| |
| |||||||
Log-Analyse und Auswertung: Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.09.2010, 00:25
| #1 |
 |  Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Hallo! Da habe ich mir ja was eingefangen... Na, vielleicht könnt ihr mir helfen. Zunächst einmal zu den Auffälligkeiten: Meine CPU-Auslastung geht nach dem Start auf Anschlag, es werden beim Surfen diverse Spamseiten geladen, (einige andere wiederum gar nicht), der I-Net-Explorer startet sich von selbst, zeigt dann jedoch eine Fehlermelung an und meine Funktatstatur funktioniert nicht (beim Systemstart jeoch schon). Ich habe schon Einiges probiert, was aber scheinbar wirkungslos war, da das Problem immernoch besteht. Wenn ich die Prozesse qvyjea.exe bzw qmadya.exe kille, normalisiert sich die CPU-Auslastung wieder, nach kurzer Zeit starten sich die Prozesse jedoch neu. Wer kann mir verraten, was das ist? Zunächst habe ich Antvir durchlaufen lassen und es wurde 4x Malware gefunden und gelöscht: 'TR/Agent.153024.A' 'TR/Crypt.XPACK.Gen' 'EXP/ASF.GetCodec.Gen' [exploit] 'BDS/Pcclient.578' [backdoor]. Dann wollte ich Malwarebytes installieren, was jeoch schon beim Runterladen problematisch war, und als ich es dann doch irgenwie hatte, konnte es nicht installiert werden... Jetzt habe ich noch STOPzilla installiert und den Durchlauf bei 15% abgebrochen, da ich merkte, dass es kostenpflichtig ist... Bis dahin hatte es aber auch noch mal Einiges gefunden, was Antivir anscheinend übersehen hatte. (bei Bedarf kann ich die log.txt noch anhängen...) Hier jdoch erst mal die HijackThis.txt: Code Tags Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:09:42, on 22.09.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\iS3\Anti-Spyware\SZServer.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Hotspot Shield\bin\openvpnas.exe C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe C:\Programme\Hotspot Shield\bin\hsswd.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Multimedia Keyboard & Mouse Driver\V5\StartAutorun.exe C:\WINDOWS\system32\WTMKM.exe C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMConfig.exe C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMWDSrv.exe C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMProcess.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\Hotspot Shield\bin\openvpntray.exe C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe C:\Programme\STOPzilla!\STOPzilla.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Gemeinsame Dateien\iS3\Anti-Spyware\SZScanner.exe C:\Programme\STOPzilla!\SZOptions.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\Winamp.exe C:\Programme\Last.fm\LastFM.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2431245 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {C3774C9C-A2A1-473A-AE87-8B6D05C56DF3} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Programme\STOPzilla!\SZIEBHO.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~2\Server\bin\VERSIO~2.EXE O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [Kpumejaqap] rundll32.exe "C:\WINDOWS\itamuyosamavabow.dll",Startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKCU\..\Run: [ASH24SXZ9S] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Qsd.exe O4 - HKCU\..\Run: [Abohunajazetijok] rundll32.exe "C:\WINDOWS\msrcok32.dll",Startup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE O4 - Startup: VMLoad.lnk = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VMLoad\VMLoad.exe O4 - Global Startup: Philips SA19xx Gere-Manager.lnk = C:\Programme\Philips\GoGear SA19xx Device Manager\main.exe O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Programme\Hotspot Shield\bin\hsswd.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMWDSrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: STOPzilla Service (szserver) - iS3, Inc. - C:\Programme\Gemeinsame Dateien\iS3\Anti-Spyware\SZServer.exe O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe -- End of file - 8998 bytes Danke schon mal im Vorraus! |
|
22.09.2010, 08:24
| #2 |
| /// Helfer-Team  | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Diese Dateien bei Virustotal checken. www.virustotal.com
__________________Poste die Ergebnisse. O4 - HKLM\..\Run: [Kpumejaqap] rundll32.exe "C:\WINDOWS\itamuyosamavabow.dll",Startup O4 - HKCU\..\Run: [Abohunajazetijok] rundll32.exe "C:\WINDOWS\msrcok32.dll",Startup O4 - Startup: VMLoad.lnk = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VMLoad\VMLoad.exe Wenn Malwarebytes nicht startet dann dies versuchen. http://www.trojaner-board.de/82699-m...tet-nicht.html |
|
24.09.2010, 00:01
| #3 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Ok, ich habe hier die Ergebnisse von Virustotal.
__________________itamuyosamavabow.dll: Avast 4.8.1351.0 2010.09.23 Win32: MalOb-CB Avast5 5.0.594.0 2010.09.23 Win32: MalOb-CB BitDefender 7.2 2010.09.23 Gen:Variant.Kazy.558 F-Secure 9.0.15370.0 2010.09.23 Gen:Variant.Kazy.558 GData 21 2010.09.23 Gen:Variant.Kazy.558 Microsoft 1.6201 2010.09.23 Trojan:Win32/Hiloti.gen!D nProtect 2010-09-23.02 2010.09.23 Gen:Variant.Kazy.558 Panda 10.0.2.7 2010.09.23 Suspicious file PCTools 7.0.3.5 2010.09.23 Trojan.Zefarch Sophos 4.58.0 2010.09.24 Mal/Hiloti-C Sunbelt 6918 2010.09.23 Trojan.Win32.Hiloti.ba(v) msrcok32.dll: AhnLab-V3 2010.09.23.00 2010.09.23 Trojan/Win32.Hiloti Avast 4.8.1351.0 2010.09.23 Win32:MalOb-CB Avast5 5.0.594.0 2010.09.23 Win32:MalOb-CB AVG 9.0.0.851 2010.09.23 Win32/Heur BitDefender 7.2 2010.09.23 Gen:Variant.Kazy.485 DrWeb 5.0.2.03300 2010.09.23 Trojan.Packed.20961 Emsisoft 5.0.0.37 2010.09.23 Trojan.Win32.FakeAV!IK F-Secure 9.0.15370.0 2010.09.23 Gen:Variant.Kazy.485 Gdata 21 2010.09.23 Gen:Variant.Kazy.485 Ikarus T3.1.1.88.0 2010.09.23 Trojan.Win32.FakeAV Microsoft 1.6201 2010.09.23 Trojan:Win32/Hiloti.gen!D NOD32 5474 2010.09.23 a variant of Win32/Kryptik.GWM nProtect 2010-09-23.02 2010.09.23 Gen:Variant.Kazy.485 Panda 10.0.2.7 2010.09.23 Suspicious file Sophos 4.58.0 2010.09.24 Mal/Hiloti-D Sunbelt 6918 2010.09.23 Trojan.Win32.Hiloti.aa (v) TrendMicro 9.120.0.1004 2010.09.23 TROJ_HILOTI.SME TrendMicro-HouseCall 9.120.0.1004 2010.09.24 TROJ_HILOTI.SME VBA32 3.12.14.1 2010.09.22 Bscope.Malware-Cryptor.Tip Den Pfad \Anwendungsdaten\VMLoad\VMLoad.exe finde ich nicht. Wenn ich jeoch die VMLoad.exe on c/programme teste gibt es keine Funde... Malwarebytes teste ich gleich noch mal... Danke für den Tip! |
|
24.09.2010, 09:34
| #4 | |
| /// Helfer-Team | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?)Zitat:
Bitte noch Log von Malwarebytes. |
|
24.09.2010, 10:43
| #5 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Aha! Meine Funktastatur funzt wieder.  Ich habe jetzt noch mal die VMLoad.exe aus dem Anwendungsdatenordner gecheckt. Sie ist clean. Hier die Logdatei voM Malwarebytes Scan: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4052
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
24.09.2010 10:19:29
mbam-log-2010-09-24 (10-19-29).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 503663
Laufzeit: 6 Stunde(n), 10 Minute(n), 34 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 24
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 7
Infizierte Dateien: 30
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{50365571-a7c7-47b3-854d-f45fdfc6687e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{830af45a-70fe-4f42-820c-478e6f07bd92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{aaaac6f5-a653-4b2a-9c02-8ebd19366183} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{da6ebdce-4207-455c-b9db-c3fa5e440c20} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333} (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e} (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\AutocompletePro.DLL (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AutocompletePro2_is1 (Adware.PredictAd) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c73f8544-45e6-418d-860a-1811df989780} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{137657d6-4fff-48aa-885f-04531cdb09d2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{364553a6-642b-4026-9b9c-cc2873fb02e0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nqgpedlr.bmfr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nqgpedlr.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\support@predictad.com (Adware.PredictAd) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\WINDOWS\Fonts\- (Worm.Archive) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome\content (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\defaults (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\defaults\preferences (Adware.PredictAd) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\kgqfweltgbn.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Adobe\Illustrator CS\Plug-ins\Photoshop Filters\Unsharpen Mask.8bf (Trojan.Spambot) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\AutocompletePro.dll (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WhoisCL.exe (Trojan.BHO) -> Quarantined and deleted successfully.
D:\desktop\FriendBlaster Pro v10.0.1\FriendBlasterPro v10.x Patch.exe (Trojan.Hacktool) -> Quarantined and deleted successfully.
D:\externe-fp\programme\adobe\adobe\InDesign CS3 VLK.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\AcRemoteUpdate.exe (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\InstTracker.exe (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\TaskScheduler.dll (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\unins000.dat (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\unins000.exe (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome.manifest (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\install.rdf (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome\content\browserOverlay.xul (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome\content\options.js (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome\content\options.xul (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\chrome\content\utils.js (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\Programme\AutocompletePro\support@predictad.com\defaults\preferences\predictad.js (Adware.PredictAd) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\winlogon.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\n.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\x.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\z.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Online Security Guide.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\mrvtdpqe.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\vipextndl.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Geändert von desra (24.09.2010 um 11:17 Uhr) |
|
24.09.2010, 11:02
| #6 |
| /// Helfer-Team | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Sieht nicht wie das übliche Log aus. Starte Malwarebytes, klicke auf den Reiter Logdateien, die letzte Logdatei mit Doppelklick öffnen, Text markieren und hier einfügen. |
|
24.09.2010, 11:18
| #7 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Sorry. Falsche txt gepostet. Habe den Betrag editiert... Ist jetzt die richtige Datei. |
|
24.09.2010, 11:24
| #8 |
| /// Helfer-Team | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Ne Menge los auf dem System. Online Scan durchführen. Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
|
|
24.09.2010, 22:16
| #9 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Mmmh, der ESET-Scan läuf seit mittlerweiler 10h. Ich denke mein Rechne hat sich festgefahren. Ich hab scheinbar ein Problem mit der avwsc.exe. Sie taucht häufig im Taskmanger auf... Soll ich neu starten, sie versuchen zu löschen und ESET noch mal starten (der Scan war bei 77% und hatte über 40 Funde)? Oder soll ich was Anderes probieren? |
|
25.09.2010, 02:42
| #10 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) ich konnte noch ein logfile retten: Code:
ATTFilter "{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 25.09.2010 03:39:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 25.09.2010 03:44:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
[ ***** Der letzte Eintrag steht über dieser Zeile ***** ]
"Taskplanerdienst" 24.09.2010 10:25:43 ** Fehler **
Es ist ein Fehler aufgetreten, der die Ausführung des Dienstes nachteilig beeinflusst..
Der genaue Fehler ist:
0x80070020: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 10:25:46
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 11:09:03
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 11:09:16
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Start: 24.09.2010 11:23:01
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Ende: 24.09.2010 11:23:02
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Ende: 24.09.2010 11:34:32
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 11:39:01
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 11:39:15
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 11:40:01
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 11:40:09
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Start: 24.09.2010 11:57:08
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Ende: 24.09.2010 11:57:10
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"Taskplanerdienst" 24.09.2010 12:10:14 ** Fehler **
Es ist ein Fehler aufgetreten, der die Ausführung des Dienstes nachteilig beeinflusst..
Der genaue Fehler ist:
0x80070020: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Start: 24.09.2010 12:15:02
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Ende: 24.09.2010 12:15:02
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 12:29:01
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Start: 24.09.2010 12:32:06
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Ende: 24.09.2010 12:32:41
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"Taskplanerdienst"
Gestartet um 24.09.2010 12:58:30
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 12:58:39
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Start: 24.09.2010 12:58:44
"RealUpgradeLogonTaskS-1-5-21-1409082233-57989841-839522115-500.job" (realupgrade.exe)
Start: 24.09.2010 12:58:44
"RealUpgradeLogonTaskS-1-5-21-1409082233-57989841-839522115-500.job" (realupgrade.exe)
Ende: 24.09.2010 12:58:57
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe)
Ende: 24.09.2010 12:59:05
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 13:03:01
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 13:39:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 13:57:02
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 14:00:05
"Taskplanerdienst" 24.09.2010 14:00:39 ** Fehler **
Es ist ein Fehler aufgetreten, der die Ausführung des Dienstes nachteilig beeinflusst..
Der genaue Fehler ist:
0x80070020: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 14:00:40
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 14:05:37
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (1).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 14:22:02
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" () 24.09.2010 14:22:15 ** WARNUNG **
Task wurde nicht geladen..
Der genaue Fehler ist:
0x80070020: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 14:37:02
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 14:37:21
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"Taskplanerdienst" 24.09.2010 14:37:21 ** Fehler **
Es ist ein Fehler aufgetreten, der die Ausführung des Dienstes nachteilig beeinflusst..
Der genaue Fehler ist:
0x80070020: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 14:39:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Start: 24.09.2010 14:47:02
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 14:47:23
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 15:39:05 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe)
Ende: 24.09.2010 15:40:36
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (ffffffff).
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 15:44:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 16:39:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 16:44:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 17:39:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 17:44:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 18:42:31 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 18:57:50 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 20:16:29 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 20:54:01 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 21:32:48 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 22:06:33 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 22:33:04 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 22:46:44 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 22:56:49 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 24.09.2010 23:01:12 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 24.09.2010 23:54:17 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 25.09.2010 00:14:38 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 25.09.2010 01:04:14 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 25.09.2010 01:30:44 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 25.09.2010 02:03:00 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 25.09.2010 02:27:14 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"AdobeAAMUpdater-1.0-SYSTEM-859057B3-Administrator.job" (updaterstartuputility.exe)
Start: 25.09.2010 02:46:45
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 25.09.2010 02:58:07 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 25.09.2010 03:07:07 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"AdobeAAMUpdater-1.0-SYSTEM-859057B3-Administrator.job" (updaterstartuputility.exe)
Ende: 25.09.2010 03:08:29
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
"Taskplanerdienst"
Gestartet um 25.09.2010 03:28:59
"{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job" (Qvyjea.exe) 25.09.2010 03:29:06 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"{22116563-108C-42c0-A7CE-60161B75E508}.job" (Qsd.exe) 25.09.2010 03:29:06 ** FEHLER **
Task konnte nicht gestartet werden..
Der genaue Fehler ist:
0x80070002: Das System kann die angegebene Datei nicht finden.
Suchen Sie die Anwendung über die Schaltfläche "Durchsuchen" auf der Registerkarte "Allgemein" des Tasks..
"RealUpgradeLogonTaskS-1-5-21-1409082233-57989841-839522115-500.job" (realupgrade.exe)
Start: 25.09.2010 03:29:07
"RealUpgradeLogonTaskS-1-5-21-1409082233-57989841-839522115-500.job" (realupgrade.exe)
Ende: 25.09.2010 03:29:14
Ergebnis: Der Task wurde mit folgendem Ergebniswert abgeschlossen: (0).
|
|
25.09.2010, 09:37
| #11 |
| /// Helfer-Team | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Dr.Web Cure it laden. http://www.trojaner-board.de/59299-a...eb-cureit.html Poste das Log. Panda Online Scan durchführen. http://www.pandasecurity.com/homeuse...ns/activescan/ |
|
29.09.2010, 08:13
| #12 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) DrWeb.txt: Speichervorgang: C:\WINDOWS\System32\svchost.exe:1196;;BackDoor.Tdss.565;Beseitigt.; Panda Online Scan: Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-09-29 09:17:39
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
01895149 Malicious Packer SecRisk No 0 Yes No c:\programme\no23 recorder\no23recorder.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\dokumente und einstellungen\administrator\anwendungsdaten\download2\svcnost.exe
05196287 Generic Trojan Virus/Trojan No 0 No No d:\desktop\myspace.rar[friendblaster pro v10.0.1\friendblasterpro v10.x patch.exe]
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
Yes d:\externe-fp\musik\sonstiges\funk\isley brothers\crack\traktordjstudio3.exe
Yes d:\externe-fp\programme\friendblasterpro 10.9.x crack v2 - blackdeath.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
212493 HIGH MS09-041
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
204670 HIGH MS09-001
203806 HIGH MS08-078
203508 HIGH MS08-073
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
201250 HIGH MS08-058
209275 HIGH MS08-049
209273 HIGH MS08-045
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194861 HIGH MS08-031
194860 HIGH MS08-030
191618 HIGH MS08-025
191617 HIGH MS08-024
191616 HIGH MS08-023
191614 HIGH MS08-021
191613 HIGH MS08-020
187735 HIGH MS08-010
187733 HIGH MS08-008
184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182048 HIGH MS07-069
182046 HIGH MS07-067
179553 HIGH MS07-061
176383 HIGH MS07-058
176382 HIGH MS07-057
170911 HIGH MS07-050
170907 HIGH MS07-046
170906 HIGH MS07-045
170904 HIGH MS07-043
164915 HIGH MS07-035
164913 HIGH MS07-033
164911 HIGH MS07-031
160623 HIGH MS07-027
157262 HIGH MS07-022
157261 HIGH MS07-021
157260 HIGH MS07-020
157259 HIGH MS07-019
156477 HIGH MS07-017
150253 HIGH MS07-016
150249 HIGH MS07-013
150248 HIGH MS07-012
150247 HIGH MS07-011
150243 HIGH MS07-008
150242 HIGH MS07-007
150241 MEDIUM MS07-006
141033 MEDIUM MS06-075
141030 HIGH MS06-072
137571 HIGH MS06-070
137568 HIGH MS06-067
133387 MEDIUM MS06-065
133386 MEDIUM MS06-064
133385 MEDIUM MS06-063
133379 HIGH MS06-057
131654 HIGH MS06-055
129977 MEDIUM MS06-053
126093 HIGH MS06-051
126092 MEDIUM MS06-050
126087 HIGH MS06-046
126086 MEDIUM MS06-045
126083 HIGH MS06-042
126082 HIGH MS06-041
126081 HIGH MS06-040
123421 HIGH MS06-036
123420 HIGH MS06-035
120825 MEDIUM MS06-032
120823 MEDIUM MS06-030
120818 HIGH MS06-025
120815 HIGH MS06-022
120814 HIGH MS06-021
117384 MEDIUM MS06-018
114666 HIGH MS06-015
114664 HIGH MS06-013
108744 MEDIUM MS06-008
108743 MEDIUM MS06-007
108742 MEDIUM MS06-006
104567 HIGH MS06-002
104237 HIGH MS06-001
96574 HIGH MS05-053
93395 HIGH MS05-051
93454 MEDIUM MS05-049
;===================================================================================================================================================================================
|
|
29.09.2010, 15:10
| #14 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Mmmh, ja das ist gut möglich...  Das System läuft, allerdings hat es nach dem Dr. Web Scan im abgesicherten Modus erst einmal einen CHKDSK durchgeführt und permanent kommen Meldungen von Antivir: In der Datei 'C:\WINDOWS\system32\krnlsmui.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden. Ausgeführte Aktion: Datei löschen und dann: Fehler in AntiVir Guard. Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\WINDOWS\system32\krnlsmui.dll Fehlercode: [0x00000005 - Zugriff verweigert]. Oder: In der Datei 'C:\WINDOWS\system32\krnlsmui.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Hier die Logfiles: [CODE]info.txtRSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.08 2010-09-29 16:06:35
======Uninstall list======
-->C:\Programme\FriendBot\FriendBot\uninstall.exe
-->MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware 2007-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe After Effects CS4 Presets-->MsiExec.exe /I{44E240EC-2224-4078-A88B-2CEE0D3016EF}
Adobe After Effects CS4 Template Projects & Footage-->MsiExec.exe /I{F600CCF3-9C88-4A22-B0B4-DDA82E997118}
Adobe After Effects CS4 Third Party Content-->MsiExec.exe /I{67A9747A-E1F5-4E9A-81CC-12B5D5B81B6E}
Adobe After Effects CS4-->MsiExec.exe /I{45EC816C-0771-4C14-AE6D-72D1B578F4C8}
Adobe AIR-->C:\Programme\Gemeinsame Dateien\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Anchor Service CS4-->MsiExec.exe /I{1618734A-3957-4ADD-8199-F973763109A8}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge CS4-->MsiExec.exe /I{83877DB1-8B77-45BC-AB43-2BAC22E093E0}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe BridgeTalk Plugin CS3-->MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps CS4-->MsiExec.exe /I{94D398EB-D2FD-4FD1-B8C4-592635E8A191}
Adobe Color - Photoshop Specific CS4-->MsiExec.exe /I{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}
Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
Adobe Color EU Recommended Settings CS4-->MsiExec.exe /I{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}
Adobe Color JA Extra Settings CS4-->MsiExec.exe /I{0D6013AB-A0C7-41DC-973C-E93129C9A29F}
Adobe Color NA Extra Settings CS4-->MsiExec.exe /I{098A2A49-7CF3-4F08-A38D-FB879117152A}
Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
Adobe Color Video Profiles AE CS4-->MsiExec.exe /I{B15381DD-FF97-4FCD-A881-ED4DB0975500}
Adobe Color Video Profiles CS CS4-->MsiExec.exe /I{63C24A08-70F3-4C8E-B9FB-9F21A903801D}
Adobe Creative Suite 3 Design Premium hinzufügen oder entfernen-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\061850775b1c6d22bf2a145678e05e0\Setup.exe
Adobe Creative Suite 3 Design Premium-->MsiExec.exe /I{4393DE35-AD67-4F37-95E4-30F06EA0FDB2}
Adobe Creative Suite 4 Production Premium-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\36ac9dc8c9a94feb9e5886810012e78\Setup.exe --uninstall=1
Adobe Creative Suite 4 Production Premium-->MsiExec.exe /I{70E3A868-C269-4E6D-B225-862AADF7D0AF}
Adobe Creative Suite 5 Master Collection-->C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\core\PDApp.exe --appletID="DWA_UI" --appletVersion="1.0" --mode="Uninstall" --mediaSignature="{1BBD8D70-721A-41AD-AC8F-7308A0C8FA92}"
Adobe CS4 American English Speech Analysis Models-->MsiExec.exe /I{297190A1-4B0D-4CD6-8B9F-3907F15C3FD8}
Adobe CS4 French Speech Analysis Models-->MsiExec.exe /I{9AACCD0F-2734-4E8C-8C24-2702D4506E93}
Adobe CS4 German Speech Analysis Models-->MsiExec.exe /I{9A7C4EAC-6E38-42E3-85AA-408874A803DE}
Adobe CS4 International English Speech Analysis Models-->MsiExec.exe /I{4F213D2A-B942-4611-AEE5-49F9D42D0A2F}
Adobe CS4 Italian Speech Analysis Models-->MsiExec.exe /I{0B561CF4-0C7D-4745-AF53-161E24E44F87}
Adobe CS4 Japanese Speech Analysis Models-->MsiExec.exe /I{B35FDD04-48FD-4D3D-B0EB-088C5137CD42}
Adobe CS4 Korean Speech Analysis Models-->MsiExec.exe /I{48E9A4FB-17C6-4B14-BC9D-D83AF2A4059A}
Adobe CS4 Spanish Speech Analysis Models-->MsiExec.exe /I{1FD653A8-9CFA-4392-B89C-CCDB114DE442}
Adobe CSI CS4-->MsiExec.exe /I{0F723FC1-7606-4867-866C-CE80AD292DAF}
Adobe Default Language CS4-->MsiExec.exe /I{C52E3EC1-048C-45E1-8D53-10B0C6509683}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe Device Central CS4-->MsiExec.exe /I{67F0E67A-8E93-4C2C-B29D-47C48262738A}
Adobe Dreamweaver CS3-->MsiExec.exe /I{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}
Adobe Drive CS4-->MsiExec.exe /I{16E16F01-2E2D-4248-A42F-76261C147B6C}
Adobe Dynamiclink Support-->MsiExec.exe /I{60DB5894-B5A1-4B62-B0F3-669A22C0EE5D}
Adobe Encore CS4 Codecs-->MsiExec.exe /I{FB2A5FCC-B81B-48C2-A009-7804694D83E9}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe ExtendScript Toolkit CS4-->MsiExec.exe /I{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}
Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Extension Manager CS4-->MsiExec.exe /I{054EFA56-2AC1-48F4-A883-0AB89874B972}
Adobe Flash CS3-->MsiExec.exe /I{8C640345-AF96-4ABA-A697-97D2A0B8C6DB}
Adobe Flash CS4 Extension - Flash Lite STI others-->MsiExec.exe /I{47C6F987-685A-41AE-B092-E75B277AEE39}
Adobe Flash CS4 STI-other-->MsiExec.exe /I{BD3374D3-C2E6-42B7-A80B-E850B6886246}
Adobe Flash CS4-->MsiExec.exe /I{F6E99614-F042-4459-82B7-8B38B2601356}
Adobe Flash Player 10 ActiveX-->MsiExec.exe /X{6E9EF98E-259E-416D-B5F8-0ABDB99942CE}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_Plugin.exe -maintain plugin
Adobe Flash Player 10 Plugin-->MsiExec.exe /X{BC41C09D-FAA9-4346-9FE6-1E0017BC551A}
Adobe Flash Video Encoder-->MsiExec.exe /I{BCEDD813-269C-4D8F-A4BA-01FDC66254D3}
Adobe Fonts All-->MsiExec.exe /I{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Illustrator CS-->RunDll32 "C:\Programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Programme\InstallShield Installation Information\{91A4AD99-69CE-4745-97B7-0E0DFBECFDE5}\setup.exe"
Adobe Illustrator CS3-->MsiExec.exe /I{C8D7A672-F697-4572-AC62-C856053A8DBC}
Adobe Illustrator CS4-->MsiExec.exe /I{87532CAB-7932-4F84-8937-823337622807}
Adobe InDesign CS3 Icon Handler-->MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}
Adobe InDesign CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\8fbf74eb27c84640370f87306e8981b\Setup.exe
Adobe InDesign CS3-->MsiExec.exe /I{411E0CC3-587A-468C-B461-95FAFD05E4DE}
Adobe InDesign CS4 Application Feature Set Files (Roman)-->MsiExec.exe /I{2BAF2B96-7560-48B4-87D4-10178DDBE217}
Adobe InDesign CS4 Common Base Files-->MsiExec.exe /I{7CC7BDD5-6F10-4724-96A1-EAC7D9F2831C}
Adobe InDesign CS4 Icon Handler-->MsiExec.exe /I{1E04CB54-AF4E-4AC3-B4B7-C0A160BE57F1}
Adobe InDesign CS4-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\1710d324011afc3e7658e969025f4ba\Setup.exe --uninstall=1
Adobe InDesign CS4-->MsiExec.exe /I{1DCA3EAA-6EB5-4563-A970-EA14D75037BA}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe Linguistics CS4-->MsiExec.exe /I{931AB7EA-3656-4BB7-864D-022B09E3DD67}
Adobe Media Encoder CS4 Additional Exporter-->MsiExec.exe /I{BE9CEAAA-F069-4331-BF2F-8D350F6504F4}
Adobe Media Encoder CS4 Dolby-->MsiExec.exe /I{EE353798-E875-42E0-B58D-7E6696182EA8}
Adobe Media Encoder CS4 Exporter-->MsiExec.exe /I{561968FD-56A1-49FD-9ED0-F55482C7C5BC}
Adobe Media Encoder CS4 Importer-->MsiExec.exe /I{8186FF34-D389-4B7E-9A2F-C197585BCFBD}
Adobe Media Encoder CS4-->MsiExec.exe /I{DEB90B8E-0DCB-48CE-B90E-8842A2BD643E}
Adobe Media Player-->msiexec /qb /x {39F6E2B4-CFE8-C30A-66E8-489651F0F34C}
Adobe Media Player-->MsiExec.exe /I{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}
Adobe MotionPicture Color Files CS4-->MsiExec.exe /I{B05DE7B7-0B40-4411-BD4B-222CAE2D8F15}
Adobe OnLocation CS4-->MsiExec.exe /I{7406DF60-016D-476B-A2C7-55D997592047}
Adobe Output Module-->MsiExec.exe /I{BB4E33EC-8181-4685-96F7-8554293DEC6A}
Adobe PDF Library Files CS4-->MsiExec.exe /I{F93C84A6-0DC6-42AF-89FA-776F7C377353}
Adobe Photoshop CS3-->C:\Programme\Gemeinsame Dateien\Adobe\Installers\719d6f144d0c086a0dfa7ff76bb9ac1\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{3D7E3EC9-46CF-4359-9289-39CE01DFB82F}
Adobe Photoshop CS3-->MsiExec.exe /I{D3C605D8-3A5E-4BAD-965D-2C61441BF2AC}
Adobe Photoshop CS4 Support-->MsiExec.exe /I{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}
Adobe Photoshop CS4-->MsiExec.exe /I{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}
Adobe Premiere Pro CS4 Functional Content-->MsiExec.exe /I{B169BC97-B8AA-4ACA-9CF2-9D0FF5BABDF7}
Adobe Premiere Pro CS4 Third Party Content-->MsiExec.exe /I{C938BE91-3BB5-4B84-9EF6-88F0505D0038}
Adobe Premiere Pro CS4-->MsiExec.exe /I{D499F8DE-3F31-4900-9157-61061613704B}
Adobe Reader 9.3.3 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Search for Help-->MsiExec.exe /I{F0E64E2E-3A60-40D8-A55D-92F6831875DA}
Adobe Service Manager Extension-->MsiExec.exe /I{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}
Adobe Setup-->MsiExec.exe /I{5518E08A-2053-4A3E-85B2-F912D4666C9F}
Adobe Setup-->MsiExec.exe /I{AE585DDE-7230-4B57-926B-428C94AA5850}
Adobe Setup-->MsiExec.exe /I{CA1CA5F8-7500-45C5-9D4C-47D13FBC92D2}
Adobe Setup-->MsiExec.exe /I{CA842D69-22DB-456E-95C7-A5C92593C7C4}
Adobe Setup-->MsiExec.exe /I{FF11004C-F42A-4A31-9BCF-7F5C8FDBE53C}
Adobe SGM CS4-->MsiExec.exe /I{15BF7AAF-846C-4A6D-80E1-5D1FC7FB461B}
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
Adobe SING CS3-->MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}
Adobe SING CS4-->MsiExec.exe /I{4A52555C-032A-4083-BDD9-6A85ABFB39A8}
Adobe Soundbooth CS4 Codecs-->MsiExec.exe /I{52232EF4-CC12-4C21-ABCF-ADB79618302D}
Adobe Soundbooth CS4-->MsiExec.exe /I{14F70205-1940-4000-88C7-BE799A6B2CAD}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe SVG Viewer 3.0-->C:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Install.log
Adobe Type Support CS4-->MsiExec.exe /I{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Update Manager CS4-->MsiExec.exe /I{05308C4E-7285-4066-BAE3-6B50DA6ED755}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe Version Cue CS3 Server-->MsiExec.exe /I{1D58229F-C505-45CA-8223-F35F3A34B963}
Adobe Version Cue CS4 Server-->MsiExec.exe /I{1B7C06E1-4888-47A6-992A-0990B9683486}
Adobe WAS CS3-->MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
Adobe XMP Panels CS4-->MsiExec.exe /I{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}
AdobeColorCommonSetCMYK-->MsiExec.exe /I{68243FF8-83CA-466B-B2B8-9F99DA5479C4}
AdobeColorCommonSetRGB-->MsiExec.exe /I{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}
AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}
Artisteer 2-->"C:\Programme\Artisteer 2\bin\Uninstall.exe"
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BitTorrent-->C:\Programme\BitTorrent\uninst.exe
Burn4Free CD & DVD 4.9.0.0-->"C:\Programme\Burn4Free\unins000.exe"
Burn4Free CD and DVD-->"C:\Programme\Burn4Free\uninstall.exe"
Canon iP4200-->C:\WINDOWS\system32\CNMCP78.exe "-PRINTERNAMECanon iP4200" "-HELPERDLLC:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP4200 Installer\Inst2\cnmis.dll" "-RCDLLcnmi0407.dll"
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Connect-->MsiExec.exe /I{B29AD377-CC12-490A-A480-1452337C618D}
ConvertHelper 2.2-->"C:\Programme\ConvertHelper\unins000.exe"
Core FTP LE 2.0-->C:\PROGRA~1\CoreFTP\UNWISE.EXE C:\PROGRA~1\CoreFTP\INSTALL.LOG
Core FTP Pro 2.0-->C:\PROGRA~1\CoreFTP\UNWISE.EXE C:\PROGRA~1\CoreFTP\INSTALL.LOG
DivX-Setup-->C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DivX\Setup\DivXSetup.exe /uninstall /bundleGroupId divx.com
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
ERUNT 1.1j-->C:\Programme\ERUNT\unins000.exe
ESET Online Scanner v3-->C:\Programme\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe
EVEREST Home Edition v2.20-->"C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Express Burn-->C:\Programme\NCH Swift Sound\ExpressBurn\uninst.exe
Express Rip-->C:\Programme\NCH Swift Sound\ExpressRip\uninst.exe
foobar2000 v1.0.3-->"C:\Programme\foobar2000\uninstall.exe" _?=C:\Programme\foobar2000
FriendBlasterPro-->"C:\Programme\FriendBlasterPro\unins000.exe"
Geiss2 for Winamp 2x (remove only)-->"C:\Programme\Winamp\uninst-vis_geiss2.dll.exe"
GetDataBack for NTFS-->"C:\Programme\Runtime Software\GetDataBack for NTFS\Uninstall.exe" "C:\Programme\Runtime Software\GetDataBack for NTFS\install.log" -u
GoGear SA19xx Device Manager-->C:\Programme\InstallShield Installation Information\{CF35000B-8247-449B-85C9-D9C2A5936683}\setup.exe -runfromtemp -l0x0007 -removeonly
HD Tune 2.54-->"C:\Programme\HD Tune\unins000.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe" /uninstall
Hotspot Shield 1.45-->C:\Programme\Hotspot Shield\Uninstall.exe
IconCool Editor v5.x-->C:\PROGRA~1\ICONCO~1\ICONCO~1\UNWISE.EXE C:\PROGRA~1\ICONCO~1\ICONCO~1\INSTALL.LOG
ICQ7.2-->"C:\Programme\InstallShield Installation Information\{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}\ICQ7.exe" -runfromtemp -l0x0009 -removeonly
iTunes-->MsiExec.exe /I{9357AE3A-B2ED-4138-BB9B-0564352C3F0A}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Keseling Poster-Drucker 1.0.3-->"C:\Programme\Keseling Poster-Drucker 1.0.3\unins000.exe"
kuler-->MsiExec.exe /I{098727E1-775A-4450-B573-3F441F1CA243}
Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe"
LimeWire 4.14.10-->"C:\Programme\LimeWire\uninstall.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office 2000 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft_VC80_ATL_x86-->MsiExec.exe /I{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}
Microsoft_VC80_CRT_x86-->MsiExec.exe /I{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}
Microsoft_VC80_MFC_x86-->MsiExec.exe /I{D1A19B02-817E-4296-A45B-07853FD74D57}
Microsoft_VC80_MFCLOC_x86-->MsiExec.exe /I{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}
Microsoft_VC90_ATL_x86-->MsiExec.exe /I{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}
Microsoft_VC90_CRT_x86-->MsiExec.exe /I{08D2E121-7F6A-43EB-97FD-629B44903403}
Microsoft_VC90_MFC_x86-->MsiExec.exe /I{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}
MilkDrop for Winamp 2x (remove only)-->"C:\Programme\Winamp\uninst-vis_milk.dll.exe"
Mozilla Firefox (3.6.10)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MP3-Cutter-->C:\WINDOWS\IsUninst.exe -fC:\Programme\MP3-Cutter\Uninst.isu
Multimedia Keyboard & Mouse Driver-->C:\Programme\InstallShield Installation Information\{055A9D81-5E0A-4088-94B3-BAC849EC3C20}\setup.exe -runfromtemp -l0x0407
Native Instruments - Traktor 1.06-->C:\Audio\NATIVE~1\Traktor\UNINST~1\106\UNWISE.EXE C:\Audio\NATIVE~1\Traktor\UNINST~1\106\INSTALL.LOG
NSIS Mixxx-->"C:\Programme\Mixxx\uninstall.exe"
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260}
Panda ActiveScan 2.0-->C:\Programme\Panda Security\ActiveScan 2.0\as2uninst.exe
PDF Settings CS4-->MsiExec.exe /I{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}
PDF Settings CS5-->MsiExec.exe /I{A78FE97A-C0C8-49CE-89D0-EDD524A17392}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
Pen Pad Driver with Macro Key Manager-->Rmtablet KNL
Pflanzen gegen Zombies-->C:\Programme\PopCap Games\Plants vs. Zombies\PopUninstall.exe "C:\Programme\PopCap Games\Plants vs. Zombies\Install.log"
Phase 5 HTML-Editor-->MsiExec.exe /I{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}
Photoshop Camera Raw-->MsiExec.exe /I{CC75AB5C-2110-4A7F-AF52-708680D22FE8}
Pixel Bender Toolkit-->MsiExec.exe /I{43509E18-076E-40FE-AF38-CA5ED400A5A9}
Poster-Drucker 4-->C:\WINDOWS\cadkasdeinst01.exe "C:\Programme\Poster-Drucker 4\"
QuickTime-->MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
RealUpgrade 1.0-->MsiExec.exe /I{F4F4F84E-804F-4E9A-84D7-C34283F0088F}
RocketDock 1.3.5-->"C:\Programme\RocketDock\unins000.exe"
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Suite Shared Configuration CS4-->MsiExec.exe /I{842B4B72-9E8F-4962-B3C1-1C422A5C4434}
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
VirtualCloneDrive-->"C:\Programme\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Programme\Elaborate Bytes\VirtualCloneDrive"
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
xp-AntiSpy 3.96-5-->C:\Programme\xp-AntiSpy\Uninstall.exe
Xvid 1.1.3 final uninstall-->"C:\Programme\Xvid\unins000.exe"
Zoomquilt II Screensaver-->C:\WINDOWS\system32\\Zoomquilt II Screensaver_uninst.exe "C:\WINDOWS\system32\" "Zoomquilt II Screensaver"
======Hosts File======
127.0.0.1 localhost
======Security center information======
AV: Avira AntiVir PersonalEdition
======System event log======
Computer Name: SYSTEM-859057B3
Event Code: 7036
Message: Dienst "HID Input Service" befindet sich jetzt im Status "Beendet".
Record Number: 104171
Source Name: Service Control Manager
Time Written: 20100909114201.000000+120
Event Type: Informationen
User:
Computer Name: SYSTEM-859057B3
Event Code: 7036
Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt".
Record Number: 104170
Source Name: Service Control Manager
Time Written: 20100909114201.000000+120
Event Type: Informationen
User:
Computer Name: SYSTEM-859057B3
Event Code: 7036
Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 104169
Source Name: Service Control Manager
Time Written: 20100909114200.000000+120
Event Type: Informationen
User:
Computer Name: SYSTEM-859057B3
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".
Record Number: 104168
Source Name: Service Control Manager
Time Written: 20100909114200.000000+120
Event Type: Informationen
User:
Computer Name: SYSTEM-859057B3
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Intelligenter Hintergrundübertragungsdienst" gesendet.
Record Number: 104167
Source Name: Service Control Manager
Time Written: 20100909114200.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
=====Application event log=====
Computer Name: SYSTEM-859057B3
Event Code: 1041
Message: Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht.
Record Number: 4911
Source Name: Userenv
Time Written: 20100607223232.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM
Computer Name: SYSTEM-859057B3
Event Code: 1041
Message: Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht.
Record Number: 4910
Source Name: Userenv
Time Written: 20100607223232.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM
Computer Name: SYSTEM-859057B3
Event Code: 1041
Message: Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht.
Record Number: 4909
Source Name: Userenv
Time Written: 20100607215532.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM
Computer Name: SYSTEM-859057B3
Event Code: 1041
Message: Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht.
Record Number: 4908
Source Name: Userenv
Time Written: 20100607215532.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM
Computer Name: SYSTEM-859057B3
Event Code: 1041
Message: Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}" nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich durch eine fehlerhafte Registrierung verursacht.
Record Number: 4907
Source Name: Userenv
Time Written: 20100607203632.000000+120
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM
======Environment variables======
"CLASSPATH"=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\Gemeinsame Dateien\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=2c02
"QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
-----------------EOF-----------------
RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.08 (written by random/random) Run by Administrator at 2010-09-29 16:06:20 Microsoft Windows XP Professional Service Pack 2 System drive C: has 29 GB (38%) free of 76 GB Total RAM: 1023 MB (46% free) Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:06:33, on 29.09.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\WTMKM.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe C:\Programme\Hotspot Shield\bin\hsswd.exe C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMWDSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\atwtusb.exe C:\WINDOWS\system32\atwtusb.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe C:\Programme\Java\jre6\launch4j-tmp\VMLoad.exe C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe C:\Programme\trend micro\Administrator.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2431245 R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {C3774C9C-A2A1-473A-AE87-8B6D05C56DF3} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~2\Server\bin\VERSIO~2.EXE O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Kpumejaqap] rundll32.exe "C:\WINDOWS\itamuyosamavabow.dll",Startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKCU\..\Run: [ASH24SXZ9S] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Qsd.exe O4 - HKCU\..\Run: [Abohunajazetijok] rundll32.exe "C:\WINDOWS\msrcok32.dll",Startup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE O4 - Startup: VMLoad.lnk = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VMLoad\VMLoad.exe O4 - Global Startup: Philips SA19xx Gere-Manager.lnk = C:\Programme\Philips\GoGear SA19xx Device Manager\main.exe O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Programme\Hotspot Shield\bin\hsswd.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMWDSrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe -- End of file - 8509 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SYSTEM-859057B3-Administrator.job C:\WINDOWS\tasks\expressburnDowngrade.job C:\WINDOWS\tasks\expressburnSevenDaysInit.job C:\WINDOWS\tasks\expressburnShakeIcon.job C:\WINDOWS\tasks\expressripDowngrade.job C:\WINDOWS\tasks\expressripShakeIcon.job C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1409082233-57989841-839522115-500.job C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1409082233-57989841-839522115-500.job C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{074C1DC5-9320-4A9A-947D-C042949C6216}] ContributeBHO Class - C:\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll [2010-03-27 164312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-02 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3774C9C-A2A1-473A-AE87-8B6D05C56DF3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-02 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-02 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] Hotspot Shield Class - C:\Programme\Hotspot Shield\HssIE\HssIE.dll [2010-05-14 220208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2004-08-26 405504] {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - C:\Programme\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll [2010-03-27 164312] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-09-25 266497] "MacrokeyManager"=C:\WINDOWS\system32\WTMKM.exe [2007-09-03 1969824] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2010-02-19 202256] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-06-20 35760] "Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-06-09 976832] "VirtualCloneDrive"=C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2009-06-17 85160] "Adobe_ID0ENQBO"=C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~2\Server\bin\VERSIO~2.EXE [2008-08-15 378224] "AdobeCS4ServiceManager"=C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2008-08-14 611712] "AdobeAAMUpdater-1.0"=C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2010-03-06 500208] "AdobeCS5ServiceManager"=C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe [2010-07-22 402432] "SwitchBoard"=C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] "DivXUpdate"=C:\Programme\DivX\DivX Update\DivXUpdate.exe [2010-09-01 1164584] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-10-22 7700480] "Kpumejaqap"=C:\WINDOWS\itamuyosamavabow.dll,Startup [] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2007-06-29 286720] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\CTFMON.EXE [2009-03-23 24064] "AdobeBridge"= [] "ASH24SXZ9S"=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Qsd.exe [] "Abohunajazetijok"=C:\WINDOWS\msrcok32.dll,Startup [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2008-08-14 611712] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE [2007-03-20 1884160] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] C:\Programme\BearShare\BearShare.exe /pause [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iconcache] [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe [2007-07-10 270648] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\QTTask.exe [2007-06-29 286720] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RDC_RUN] C:\Programme\Ragonsoft\RDC2\RDC.exe rdc [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe [2009-01-02 136600] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2010-02-19 202256] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] C:\Programme\Veoh Networks\Veoh\VeohClient.exe /VeohHide [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia] C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Programme\Winamp\winampa.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Dropbox.lnk] C:\DOKUME~1\ADMINI~1\ANWEND~1\Dropbox\bin\Dropbox.exe [2010-02-26 21979992] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk] C:\PROGRA~1\OPENOF~1.ORG\program\QUICKS~1.EXE [2008-12-15 384000] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^VMLoad.lnk] C:\DOKUME~1\ADMINI~1\ANWEND~1\VMLoad\VMLoad.exe [2010-04-01 41984] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk] C:\PROGRA~1\Adobe\ACROBA~3.0\Distillr\acrotray.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [2003-09-18 110592] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk] C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [1999-02-17 65588] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Privoxy.lnk] C:\PROGRA~1\VIDALI~1\Privoxy\privoxy.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^DESRA.SYSTEM-859057B3^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk] C:\PROGRA~1\OPENOF~1.ORG\program\QUICKS~1.EXE [2008-12-15 384000] C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart Philips SA19xx Gere-Manager.lnk - C:\Programme\Philips\GoGear SA19xx Device Manager\main.exe C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart Dropbox.lnk - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe ERUNT AutoBackup.lnk - C:\Programme\ERUNT\AUTOBACK.EXE VMLoad.lnk - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VMLoad\VMLoad.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "authentication packages"=msv1_0 C:\WINDOWS\system32\vtsqo.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\WINDOWS\system32\vlhyrhyj.exe"="C:\WINDOWS\system32\vlh" "C:\Programme\fotobuch.de AG\Designer 2.0\Designer.exe"="C:\Programme\fotobuch.de AG\Designer 2.0\Designer.exe:*:Designer.exe" "C:\Programme\ICQ7.2\ICQ.exe"="C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2" "C:\Programme\ICQ7.2\aolload.exe"="C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe" "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\0.4244007584241206.exe"="C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\0.4244007584241206.exe:*:Enabled:ldrsoft" "C:\Programme\Java\jre6\launch4j-tmp\VMLoad.exe"="C:\Programme\Java\jre6\launch4j-tmp\VMLoad.exe:*:Disabled:Java(TM) Platform SE binary" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQ7.2\ICQ.exe"="C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2" "C:\Programme\ICQ7.2\aolload.exe"="C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe" ======File associations====== .js - open - "C:\Programme\Adobe\Adobe Dreamweaver CS5\Dreamweaver.exe","%1" ======List of files/folders created in the last 1 months====== 2010-09-29 16:06:21 ----D---- C:\Programme\trend micro 2010-09-29 16:06:20 ----D---- C:\rsit 2010-09-28 17:57:56 ----A---- C:\WINDOWS\system32\drivers\pavboot.sys 2010-09-28 17:56:00 ----D---- C:\Programme\Panda Security 2010-09-28 17:47:08 ----SHD---- C:\found.001 2010-09-24 13:13:27 ----D---- C:\Programme\ESET 2010-09-24 01:16:41 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-09-21 20:33:42 ----D---- C:\WINDOWS\ERDNT 2010-09-21 20:33:04 ----D---- C:\Programme\ERUNT 2010-09-21 20:24:18 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2010-09-21 20:24:17 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2010-09-21 20:24:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2010-09-21 20:24:16 ----A---- C:\WINDOWS\system32\drivers\mbam.sys 2010-09-21 20:16:29 ----D---- C:\Programme\Gemeinsame Dateien\iS3 2010-09-21 20:16:29 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\STOPzilla! 2010-09-21 19:51:34 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\download2 2010-09-21 10:03:37 ----N---- C:\WINDOWS\system32\drivers\str.sys 2010-09-21 10:03:35 ----A---- C:\WINDOWS\system32\drivers\oopuhnpkpjv.sys 2010-09-21 10:02:25 ----A---- C:\WINDOWS\system32\krnlsmui.dll 2010-09-20 21:35:06 ----D---- C:\Programme\Artisteer 2 2010-09-20 18:36:39 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Artisteer 2010-09-17 00:41:44 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WhiteSmokeTranslator 2010-09-17 00:40:25 ----D---- C:\Programme\Search Advisor 2010-09-09 13:01:24 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DivX ======List of files/folders modified in the last 1 months====== 2010-09-29 16:06:21 ----D---- C:\Programme 2010-09-29 16:02:01 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox 2010-09-29 15:58:51 ----A---- C:\WINDOWS\win.ini 2010-09-29 15:58:44 ----D---- C:\WINDOWS\Temp 2010-09-29 15:58:40 ----D---- C:\WINDOWS 2010-09-29 15:58:20 ----D---- C:\WINDOWS\system32\CatRoot2 2010-09-29 09:31:33 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-09-28 21:49:19 ----D---- C:\WINDOWS\Prefetch 2010-09-28 18:25:32 ----D---- C:\WINDOWS\system32\drivers 2010-09-28 17:57:45 ----HD---- C:\WINDOWS\inf 2010-09-28 17:35:15 ----A---- C:\WINDOWS\ntbtlog.txt 2010-09-27 18:25:36 ----D---- C:\WINDOWS\system32 2010-09-25 12:16:01 ----SD---- C:\WINDOWS\Tasks 2010-09-24 13:13:10 ----SHD---- C:\WINDOWS\Installer 2010-09-24 13:05:12 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2010-09-24 10:19:26 ----RSD---- C:\WINDOWS\Fonts 2010-09-21 21:54:50 ----D---- C:\WINDOWS\Minidump 2010-09-21 20:16:29 ----D---- C:\Programme\Gemeinsame Dateien 2010-09-21 13:02:26 ----D---- C:\Programme\LimeWire 2010-09-21 09:48:35 ----D---- C:\Programme\BitTorrent 2010-09-21 02:47:09 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitTorrent 2010-09-21 02:30:02 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CoreFTP 2010-09-20 21:37:03 ----SD---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft 2010-09-20 01:19:21 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2010-09-20 00:01:51 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM 2010-09-17 10:30:14 ----D---- C:\Programme\Adobe 2010-09-17 10:30:04 ----RSD---- C:\WINDOWS\assembly 2010-09-17 10:29:13 ----HD---- C:\Programme\InstallShield Installation Information 2010-09-17 10:28:38 ----D---- C:\WINDOWS\WinSxS 2010-09-17 10:27:59 ----RD---- C:\Programme\Skype 2010-09-17 00:04:45 ----D---- C:\Programme\Mozilla Firefox 2010-09-16 13:08:22 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000 2010-09-09 13:07:24 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared 2010-09-09 13:07:24 ----D---- C:\Programme\DivX 2010-09-09 13:06:22 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R0 nvata;nvata; C:\WINDOWS\system32\DRIVERS\nvata.sys [2005-08-13 98432] R0 pavboot;pavboot; C:\WINDOWS\system32\drivers\pavboot.sys [2009-06-30 28552] R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [2010-08-12 45648] R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 43008] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096] R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2009-12-18 26024] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-15 21248] R2 adfs;adfs; C:\WINDOWS\system32\drivers\adfs.sys [2008-08-14 74720] R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 es1371;Creative AudioPCI (ES1371,ES1373) (WDM); C:\WINDOWS\system32\drivers\es1371mp.sys [2001-08-17 40704] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-14 5810] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-22 3994624] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2005-07-30 34048] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2005-07-30 12928] R3 taphss;Anchorfree HSS Adapter; C:\WINDOWS\system32\DRIVERS\taphss.sys [2009-09-15 32768] R3 tapvpn;TAP VPN Adapter; C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856] R3 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2009-08-09 29696] S0 khqlmxop;khqlmxop; C:\WINDOWS\system32\drivers\oopuhnpkpjv.sys [2010-09-25 72320] S2 ASInsHelp;ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [] S3 EverestDriver;Lavalys EVEREST Kernel Driver; \??\C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt [] S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS [] S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-12-31 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 aawservice;Ad-Aware 2007 Service; C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe [2007-10-29 587096] R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865] R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297] R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Programme\Bonjour\mDNSResponder.exe [2006-02-28 229376] R2 HssSrv;Hotspot Shield Helper Service; C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe [2010-05-25 348208] R2 HssWd;Hotspot Shield Monitoring Service; C:\Programme\Hotspot Shield\bin\hsswd.exe [2010-05-25 323632] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-02 152984] R2 KMWDSERVICE;Keyboard And Mouse Communication Service; C:\Programme\Multimedia Keyboard & Mouse Driver\V5\KMWDSrv.exe [2007-05-08 2179072] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-10-22 159810] R2 WTService;WTService; C:\WINDOWS\system32\atwtusb.exe [2007-08-31 364192] S2 Automatic LiveUpdate Scheduler;Automatic LiveUpdate Scheduler; C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [] S3 Adobe Version Cue CS3;Adobe Version Cue CS3 {de_DE} ; C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe [2007-03-20 153792] S3 Adobe Version Cue CS4;Adobe Version Cue CS4; C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2008-08-15 284016] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2010-06-14 655624] S3 HssTrayService;Hotspot Shield Tray Service; C:\Programme\Hotspot Shield\bin\HssTrayService.EXE [2010-05-25 57640] S3 SwitchBoard;SwitchBoard; C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] S4 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [] -----------------EOF----------------- |
|
30.09.2010, 13:24
| #15 |
| | Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) Wie lautet der nächste Schritt? |
|
| Themen zu Trojaner an Board (Was ist qvyjea.exe bzw. qmadya.exe?) |
| .com, ad-aware, antivir, antvir, avira, backdoor, bho, bonjour, browser, canon, computer, desktop, dropbox, firefox, hijack, hkus\s-1-5-18, hotspot, hotspot shield, internet explorer, logfile, malware, malware gefunden, mozilla, nicht installiert, object, plug-in, problem, software, starten, symantec, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', trojaner, von selbst, windows, windows xp |
Linear-Darstellung
