentationsdienst wurde erfolgreich gestartet.
Record Number: 4
Source Name: Microsoft-Windows-WMI
Time Written: 20090503064544.000000-000
Event Type: Informationen
User:

Computer Name: LH-5SDYE1G013DZ
Event Code: 4625
Message: Das EventSystem-Subsystem unterdrückt duplizierte Ereignisprotokolleinträge für eine Dauer von 86400 Sekunden. Dieses Zeitlimit kann durch den REG_DWORD-Wert SuppressDuplicateDuration unter folgendem Registrierungsschlüssel gesteuert werden: HKLM\Software\Microsoft\EventSystem\EventLog.
Record Number: 3
Source Name: Microsoft-Windows-EventSystem
Time Written: 20090503064540.000000-000
Event Type: Informationen
User:

Computer Name: LH-5SDYE1G013DZ
Event Code: 900
Message: Der Softwarelizenzierungsdienst wird gestartet.

Record Number: 2
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090503064539.000000-000
Event Type: Informationen
User:

Computer Name: LH-5SDYE1G013DZ
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet.

Record Number: 1
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090503064539.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: *****
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 7515
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090511140412.909039-000
Event Type: Überwachung gescheitert
User:

Computer Name: *****
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
Sicherheits-ID: S-1-0-0
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Neue Anmeldung:
Sicherheits-ID: S-1-5-7
Kontoname: ANONYMOUS-ANMELDUNG
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x20547
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -

Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V1
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 7514
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090511140409.757819-000
Event Type: Überwachung erfolgreich
User:

Computer Name: *****
Event Code: 5024
Message: Der Windows-Firewalldienst wurde erfolgreich gestartet.
Record Number: 7513
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090511140409.601818-000
Event Type: Überwachung erfolgreich
User:

Computer Name: *****
Event Code: 5033
Message: Der Windows-Firewalltreiber wurde erfolgreich gestartet.
Record Number: 7512
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090511140409.165015-000
Event Type: Überwachung erfolgreich
User:

Computer Name: *****
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
Sicherheits-ID: S-1-5-18
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7

Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 7511
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090511140408.899814-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6801
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

cosinus · 21.04.2010, 21:16

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

doofid · 22.04.2010, 13:17

...ich habe den langen Post mal lieber gelöscht und die Datei hochgeladen - habe nicht rausgefunden, wo ich das hier löschen kann, also falls der Admin/Mod so nett wäre, das zu tun. Ich entschuldige mich schon einmal für die Mühe

doofid · 22.04.2010, 13:20

...ich habe den langen Post mal lieber gelöscht und die Datei hochgeladen - habe nicht rausgefunden, wo ich das hier löschen kann, also falls der Admin/Mod so nett wäre, das zu tun. Ich entschuldige mich schon einmal für die Mühe

doofid · 22.04.2010, 13:26

...ich habe den langen Post mal lieber gelöscht und die Datei hochgeladen - habe nicht rausgefunden, wo ich das hier löschen kann, also falls der Admin/Mod so nett wäre, das zu tun. Ich entschuldige mich schon einmal für die Mühe

doofid · 22.04.2010, 13:28

Hi!
Vielen Dank schon schon einmal... ok, habe ich gemacht, habe es allerdings hochgeladen, weil das so lang war

cosinus · 22.04.2010, 13:29

Irgendwie hast Du die Dinger durcheinandergewürfelt. Pack alle Logs (auch das Log von Malwarebytes nach dem Vollscan) mal in eine ZIP Datei und lad sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und verlink das hier.

EDIT:

Es hat sich eh jetzt erledigt und zwar deswegen:

Zitat:

L:\Medien\Software\Audio\Sibelius\KeyGen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
L:\Medien\Software\Zubehˆr\the_bat!_professional_v4.1.11_final\keygen\keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

doofid · 22.04.2010, 14:44

Zitat:

Es hat sich eh jetzt erledigt und zwar deswegen:
Zitat:
L:\Medien\Software\Audio\Sibelius\KeyGen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
L:\Medien\Software\Zubehˆr\the_bat!_professional_v4.1.11_final\keygen\keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.
Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.
Danach nie wieder sowas anrühren!

