| |
| |||||||
Log-Analyse und Auswertung: Security Tool geht nicht zu löschen ! Alles bekannte probiert.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
14.08.2010, 13:16
| #1 | ||
 |  Security Tool geht nicht zu löschen ! Alles bekannte probiert. Hallo. Ich habe euer Tutorial für das entfernen von Security Tool gelesen und befolgt. Das erste mal hat es wunderbar funktioniert. Aber nach 1-2 Wochen, war das tolle Tool wieder da =( Jetzt bekomme ich es aber nicht mehr weg ... Jede Version die ich von rkill gefunden habe hat das tool nicht beendet. rkill.com rkill.src rkill.exe .... auch umbenannt habe ich sie. Im Abgesicherten Modus läuft jetzt zum zweiten Mal "Malwarebytes". Es werden die Trojaner gefunden und gelöscht, nach neustart aber wieder a´beim alten =( CCleaner hab ich alle auch ausgeführt finde aber grad ads LOG file nicht. Also poste ich jetzt mal mein LogFile: RSIT: ( ist da HiJack mit dabei ? ) RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.08 (written by random/random) Run by Administrator at 2010-08-14 14:10:11 Microsoft Windows XP Professional Service Pack 2 System drive C: has 5 GB (30%) free of 15 GB Total RAM: 1534 MB (64% free) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 14:10:21, on 14.08.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\WINDOWS\explorer.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\SRWare Iron\iron.exe D:\Programme\SRWare Iron\iron.exe D:\Programme\SRWare Iron\iron.exe D:\Programme\SRWare Iron\iron.exe D:\Programme\SRWare Iron\RSIT.exe C:\Programme\trend micro\Administrator.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [BCD2000] %SystemRoot%\system32\bcd2kcpan.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 12.0.1278.0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 12.0.1278.0 (User 'Default user') O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ7.2\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Tomcat 5.5\bin\tomcat5.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- End of file - 6824 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\PMTask.job C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-04-04 75200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-03-24 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-03-24 79648] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "TVT Scheduler Proxy"=C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe [2008-03-04 487424] "TPHOTKEY"=C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe [2006-10-02 94208] "PWRMGRTR"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor [] "EZEJMNAP"=C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe [2008-10-08 256576] "StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-09-29 61440] ""= [] "TpShocks"=C:\WINDOWS\system32\TpShocks.exe [2009-07-08 337184] "BCD2000"=C:\WINDOWS\system32\bcd2kcpan.exe [2009-12-19 532480] "WinampAgent"=D:\Programme\Winamp\winampa.exe [2009-12-18 39424] "SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2004-11-08 110592] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2004-11-08 512000] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "SoundMAXPnP"=C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe [2004-10-14 1388544] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2004-08-06 860160] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-04-04 36272] "Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-06-09 976832] "iTunesHelper"=D:\Programme\iTunes\iTunesHelper.exe [2010-06-15 141624] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2010-03-17 421888] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\CTFMON.EXE [2006-02-28 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2009-09-29 155648] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tpfnf2] C:\WINDOWS\system32\notifyf2.dll [2005-07-06 28672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tphotkey] C:\WINDOWS\system32\tphklock.dll [2005-11-30 24576] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\IBM\Updater\jre\bin\java.exe"="C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\jre\bin\javaw.exe"="C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\ucsmb.exe"="C:\Programme\IBM\Updater\ucsmb.exe:*:Enabled:IBM Update Connector" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Programme\Pidgin\pidgin.exe"="C:\Programme\Pidgin\pidgin.exe:*:Enabled:Pidgin" "C:\Programme\Java\jre6\bin\javaw.exe"="C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\xampp\mysql\bin\mysqld.exe"="C:\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server" "C:\xampp\apache\bin\httpd.exe"="C:\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server" "C:\Programme\DNA\btdna.exe"="C:\Programme\DNA\btdna.exe:*:Enabled:DNA" "C:\Programme\Java\jdk1.6.0_18\jre\bin\java.exe"="C:\Programme\Java\jdk1.6.0_18\jre\bin\java.exe:*:Enabled:Java(TM) Platform SE binary" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour"" "D:\Programme\iTunes\iTunes.exe"="D:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Programme\TeamViewer\Version5\TeamViewer.exe"="C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application" "D:\Programme\PCTV Systems\TVCenter\TVCenter.exe"="D:\Programme\PCTV Systems\TVCenter\TVCenter.exe:*:Enabled:PCTV Systems TVCenter" "C:\Programme\Gemeinsame Dateien\PCTV Systems\PVR\VideoControl.exe"="C:\Programme\Gemeinsame Dateien\PCTV Systems\PVR\VideoControl.exe:*:Enabled:PCTV Systems VideoControl" "C:\Programme\Gemeinsame Dateien\PCTV Systems\StreamingServer\StrmServer.exe"="C:\Programme\Gemeinsame Dateien\PCTV Systems\StreamingServer\StrmServer.exe:*:Enabled:PCTV Systems DistanTV classic" "C:\Tomcat 5.5\bin\tomcat5.exe"="C:\Tomcat 5.5\bin\tomcat5.exe:*:Enabled:Service Runner" "D:\Programme\ICQ7.2\ICQ.exe"="D:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2" "D:\Programme\ICQ7.2\aolload.exe"="D:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\IBM\Updater\jre\bin\java.exe"="C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\jre\bin\javaw.exe"="C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\ucsmb.exe"="C:\Programme\IBM\Updater\ucsmb.exe:*:Enabled:IBM Update Connector" "D:\Programme\ICQ7.2\ICQ.exe"="D:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2" "D:\Programme\ICQ7.2\aolload.exe"="D:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe" ======List of files/folders created in the last 1 months====== 2010-08-14 14:02:01 ----D---- C:\Programme\trend micro 2010-08-14 14:01:59 ----D---- C:\rsit 2010-08-14 13:52:30 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia 2010-08-14 13:52:30 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe 2010-08-14 12:08:55 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-08-14 12:08:20 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TortoiseSVN 2010-08-14 12:07:15 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Subversion 2010-08-14 12:05:21 ----ASH---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\desktop.ini 2010-08-14 12:05:20 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft 2010-08-14 12:05:13 ----SHD---- C:\WINDOWS\CSC 2010-08-14 11:46:37 ----A---- C:\WINDOWS\system32\wpcap.dll 2010-08-14 11:46:37 ----A---- C:\WINDOWS\system32\Packet.dll 2010-08-14 11:46:37 ----A---- C:\WINDOWS\system32\drivers\npf.sys 2010-08-13 14:33:19 ----D---- C:\Programme\cherry-sms.com 2010-08-10 02:45:24 ----D---- C:\Programme\VodBurner 2010-08-10 01:37:04 ----A---- C:\WINDOWS\system32\LVUI2.dll 2010-08-10 01:37:03 ----A---- C:\WINDOWS\system32\LVUI2RC.dll 2010-08-10 01:37:03 ----A---- C:\WINDOWS\system32\lvcodec2.dll 2010-08-10 01:37:03 ----A---- C:\WINDOWS\system32\drivers\LV302V32.SYS 2010-08-10 01:36:07 ----A---- C:\WINDOWS\system32\lvcoinst.ini 2010-08-10 01:36:07 ----A---- C:\WINDOWS\system32\lvci1150.dll 2010-08-10 01:36:07 ----A---- C:\WINDOWS\system32\drivers\LVUSBSta.sys 2010-08-10 01:36:07 ----A---- C:\WINDOWS\system32\drivers\lv302af.sys 2010-08-10 01:35:21 ----D---- C:\Programme\Gemeinsame Dateien\LogiShrd 2010-08-05 13:31:52 ----D---- C:\Programme\CCleaner 2010-08-04 20:46:32 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2010-08-04 20:46:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-08-04 20:46:29 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-08-04 20:46:29 ----A---- C:\WINDOWS\system32\drivers\mbam.sys 2010-07-21 12:19:26 ----D---- C:\lucene 2010-07-20 12:57:48 ----D---- C:\Programme\Gemeinsame Dateien\Skype 2010-07-16 16:09:19 ----HDC---- C:\WINDOWS\$NtUninstallKB2229593$ ======List of files/folders modified in the last 1 months====== 2010-08-14 14:02:01 ----RD---- C:\Programme 2010-08-14 14:01:23 ----D---- C:\WINDOWS 2010-08-14 14:01:22 ----SHD---- C:\RECYCLER 2010-08-14 14:01:22 ----D---- C:\WINDOWS\Temp 2010-08-14 13:41:53 ----D---- C:\WINDOWS\Prefetch 2010-08-14 13:38:48 ----D---- C:\WINDOWS\system32\CatRoot2 2010-08-14 13:38:13 ----D---- C:\Programme\DNA 2010-08-14 13:37:21 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$ 2010-08-14 13:37:21 ----D---- C:\WINDOWS\system32\drivers 2010-08-14 12:05:19 ----D---- C:\Dokumente und Einstellungen 2010-08-14 11:46:37 ----D---- C:\WINDOWS\system32 2010-08-10 02:45:28 ----SHD---- C:\WINDOWS\Installer 2010-08-10 01:37:41 ----HD---- C:\WINDOWS\inf 2010-08-10 01:37:39 ----DC---- C:\WINDOWS\system32\DRVSTORE 2010-08-10 01:37:23 ----RSHDC---- C:\WINDOWS\system32\dllcache 2010-08-10 01:36:14 ----D---- C:\WINDOWS\system32\ReinstallBackups 2010-08-10 01:35:21 ----D---- C:\Programme\Gemeinsame Dateien 2010-08-08 11:22:27 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-08-05 19:21:29 ----HD---- C:\Programme\InstallShield Installation Information 2010-08-05 15:51:47 ----D---- C:\solr 2010-08-05 13:35:18 ----D---- C:\WINDOWS\Debug 2010-08-05 13:35:17 ----D---- C:\WINDOWS\Minidump 2010-07-20 13:02:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCTV Systems 2010-07-16 16:08:55 ----HD---- C:\WINDOWS\$hf_mig$ ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [2009-04-28 44944] R0 Shockprf;Shockprf; C:\WINDOWS\System32\DRIVERS\Apsx86.sys [2009-06-29 117800] R0 TPDIGIMN;TPDIGIMN; C:\WINDOWS\System32\DRIVERS\ApsHM86.sys [2009-06-29 20520] R0 TPDiskPM;TPDiskPM; C:\WINDOWS\system32\drivers\TPDiskPM.sys [2006-09-26 14848] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600] R3 IBMPMDRV;IBMPMDRV; C:\WINDOWS\system32\DRIVERS\ibmpmdrv.sys [2009-08-24 24872] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-11-08 177504] R3 TPInput;TPInput; C:\WINDOWS\System32\DRIVERS\TPInput.sys [2006-09-26 6528] R3 TPM;Winbond Trusted Platform Module; C:\WINDOWS\system32\DRIVERS\tpm.sys [2005-10-09 17792] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 w29n51;Intel(R) PRO/Wireless 2915ABG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2005-02-14 3255168] S1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] S1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] S1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2006-02-28 40192] S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] S1 TPHKDRV;TPHKDRV; C:\WINDOWS\system32\drivers\TPHKDRV.sys [2005-07-05 17699] S1 TPPWRIF;TPPWRIF; C:\WINDOWS\System32\drivers\Tppwrif.sys [2009-10-23 4442] S1 TSMAPIP;TSMAPIP; C:\WINDOWS\System32\drivers\TSMAPIP.SYS [2007-03-09 7168] S2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-12-19 17801] S2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424] S2 s24trans;WLAN Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2004-10-15 11354] S3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2004-05-17 133200] S3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-09-29 3565056] S3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir Desktop\avgntflt.sys [] S3 azvusb;Virtual USB Hub; C:\WINDOWS\system32\DRIVERS\azvusb.sys [2009-08-24 44544] S3 BCD2000;Behringer BCD2000 V1.1.1.0; C:\WINDOWS\system32\Drivers\BCD2000.SYS [2009-12-19 42400] S3 BCD2000WDM;Behringer BCD2000WDM V1.1.1.0; C:\WINDOWS\system32\Drivers\BCD2000WDM.SYS [2009-12-19 21632] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024] S3 echondgo;Indigo Service; C:\WINDOWS\system32\drivers\echondgo.sys [2007-10-06 133760] S3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] S3 Ltn_stk7070P;PCTV based TV tuner device; C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-10-19 466048] S3 Ltn_stkrc;PCTV Infrared Receiver; C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-10-19 13440] S3 LVMVDrv;Logitech Machine Vision Engine Loader; C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys [2007-10-11 2142488] S3 LVRS;Logitech RightSound Filter Driver; C:\WINDOWS\system32\DRIVERS\lvrs.sys [] S3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\DRIVERS\LVUSBSta.sys [2007-10-12 41752] S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys [] S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2004-08-03 15360] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880] S3 NPF;WinPcap Packet Driver (NPF); C:\WINDOWS\system32\drivers\NPF.sys [2010-08-14 50704] S3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\system32\DRIVERS\nscirda.sys [2004-08-04 28672] S3 pepifilter;Volume Adapter; C:\WINDOWS\system32\DRIVERS\lv302af.sys [2007-10-12 13848] S3 PID_PEPI;Logitech QuickCam IM(PID_PEPI); C:\WINDOWS\system32\DRIVERS\LV302V32.SYS [2007-10-12 1279000] S3 psadd;Lenovo Parties Service Access Device Driver; C:\WINDOWS\system32\DRIVERS\psadd.sys [2007-02-19 21376] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136] S3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2005-02-10 260224] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2010-04-19 41984] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== S2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] S2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] S2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-06-10 144176] S2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-09-29 602112] S2 Bonjour Service;Dienst "Bonjour"; C:\Programme\Bonjour\mDNSResponder.exe [2010-05-18 345376] S2 EvtEng;EvtEng; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2005-02-18 86016] S2 IBMPMSVC;ThinkPad PM Service; C:\WINDOWS\system32\ibmpmsvc.exe [2009-08-24 38176] S2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2006-02-28 14336] S2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-03-24 153376] S2 LVSrvLauncher;LVSrvLauncher; C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe [2007-10-19 141848] S2 Power Manager DBC Service;Power Manager DBC Service; C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe [2009-10-23 53248] S2 RegSrvc;RegSrvc; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2005-02-18 139264] S2 S24EventMonitor;Spectrum24 Event Monitor; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2005-02-18 360521] S2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056] S2 SUService;System Update; C:\Programme\Lenovo\System Update\SUService.exe [2009-06-12 28672] S2 ThinkVantage Registry Monitor Service;ThinkVantage Registry Monitor Service; C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe [2007-09-26 644408] S2 TVT Scheduler;TVT Scheduler; C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe [2008-03-04 1122304] S2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] S3 ACS;ACU Configuration Service; C:\WINDOWS\system32\acs.exe [2005-01-25 36864] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2010-06-15 540472] S3 Tomcat5;Apache Tomcat; C:\Tomcat 5.5\bin\tomcat5.exe [2009-07-24 57344] S3 TPHDEXLGSVC;ThinkPad HDD APS Logging Service; C:\WINDOWS\System32\TPHDEXLG.exe [2009-06-29 39976] S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- LogFile des letztens Malwarbytes durchlauf: Zitat:
Zitat:
|
|
14.08.2010, 15:08
| #2 |
| /// Malwareteam   | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
|
14.08.2010, 15:57
| #3 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. ahja, okay danke =)
__________________aber ich kann OTL nicht starten! Security Tool sperrt dieses sofort ... |
|
14.08.2010, 16:21
| #4 |
| /// Malwareteam | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Schritt 1 Proxy deaktivieren IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen. Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken. Schritt 2 Versuche bitte einmal OTL.exe auf dem Desktop in Sommer.com umzubenenne (rechtsklick auf otl.exe --> umbenennen) Falls dies auch nichts hilft dann gehe zu Schritt 3. Schritt 3 Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Geht es so mit OTL? |
|
14.08.2010, 18:47
| #5 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. ja im abgesicherten Modus gings. Die Idee hatte ich dann auch ;-) LogFile von OTL: Code:
ATTFilter OTL logfile created on: 14.08.2010 19:40:58 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 80,00% Memory free 3,00 Gb Paging File | 3,00 Gb Available in Paging File | 96,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 14,65 Gb Total Space | 4,41 Gb Free Space | 30,09% Space Free | Partition Type: NTFS Drive D: | 49,84 Gb Total Space | 2,00 Gb Free Space | 4,01% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 10,04 Gb Total Space | 0,67 Gb Free Space | 6,67% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: STOCK-52C3433DF Current User Name: Administrator Logged in as Administrator. Current Boot Mode: SafeMode with Networking Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - D:\Programme\SRWare Iron\iron.exe (SRWare) PRC - D:\Programme\TortoiseSVN\bin\TSVNCache.exe (hxxp://tortoisesvn.net) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (Power Manager DBC Service) -- C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe () SRV - (IBMPMSVC) -- C:\WINDOWS\system32\ibmpmsvc.exe (Lenovo) SRV - (Tomcat5) -- C:\Tomcat 5.5\bin\tomcat5.exe (Apache Software Foundation) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (TPHDEXLGSVC) -- C:\WINDOWS\system32\TPHDEXLG.exe (Lenovo.) SRV - (SUService) -- C:\Programme\Lenovo\System Update\SUService.exe (Lenovo Group Limited) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (TVT Scheduler) -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe (Lenovo Group Limited) SRV - (LVSrvLauncher) -- C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.) SRV - (ThinkVantage Registry Monitor Service) -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe (Lenovo Group Limited) SRV - (S24EventMonitor) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation ) SRV - (EvtEng) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation) SRV - (RegSrvc) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation) SRV - (ACS) -- C:\WINDOWS\system32\acs.exe () SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.) ========== Driver Services (SafeList) ========== DRV - (LVRS) -- C:\WINDOWS\System32\DRIVERS\lvrs.sys File not found DRV - (NPF) WinPcap Packet Driver (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.) DRV - (avgntflt) -- C:\Programme\Avira\AntiVir Desktop\avgntflt.sys (Avira GmbH) DRV - (BCD2000) -- C:\WINDOWS\system32\drivers\BCD2000.SYS (Behringer Spezielle Studiotechnik GmbH) DRV - (BCD2000WDM) -- C:\WINDOWS\system32\drivers\BCD2000WDM.SYS (Behringer Spezielle Studiotechnik GmbH) DRV - (TPPWRIF) -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS () DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (IBMPMDRV) -- C:\WINDOWS\system32\drivers\ibmpmdrv.sys (Lenovo.) DRV - (azvusb) -- C:\WINDOWS\system32\drivers\azvusb.sys (AzureWave Technologies, Inc.) DRV - (Shockprf) -- C:\WINDOWS\System32\DRIVERS\Apsx86.sys (Lenovo.) DRV - (TPDIGIMN) -- C:\WINDOWS\System32\DRIVERS\ApsHM86.sys (Lenovo.) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (Ltn_stk7070P) -- C:\WINDOWS\system32\drivers\Ltn_stk7070P.sys (LITEON) DRV - (Ltn_stkrc) -- C:\WINDOWS\system32\drivers\Ltn_stkrc.sys (LITEON) DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.) DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\system32\drivers\LV302V32.SYS (Logitech Inc.) DRV - (pepifilter) -- C:\WINDOWS\system32\drivers\lv302af.sys (Logitech Inc.) DRV - (LVMVDrv) -- C:\WINDOWS\system32\drivers\LVMVdrv.sys (Logitech Inc.) DRV - (echondgo) -- C:\WINDOWS\system32\drivers\echondgo.sys (Echo Digital Audio Corp.) DRV - (TSMAPIP) -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS () DRV - (psadd) -- C:\WINDOWS\system32\drivers\psadd.sys (Lenovo (United States) Inc.) DRV - (TPDiskPM) -- C:\WINDOWS\System32\drivers\TPDiskPM.sys (Lenovo, Ltd. and IBM Corporation) DRV - (TPInput) -- C:\WINDOWS\system32\drivers\TPInput.sys (Lenovo, Ltd. and IBM Corporation.) DRV - (TPM) -- C:\WINDOWS\system32\drivers\tpm.sys (Winbond Electronics Corp.) DRV - (TPHKDRV) -- C:\WINDOWS\System32\drivers\TPHKDRV.sys (IBM Corporation) DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation) DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation) DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.07.01 12:43:54 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.07.16 15:17:32 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1\extensions\\Components: D:\Programme\Mozilla Thunderbird\components [2010.07.16 15:17:32 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1\extensions\\Plugins: D:\Programme\Mozilla Thunderbird\plugins O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BCD2000] C:\WINDOWS\system32\bcd2kcpan.exe (Behringer Spezielle Studiotechnik GmbH) O4 - HKLM..\Run: [EZEJMNAP] C:\Programme\ThinkPad\Utilities\EZEJMNAP.EXE (Lenovo Group Ltd.) O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited) O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKLM..\Run: [TPHOTKEY] C:\Programme\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe () O4 - HKLM..\Run: [TpShocks] C:\WINDOWS\System32\TpShocks.exe (Lenovo.) O4 - HKLM..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe (Lenovo Group Limited) O4 - HKLM..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe (Nullsoft) O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll () O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll () O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.12.19 16:18:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.04.23 15:01:48 | 000,000,000 | ---D | M] - F:\Automatisch zu iTunes hinzufügen -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.14 19:37:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinRAR [2010.08.14 14:28:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.08.14 14:27:50 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2010.08.14 14:26:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\MFTools [2010.08.14 14:26:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads [2010.08.14 14:12:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien [2010.08.14 14:09:52 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2010.08.14 14:02:01 | 000,000,000 | ---D | C] -- C:\Programme\trend micro [2010.08.14 14:01:59 | 000,000,000 | ---D | C] -- C:\rsit [2010.08.14 13:52:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2010.08.14 13:52:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe [2010.08.14 13:49:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Chromium [2010.08.14 12:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.08.14 12:08:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TortoiseSVN [2010.08.14 12:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Subversion [2010.08.14 12:05:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\TSVNCache [2010.08.14 12:05:20 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft [2010.08.14 12:05:20 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies [2010.08.14 12:05:20 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo [2010.08.14 12:05:20 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten [2010.08.14 12:05:20 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü [2010.08.14 12:05:20 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen [2010.08.14 12:05:20 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung [2010.08.14 12:05:20 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen [2010.08.14 12:05:20 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung [2010.08.14 12:05:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft [2010.08.14 12:05:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten [2010.08.14 12:05:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop [2010.08.14 12:05:13 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2010.08.14 12:01:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.08.14 12:00:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.08.14 11:46:37 | 000,281,104 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\wpcap.dll [2010.08.14 11:46:37 | 000,100,880 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\Packet.dll [2010.08.14 11:46:37 | 000,050,704 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\drivers\npf.sys [2010.08.13 14:33:19 | 000,000,000 | ---D | C] -- C:\Programme\cherry-sms.com [2010.08.10 02:45:24 | 000,000,000 | ---D | C] -- C:\Programme\VodBurner [2010.08.10 01:37:04 | 000,490,008 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\LVUI2.dll [2010.08.10 01:37:03 | 001,279,000 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\drivers\LV302V32.SYS [2010.08.10 01:37:03 | 000,465,432 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\LVUI2RC.dll [2010.08.10 01:37:03 | 000,416,280 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\lvcodec2.dll [2010.08.10 01:36:07 | 000,195,096 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\lvci1150.dll [2010.08.10 01:36:07 | 000,041,752 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\drivers\LVUSBSta.sys [2010.08.10 01:36:07 | 000,013,848 | ---- | C] (Logitech Inc.) -- C:\WINDOWS\System32\drivers\lv302af.sys [2010.08.10 01:35:21 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\LogiShrd [2010.08.05 13:31:52 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.04 20:46:32 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.04 20:46:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.04 20:46:29 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.04 20:46:29 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.07.21 12:19:26 | 000,000,000 | ---D | C] -- C:\lucene [2010.07.20 12:57:48 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.14 19:37:08 | 000,786,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.08.14 19:36:36 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.14 19:36:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.14 16:59:12 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.14 16:51:27 | 000,000,300 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job [2010.08.14 16:51:24 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job [2010.08.14 15:31:50 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.08.14 15:31:46 | 003,712,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.14 14:27:52 | 000,000,747 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk [2010.08.14 14:27:51 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\NTREGOPT.lnk [2010.08.14 14:27:51 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ERUNT.lnk [2010.08.14 14:26:43 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer.zip [2010.08.14 14:13:04 | 000,027,398 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100814_141250.reg [2010.08.14 11:46:37 | 000,281,104 | ---- | M] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\wpcap.dll [2010.08.14 11:46:37 | 000,100,880 | ---- | M] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\Packet.dll [2010.08.14 11:46:37 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\drivers\npf.sys [2010.08.08 11:22:27 | 001,042,312 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.08 11:22:27 | 000,449,044 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.08 11:22:27 | 000,432,690 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.08 11:22:27 | 000,080,500 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.08 11:22:27 | 000,067,646 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.21 13:59:46 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.14 14:27:52 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk [2010.08.14 14:27:51 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\NTREGOPT.lnk [2010.08.14 14:27:51 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ERUNT.lnk [2010.08.14 14:26:41 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer.zip [2010.08.14 14:12:54 | 000,027,398 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\cc_20100814_141250.reg [2010.08.14 12:05:22 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.08.14 12:05:21 | 000,110,592 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG [2010.08.14 12:05:20 | 000,786,432 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.08.10 01:36:07 | 000,059,500 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini [2010.08.10 01:36:07 | 000,021,138 | ---- | C] () -- C:\WINDOWS\System32\Repository.reg [2010.07.03 11:57:05 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll [2009.12.19 18:52:14 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll [2009.12.19 17:37:28 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSMAPIP.SYS [2009.12.19 17:36:40 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS [2009.12.19 16:29:55 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll [2009.12.19 16:29:55 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll [2007.09.06 02:01:22 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2007.08.23 18:55:34 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2007.08.23 18:50:04 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest [2007.08.23 18:50:04 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest [2006.02.28 14:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys [2005.11.30 21:16:02 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll [2005.07.06 00:45:08 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll ========== LOP Check ========== [2010.08.14 12:07:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Subversion [2010.04.02 01:04:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009.12.24 12:40:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm [2010.07.20 13:02:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCTV Systems [2010.03.07 23:20:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WindSolutions [2010.04.23 14:58:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.03.05 00:10:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2010.08.14 16:51:27 | 000,000,300 | ---- | M] () -- C:\WINDOWS\Tasks\PMTask.job [2010.08.14 16:51:24 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 14.08.2010 19:40:58 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 80,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 96,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 4,41 Gb Free Space | 30,09% Space Free | Partition Type: NTFS
Drive D: | 49,84 Gb Total Space | 2,00 Gb Free Space | 4,01% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 10,04 Gb Total Space | 0,67 Gb Free Space | 6,67% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: STOCK-52C3433DF
Current User Name: Administrator
Logged in as Administrator.
Current Boot Mode: SafeMode with Networking
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromiumHTML] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\IBM\Updater\jre\bin\java.exe" = C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:IBM Update Connector -- File not found
"C:\Programme\IBM\Updater\jre\bin\javaw.exe" = C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:IBM Update Connector -- File not found
"C:\Programme\IBM\Updater\ucsmb.exe" = C:\Programme\IBM\Updater\ucsmb.exe:*:Enabled:IBM Update Connector -- File not found
"D:\Programme\ICQ7.2\ICQ.exe" = D:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"D:\Programme\ICQ7.2\aolload.exe" = D:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\IBM\Updater\jre\bin\java.exe" = C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:IBM Update Connector -- File not found
"C:\Programme\IBM\Updater\jre\bin\javaw.exe" = C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:IBM Update Connector -- File not found
"C:\Programme\IBM\Updater\ucsmb.exe" = C:\Programme\IBM\Updater\ucsmb.exe:*:Enabled:IBM Update Connector -- File not found
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Pidgin\pidgin.exe" = C:\Programme\Pidgin\pidgin.exe:*:Enabled:Pidgin -- File not found
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- (MySQL AB)
"C:\xampp\apache\bin\httpd.exe" = C:\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\DNA\btdna.exe" = C:\Programme\DNA\btdna.exe:*:Enabled:DNA -- (BitTorrent, Inc.)
"C:\Programme\Java\jdk1.6.0_18\jre\bin\java.exe" = C:\Programme\Java\jdk1.6.0_18\jre\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"D:\Programme\iTunes\iTunes.exe" = D:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"D:\Programme\PCTV Systems\TVCenter\TVCenter.exe" = D:\Programme\PCTV Systems\TVCenter\TVCenter.exe:*:Enabled:PCTV Systems TVCenter -- File not found
"C:\Programme\Gemeinsame Dateien\PCTV Systems\PVR\VideoControl.exe" = C:\Programme\Gemeinsame Dateien\PCTV Systems\PVR\VideoControl.exe:*:Enabled:PCTV Systems VideoControl -- File not found
"C:\Programme\Gemeinsame Dateien\PCTV Systems\StreamingServer\StrmServer.exe" = C:\Programme\Gemeinsame Dateien\PCTV Systems\StreamingServer\StrmServer.exe:*:Enabled:PCTV Systems DistanTV classic -- File not found
"C:\Tomcat 5.5\bin\tomcat5.exe" = C:\Tomcat 5.5\bin\tomcat5.exe:*:Enabled:Service Runner -- (Apache Software Foundation)
"D:\Programme\ICQ7.2\ICQ.exe" = D:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"D:\Programme\ICQ7.2\aolload.exe" = D:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{024D73F0-1C49-2340-8AC3-5234AAA560C0}" = ccc-core-static
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{0873B1A3-00A9-40D6-BACE-3DB4BC5DA840}" = ThinkPad SATA Power Management Driver
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{1297C681-92D7-40EF-93BF-03F66EC5105C}" = ThinkPad-Dienstprogramm 'EasyEject'
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{24F9E04D-4CD5-3979-76F9-C1C6E78471AB}" = CCC Help Italian
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{32A3A4F4-B792-11D6-A78A-00B0D0160180}" = Java(TM) SE Development Kit 6 Update 18
"{3305E24F-1192-0424-8A25-39713FD92728}" = Skins
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3DA7A736-0B03-565C-1139-83FE890F0AF3}" = CCC Help French
"{43A1FE83-D39F-3779-8D48-D6D19EE7AC48}" = CCC Help Chinese Traditional
"{46A84694-59EC-48F0-964C-7E76E9F8A2ED}" = ThinkVantage System für aktiven Festplattenschutz
"{4B6A3B5E-D26E-4690-A061-F3E2FB10F0E5}" = TortoiseSVN 1.6.9.19725 (32 bit)
"{4CC04CB8-422A-4940-A5C9-90F233690509}_is1" = SRWare Iron 3.0.197.0
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{57FA0525-01F9-4051-8DE9-CBF43CAC68D9}" = Catalyst Control Center - Branding
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FE1E412-D114-46E8-A891-5BE087B256A5}" = MVision
"{656957B8-41DB-4E43-AAA1-B128C2213D50}" = VodBurner
"{66CA5E58-0D03-A75D-16EF-68258DE0DFC3}" = CCC Help English
"{6BC292E6-5C85-4620-C1D0-A2FEAFD5D135}" = CCC Help Japanese
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{7579A17B-0E6C-9EF3-D022-30729A24B399}" = CCC Help Chinese Standard
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7AB3A249-FB81-416B-917A-A2A10E74C503}" = iTunes
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7BAA2000-5B8D-66DD-DBE7-089671AC118B}" = ccc-utility
"{7C2BD022-2B09-1F6D-D6C1-AD2A591E7537}" = Catalyst Control Center Core Implementation
"{806DB796-7082-C63F-284E-62245284A417}" = CCC Help Dutch
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8675339C-128C-44DD-83BF-0A5D6ABD8297}" = System Update
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{9FAC9E5C-0D20-4DBF-AFE5-2E09C52A95A2}" = IBM Wireless LAN Adapters Software (11a/b, 11b/g, 11a/b/g)
"{A0E64EBA-8BF0-49FB-90C0-BB3D781A2016}" = ThinkPad Energie-Manager
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A3E23D97-145F-29BF-81DE-DAEC1E5AB237}" = Catalyst Control Center Graphics Full New
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8FA2AC0-3875-B59F-917F-719982FB1BE8}" = CCC Help Portuguese
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{AE1A0B0E-2EC7-656A-711A-0E7E8D4AB5CF}" = CCC Help Spanish
"{B016DE7B-CA2D-5EFD-9591-A109E67119BD}" = CCC Help Swedish
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{C4A92EF9-D14C-937F-742E-D272938DC590}" = CCC Help Korean
"{C59CF2CE-B302-4833-AA35-E0E07D8EBC52}_is1" = SRWare Iron 5.0.381
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCB3F587-BAD0-4F32-99FC-301E6F9ABAB4}" = MIDI Yoke
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}" = Full Tilt Poker
"{D702172D-8D17-D9EC-B661-42FA268575AF}" = Catalyst Control Center Localization All
"{DAA3F236-CEEC-C6CC-12C2-AB1B75C8BC09}" = CCC Help German
"{DFAA3D2B-7087-464E-823B-738A23C29C27}" = Microsoft Visual J# 2.0 Redistributable Package - SE
"{E09CEE8B-1DCD-C628-A8EA-2B56D61DDEFA}" = ccc-core-preinstall
"{E25E4542-4ACB-4062-9F34-9DFE136BCBF3}" = Now Playing Plugin for Windows Live Writer
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F3439243-1BAC-7250-D346-2642655F95ED}" = Catalyst Control Center Graphics Full Existing
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"{FF2AFF73-099E-0BB5-AE87-B044D3D7DE78}" = Catalyst Control Center Graphics Light
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Apache Tomcat 5.5" = Apache Tomcat 5.5 (remove only)
"Aspell" = Aspell Data
"Aspell6-Dictionary-de" = Aspell 0.6 Dictionary (Language: de)
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"cherry-sms" = Cherry SMS Client
"Echo Indigo" = Echo Indigo
"ERUNT_is1" = ERUNT 1.1j
"foobar2000" = foobar2000 v1.0
"GNU Aspell_is1" = GNU Aspell 0.50-3
"GTK 2.0" = GTK+ Runtime 2.14.7 rev a (nur entfernen)
"JDownloader" = JDownloader
"LastFM_is1" = Last.fm 1.5.4.24567
"lvdrivers_11.50" = Logitech QuickCam-Treiberpaket
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Visual J# 2.0 Redistributable Package - SE" = Microsoft Visual J# 2.0 Redistributable Package - SE
"MiKTeX 2.8" = MiKTeX 2.8
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"Mozilla Thunderbird (3.1)" = Mozilla Thunderbird (3.1)
"Notepad++" = Notepad++
"PokerStars" = PokerStars
"Power Management Driver" = ThinkPad Power Management Driver
"Presentation Director" = ThinkPad-Präsentationsdirektor
"ProInst" = Intel(R) PROSet/Wireless Software
"Secure Eraser_is1" = Secure Eraser v3.1
"SynTPDeinstKey" = IBM ThinkPad UltraNav Driver
"TeamViewer 5" = TeamViewer 5
"Texmaker" = Texmaker
"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"VLC media player" = VLC media player 1.0.5
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Encoder 9" = Windows Media Encoder 9 Series
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinRAR archiver" = WinRAR
"winscp3_is1" = WinSCP 4.2.5
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 13.08.2010 13:42:26 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 22625
Error - 13.08.2010 13:42:28 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 13.08.2010 13:42:28 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 24609
Error - 13.08.2010 13:42:28 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 24609
Error - 13.08.2010 13:42:30 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 13.08.2010 13:42:30 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 26578
Error - 13.08.2010 13:42:30 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 26578
Error - 13.08.2010 13:42:32 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 13.08.2010 13:42:32 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 28734
Error - 13.08.2010 13:42:32 | Computer Name = STOCK-52C3433DF | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 28734
[ System Events ]
Error - 14.08.2010 09:33:27 | Computer Name = STOCK-52C3433DF | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
Error - 14.08.2010 09:33:27 | Computer Name = STOCK-52C3433DF | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.
Error - 14.08.2010 09:33:50 | Computer Name = STOCK-52C3433DF | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
IntelIde
Error - 14.08.2010 10:51:40 | Computer Name = STOCK-52C3433DF | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
Error - 14.08.2010 10:51:40 | Computer Name = STOCK-52C3433DF | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.
Error - 14.08.2010 13:36:50 | Computer Name = STOCK-52C3433DF | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
Error - 14.08.2010 13:36:50 | Computer Name = STOCK-52C3433DF | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.
Error - 14.08.2010 13:36:56 | Computer Name = STOCK-52C3433DF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.08.2010 13:37:04 | Computer Name = STOCK-52C3433DF | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 14.08.2010 13:38:13 | Computer Name = STOCK-52C3433DF | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avgio avipbb Fips intelppm ssmdrv TPHKDRV TPPWRIF TSMAPIP
< End of report >
|
|
14.08.2010, 19:07
| #6 |
| /// Malwareteam | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Schritt 1 Java aktualisieren Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. Schritt 2 Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer. Vorbereitung
ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 3 Hast Du inzwischen wieder mit Malwarebytes gescannt? Einen fullscan? Poste mir das Log. Wenn nicht, dann führe den Scan noch aus. |
|
15.08.2010, 10:51
| #7 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. aaaha. okay dann installier ich mal java und so neu. Aber hier noch mein GMER-Log: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-14 20:59:57
Windows 5.1.2600 Service Pack 2
Running: 86l99wpf.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fflyqkoc.sys
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\DRIVERS\rasacd.sys entry point in ".rsrc" section [0xBA6DCC14]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[984] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 007A000A
.text C:\WINDOWS\system32\svchost.exe[984] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 007B000A
.text C:\WINDOWS\system32\svchost.exe[984] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0079000C
.text C:\WINDOWS\system32\svchost.exe[984] USER32.dll!GetCursorPos 77D1C566 5 Bytes JMP 0125000A
.text C:\WINDOWS\system32\svchost.exe[984] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 0095000A
.text C:\WINDOWS\Explorer.EXE[1604] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00A6000A
.text C:\WINDOWS\Explorer.EXE[1604] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00A7000A
.text C:\WINDOWS\Explorer.EXE[1604] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00A0000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation)
Device -> \Driver\atapi \Device\Harddisk0\DR0 88F44EC5
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x97 0x20 0x4E 0x9A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\DRIVERS\rasacd.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
... und jetzt ? Was bringen die scans die ich gemacht habe ? Die löschen ja nix, oder !?!? |
|
15.08.2010, 17:28
| #8 | |
| /// Malwareteam | Security Tool geht nicht zu löschen ! Alles bekannte probiert.Zitat:
Schritt 1 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**  
|
|
15.08.2010, 18:20
| #9 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Guden. Ich kann auch Combo-Fix nicht starten, nur im Abgesicherten Modus. Wenn ich das da machen will, geht das zwar, aber das Tool meckert, das Antivir noch aktiv ist. Dachte eigentlich das Antivir im A-Modus nicht aktiv sein KANN !?!? Den Prozess kann ich nicht beenden, da er nicht im Task-Manager vorhanden ist. (avguard und sched) ... net stop avguard.exe hat auch keine Wirkung. Kann ich den ComboFix trotzdem starten ? ComboFix beschwert sich 2 mal vorm starten deswegen. Also habe ich den abggebrochen ... |
|
15.08.2010, 21:00
| #10 |
| /// Malwareteam | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Schritt 1 Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast. Wähle hier:Abgesicherter Modus mit Netzwerktreibern Schritt 2 Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.und speichere die Datei auf dem Desktop.
Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit. Schritt 3 Wechsle wieder in den Normalmodus und versuche Combofix nun auszuführen. |
|
16.08.2010, 08:02
| #11 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Morgen =) Dein letzten Beitrag versteh ich nicht. habe ihn zwar gemacht, ohne erfolg .... Warum muss ich im A-Modus den rkill ausführen um dann im normalen Modus den ComboFix auszuführen ?! Sollte ich den ComboFix eher im A-Modus ausführen oder ? Habe ich versucht. Also rkill und dann ComboFix im A-Modus, aber Antivir ist immer noch nicht beendet, laut ComboFix ... Soll ich ihn trotzdem ausführen ? Was macht ComboFix eigentlich ? |
|
16.08.2010, 09:14
| #12 |
| /// Malwareteam | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Du musst einfach genau das machen was in der Anleitung steht  Also in den abgesicherten Modus und dann rkill anwednen. Danach wieder in den Normalmodus und Malwarebytes anwenden. Ich habe im letzten Post nichts geschrieben von Combofix. Was die Programme machen kann ich Dir auch Zeitgründen nicht erklären. Nur soviel, dass Combofix eines der stärksten Tool ist welche sich tief in das System eingräbt um Malware zu finden. Aber wie gesagt es ist stark und deshlab auch gefährlich. |
|
16.08.2010, 10:11
| #13 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. hmm .. okay. ich dachte ich muss den letzten schritt machen um den vorletzten durchführen zu können ! versteh auch nicht warum die im abgesichterten modus die beendeten programme dann bei nem moduswechsel immer noch beendet sein sollen !? ^^ naja egal ... nuja, habe jetzt antivir manuell gelöscht und ComboFix ausgeführt. Der hat was gelöscht. Hier das Log vom ComboFix: Code:
ATTFilter ComboFix 10-08-15.02 - Administrator 16.08.2010 9:55.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1534.1306 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\stock\Anwendungsdaten\5E3C37507FE5424BF0B35E72B1FC6681
c:\dokumente und einstellungen\stock\Anwendungsdaten\5E3C37507FE5424BF0B35E72B1FC6681\enemies-names.txt
c:\dokumente und einstellungen\stock\Anwendungsdaten\5E3C37507FE5424BF0B35E72B1FC6681\local.ini
c:\dokumente und einstellungen\stock\Lokale Einstellungen\Anwendungsdaten\336553960.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\wpcap.dll
Infizierte Kopie von c:\windows\system32\drivers\rasacd.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((( Dateien erstellt von 2010-07-16 bis 2010-08-16 ))))))))))))))))))))))))))))))
.
2010-08-16 07:29 . 2010-08-16 07:29 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ASCOMP Software
2010-08-16 06:51 . 2010-08-16 06:51 363520 ----a-w- C:\deinemudder.com
2010-08-15 10:06 . 2010-08-15 10:06 79488 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll
2010-08-15 10:06 . 2010-08-15 10:06 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_21\lzma.dll
2010-08-14 12:27 . 2010-08-14 12:27 -------- d-----w- c:\programme\ERUNT
2010-08-14 12:12 . 2010-08-14 18:59 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-08-14 12:02 . 2010-08-14 12:10 -------- d-----w- c:\programme\trend micro
2010-08-14 12:01 . 2010-08-14 12:02 -------- d-----w- C:\rsit
2010-08-14 11:49 . 2010-08-14 11:49 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Chromium
2010-08-14 10:08 . 2010-08-14 10:08 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-08-14 10:08 . 2010-08-14 10:08 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TortoiseSVN
2010-08-14 10:07 . 2010-08-14 10:07 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Subversion
2010-08-14 09:59 . 2010-08-14 09:59 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-08-13 12:33 . 2010-08-13 12:35 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\cherry-sms.com
2010-08-13 12:33 . 2010-08-13 12:33 -------- d-----w- c:\programme\cherry-sms.com
2010-08-10 00:45 . 2010-08-16 07:14 -------- d-----w- c:\programme\VodBurner
2010-08-10 00:44 . 2010-08-10 00:44 626688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\msvcr80.dll
2010-08-10 00:44 . 2010-08-10 00:44 620032 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\SLHook.dll
2010-08-10 00:44 . 2010-08-10 00:44 603648 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\refine.exe
2010-08-10 00:44 . 2010-08-10 00:44 5161984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\VodBurner.exe
2010-08-10 00:44 . 2010-08-10 00:44 29696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\sl_wmf.dll
2010-08-10 00:44 . 2010-08-10 00:44 17920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\sl_asf.dll
2010-08-10 00:44 . 2010-08-10 00:44 1700352 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\GdiPlus.dll
2010-08-10 00:44 . 2010-08-10 00:44 826880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\slplugin.dll
2010-08-10 00:44 . 2010-08-10 00:44 428032 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\rubit.exe
2010-08-10 00:44 . 2010-08-10 00:44 2608128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\15369F80F920484EABEE8CCB11D0565F\vodburner\Desk.exe
2010-08-09 23:37 . 2007-10-12 02:00 490008 ----a-w- c:\windows\system32\LVUI2.dll
2010-08-09 23:37 . 2007-10-12 02:00 465432 ----a-w- c:\windows\system32\LVUI2RC.dll
2010-08-09 23:37 . 2007-10-12 01:57 416280 ----a-w- c:\windows\system32\lvcodec2.dll
2010-08-09 23:37 . 2007-10-12 01:55 1279000 ----a-w- c:\windows\system32\drivers\LV302V32.SYS
2010-08-09 23:36 . 2007-10-12 02:00 41752 ----a-w- c:\windows\system32\drivers\LVUSBSta.sys
2010-08-09 23:36 . 2007-10-12 01:57 195096 ----a-w- c:\windows\system32\lvci1150.dll
2010-08-09 23:36 . 2007-10-12 01:55 13848 ----a-w- c:\windows\system32\drivers\lv302af.sys
2010-08-09 23:36 . 2007-10-12 01:18 21138 ----a-w- c:\windows\system32\Repository.reg
2010-08-09 23:35 . 2010-08-09 23:35 10134 ----a-r- c:\dokumente und einstellungen\stock\Anwendungsdaten\Microsoft\Installer\{5FE1E412-D114-46E8-A891-5BE087B256A5}\ARPPRODUCTICON.exe
2010-08-09 23:35 . 2010-08-09 23:37 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShrd
2010-08-05 11:31 . 2010-08-05 11:32 -------- d-----w- c:\programme\CCleaner
2010-08-04 18:46 . 2010-08-04 18:46 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Malwarebytes
2010-08-04 18:46 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-04 18:46 . 2010-08-04 18:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-04 18:46 . 2010-08-04 18:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-04 18:46 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-04 16:01 . 2010-08-08 10:28 -------- d-----w- c:\dokumente und einstellungen\stock\Lokale Einstellungen\Anwendungsdaten\Personal
2010-07-21 10:19 . 2010-06-11 15:17 -------- d-----w- C:\lucene
2010-07-20 10:57 . 2010-07-20 10:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 07:20 . 2010-02-27 16:28 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\DNA
2010-08-16 07:12 . 2010-02-27 16:28 -------- d-----w- c:\programme\DNA
2010-08-15 09:49 . 2010-06-09 20:18 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-08-14 11:36 . 2010-05-31 20:35 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Uvpite
2010-08-14 09:46 . 2010-06-08 15:42 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Lesiw
2010-08-13 17:31 . 2009-12-27 14:04 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Skype
2010-08-13 14:03 . 2009-12-27 14:27 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\skypePM
2010-08-13 11:56 . 2009-12-19 16:36 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Winamp
2010-08-08 09:22 . 2006-02-28 12:00 80500 ----a-w- c:\windows\system32\perfc007.dat
2010-08-08 09:22 . 2006-02-28 12:00 449044 ----a-w- c:\windows\system32\perfh007.dat
2010-08-05 17:21 . 2009-12-19 14:28 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-08-05 11:36 . 2010-02-15 20:50 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Media Player Classic
2010-07-21 17:35 . 2010-07-02 05:50 619648 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-20 11:02 . 2010-07-03 10:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCTV Systems
2010-07-16 13:11 . 2010-07-16 13:11 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\Thunderbird
2010-07-07 16:50 . 2010-03-24 11:50 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\TortoiseSVN
2010-07-07 12:45 . 2010-07-07 12:45 -------- d-----w- c:\programme\Gemeinsame Dateien\TortoiseOverlays
2010-07-07 12:18 . 2010-07-07 12:18 55764 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Dictionaries\Uninstall-AspellDict-de.exe
2010-07-07 12:00 . 2010-07-07 12:00 61966 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell\Uninstall-AspellData.exe
2010-07-07 12:00 . 2010-07-07 12:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Aspell
2010-07-07 11:50 . 2010-07-07 11:50 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\DivX
2010-07-03 10:07 . 2010-01-07 21:27 -------- d-----w- c:\programme\DivX
2010-07-01 20:35 . 2010-03-05 11:53 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\TeamViewer
2010-07-01 20:28 . 2010-03-05 11:52 -------- d-----w- c:\programme\TeamViewer
2010-07-01 11:40 . 2009-12-21 19:41 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\ICQ
2010-07-01 10:43 . 2010-07-01 10:42 -------- d-----w- c:\programme\QuickTime
2010-06-30 18:49 . 2010-06-18 19:21 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\vlc
2010-06-22 22:21 . 2010-06-22 22:21 -------- d-----w- c:\programme\iPod
2010-06-22 22:20 . 2010-03-04 22:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-06-22 22:16 . 2010-06-22 22:16 -------- d-----w- c:\programme\Bonjour
2010-06-18 18:32 . 2010-06-18 18:32 -------- d-----w- c:\programme\VideoLAN
2010-06-17 21:21 . 2010-02-08 21:57 -------- d-----w- c:\dokumente und einstellungen\stock\Anwendungsdaten\foobar2000
2010-06-15 19:04 . 2010-06-15 19:04 138 ----a-w- c:\dokumente und einstellungen\stock\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-15 18:01 . 2010-06-15 18:01 72504 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:30 . 2009-12-19 14:16 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-27 11:14 . 2010-05-27 11:14 17088 -c--a-w- c:\dokumente und einstellungen\stock\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2010-04-23 16:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2009-10-23 421888]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-10-08 256576]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-29 61440]
"TpShocks"="TpShocks.exe" [2009-07-08 337184]
"BCD2000"="c:\windows\system32\bcd2kcpan.exe" [2009-12-19 532480]
"WinampAgent"="d:\programme\Winamp\winampa.exe" [2009-12-18 39424]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-08 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-08 512000]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2007-10-12 439568]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 ----a-w- c:\windows\system32\notifyf2.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16 24576 ----a-w- c:\windows\system32\tphklock.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=myokent.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Tomcat 5.5\\bin\\tomcat5.exe"=
"d:\\Programme\\ICQ7.2\\ICQ.exe"=
"d:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [29.06.2009 14:51 20520]
R0 TPDiskPM;TPDiskPM;c:\windows\system32\drivers\TPDiskPM.sys [19.12.2009 17:41 14848]
R3 TPInput;TPInput;c:\windows\system32\drivers\TPInput.sys [19.12.2009 17:41 6528]
S2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [19.12.2009 17:36 53248]
S3 azvusb;Virtual USB Hub;c:\windows\system32\drivers\azvusb.sys [24.08.2009 09:14 44544]
S3 BCD2000;Behringer BCD2000 V1.1.1.0;c:\windows\system32\drivers\BCD2000.SYS [19.12.2009 18:40 42400]
S3 BCD2000WDM;Behringer BCD2000WDM V1.1.1.0;c:\windows\system32\drivers\BCD2000WDM.SYS [19.12.2009 18:40 21632]
S3 echondgo;Indigo Service;c:\windows\system32\drivers\echondgo.sys [24.12.2009 17:07 133760]
S3 Ltn_stk7070P;PCTV based TV tuner device;c:\windows\system32\drivers\Ltn_stk7070P.sys [03.07.2010 11:57 466048]
S3 Ltn_stkrc;PCTV Infrared Receiver;c:\windows\system32\drivers\Ltn_stkrc.sys [03.07.2010 11:57 13440]
S3 Tomcat5;Apache Tomcat;c:\tomcat 5.5\bin\tomcat5.exe [24.07.2009 21:35 57344]
.
Inhalt des "geplante Tasks" Ordners
2010-08-16 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2009-12-19 00:04]
2010-08-16 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-12-21 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-16 10:06
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\myokent.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\tphklock.dll
- - - - - - - > 'lsass.exe'(708)
c:\windows\system32\myokent.dll
- - - - - - - > 'explorer.exe'(1948)
c:\windows\system32\myokent.dll
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
d:\programme\TortoiseSVN\bin\TortoiseStub.dll
d:\programme\TortoiseSVN\bin\TortoiseSVN.dll
d:\programme\TortoiseSVN\bin\intl3_tsvn.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\TortoiseSVN\bin\TSVNCache.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-16 10:09:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-16 08:09
Vor Suchlauf: 4.789.809.152 Bytes frei
Nach Suchlauf: 4.878.417.920 Bytes frei
- - End Of File - - 578504F990F60013D611B797E799BD05
Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4427
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180
16.08.2010 11:10:24
mbam-log-2010-08-16 (11-10-24).txt
Scan type: Full scan (C:\|D:\|F:\|)
Objects scanned: 341558
Time elapsed: 48 minute(s), 34 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
D:\System Volume Information\_restore{46A85308-0170-4DE1-A674-F327EDBED481}\RP179\A0038363.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\stock\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
|
|
16.08.2010, 11:21
| #14 |
| | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Und die Logdatei vom neuen MalwarebytesScan im Normalen Modus: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4435
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
16.08.2010 12:13:16
mbam-log-2010-08-16 (12-13-16).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 81669
Laufzeit: 57 Minute(n), 10 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\stock\Lokale Einstellungen\Anwendungsdaten\336553960.exe.vir (Rogue.Security.Tool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{46A85308-0170-4DE1-A674-F327EDBED481}\RP182\A0042658.exe (Rogue.Security.Tool) -> Quarantined and deleted successfully.
|
|
16.08.2010, 12:13
| #15 |
| /// Malwareteam | Security Tool geht nicht zu löschen ! Alles bekannte probiert. Schritt 1 ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 2 Erneuter Systemscan mit OTL
Schritt 3 Und wie läuft die Kiste? |
|
| Themen zu Security Tool geht nicht zu löschen ! Alles bekannte probiert. |
| antivir, antivir guard, avgnt, avgntflt.sys, avira, bho, bonjour, browser, desktop, device driver, entfernen, erste mal, fontcache, gerätetreiber, heuristics.shuriken, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, lenovo, log file, logfile, nicht löschen, nicht zu löschen, plug-in, proxy, registry, remote control, rkill, rkill.com, rojaner gefunden, rootkit.dropper, rundll, security, security tool, server, skype.exe, software, system, thinkvantage registry monitor service, trojan.agent.ge, trojaner, trojaner gefunden, will nicht, windows, windows xp, winpcap packet driver |
drücken.
Button.
Hybrid-Darstellung