Arggh. Das sagen zwar vermutlich alle User, die hier posten und aufgrund entsprechender Software die Hilfe verweigert bekommen, aber: die externe Festplatte gehört meinem Bruder und die hatte ich mir zwecks Datensicherung ausgeliehen, nachdem ich den Virus bemerkt habe. D.h. was auf dieser Platte ist kann nicht der Auslöser gewesen sein und wurde von mir auch nicht verwendet. Da ich das aber nicht nachweisen, muss ich vermutlich damit leben, dass ich keine weitere Hilfe bekomme, was?

cosinus · 22.04.2010, 16:07

Nagut, dann mach ich hier mal ne Ausnahme, v.a. weil die Dinger auch wiklirch nur auf L: gefunden wurden. Ich schau mir die Logs gleich an.

doofid · 22.04.2010, 17:09

Hey Arne,
sehr nett, vielen Dank!!

Ich habe die Logs gerade mal gezippt und hochgeladen: hxxp://www.file-upload.net/download-2457179/logs.rar.html
Ich bedanke mich schon einmal sehr für die Hilfe...
viele Grüße,
Doofid

cosinus · 22.04.2010, 19:42

Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
SRV - (Gapenwsm) --  File not found
DRV - (SysProtDrv.sys) -- C:\Users\User\AppData\Local\Temp\Rar$EX00.402\SysProt\SysProtDrv.sys ()
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dirdel.bat ()
O33 - MountPoints2\{7e87f250-3954-11de-8913-001e37bc77ce}\Shell\AutoRun\command - "" = J:\AutoPlay.exe -- File not found
O33 - MountPoints2\{dcf9acba-4a92-11de-8206-001e37bc77ce}\Shell\Auto\command - "" = K:\pagefile.pif -- File not found
[2010.04.22 14:00:49 | 000,000,000 | ---- | M] () -- C:\Windows\System32\drivers\hsntoaox.sys
[2010.04.10 10:26:24 | 000,000,790 | -HS- | M] () -- C:\EVP73.Key
[2010.04.10 10:23:10 | 000,000,016 | ---- | M] () -- C:\Windows\System32\w3data.vss
[2010.04.10 10:23:10 | 000,000,016 | ---- | M] () -- C:\Windows\System32\msvcsv60.dll
[2010.04.10 10:23:10 | 000,000,016 | ---- | M] () -- C:\Windows\msocreg32.dat
[2010.04.21 14:20:09 | 258,098,718 | ---- | C] () -- C:\Windows\MEMORY.DMP
:Commands
[resethosts]
[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.

doofid · 22.04.2010, 21:02

...hab ich gemacht. Leider lässt sich jetzt nach dem Reboot der Computer nicht mehr starten, es heißt, dass ein wichtiger System-Treiber C:\Windows\System32\drivers\hsntoaox.sys fehlt und man solle die Reparatur-CD einlegen (bei der Gelegenheit mal: es lebe Windows-Vista mit selbst-Brenn-Wiederherstellungsdiscs, die - wie sollte es anders sein - nicht erkannt werden... aber das ist ein anderes Thema).
Das hatte ich neulich nach einem Versuch den Virus zu löschen schon einmal, nach einiger Zeit ließ er sich dann aber doch wieder starten (aber prompt war die Datei wieder da...). Wenn ich den Rechner zum Laufen bekomme, poste ich das Log-File.
Danke schonmal!

cosinus · 23.04.2010, 14:41

Ok. Dann erstell auch bitte Logs mit GMER und OSAM und poste sie.

22.04.2010, 16:07	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys - Standard$ Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys Nagut, dann mach ich hier mal ne Ausnahme, v.a. weil die Dinger auch wiklirch nur auf L: gefunden wurden. Ich schau mir die Logs gleich an. __________________ Logfiles bitte immer in CODE-Tags posten

23.04.2010, 14:41	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys - Standard$ Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys Ok. Dann erstell auch bitte Logs mit GMER und OSAM und poste sie. __________________ Logfiles bitte immer in CODE-Tags posten

Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys

Plagegeister aller Art und deren Bekämpfung: Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys