Trojaner-Board - TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen (https://www.trojaner-board.de/47879-tr-vundo-gen-tr-vundo-dvc1-bekaempfen.html)

TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen

Hallo,
seit kurzem meldet mir Antivir bei jedem Suchlauf den Trojaner TR/Vundo.Gen und heute TR/Vundo.dvc1.
Das entfernen durch Antivir bringt leider nix (habe Antivir auch schon im Abgesicherten Modus durchlaufen lassen)

Hier mein Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:39, on 07.01.2008
Platform: Windows Vista SP1, v.668 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.17052)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
D:\SBAudigy\Volume Panel\VolPanlu.exe
D:\Razer\Diamondback\razerhid.exe
C:\Windows\System32\rundll32.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\sttray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehtray.exe
D:\Dell.QuickSet\quickset.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\Windows\ehome\ehmsas.exe
D:\Razer\Diamondback\razertra.exe
D:\Razer\Diamondback\razerofa.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Mozilla.Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://partnerpage.google.com/dell.com/de_de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Windows\system32\sstrr.exe
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [VolPanel] "D:\SBAudigy\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [Diamondback] D:\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "d:\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/de/securityadvisor/pestscan/pestscan.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\system32\CTsvcCDA.exe
O23 - Service: DomainService - Unknown owner - C:\Windows\system32\fbcopwcr.exe (file missing)
O23 - Service: Dell Energieverwaltung der internen Netzwerkkarte (nicconfigsvc) - Dell Inc. - D:\Dell.QuickSet\NicConfigSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5632 bytes

Ich hoffe das geholfen werden kann...

Gruss SmitH

Hallo, und willkommen im Trojaner-Board! :)

Combofix

1) - Lade dir Combofix herunter

2) combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!

--

Nun versuchen wir mal den Virus mit Vundofix zu bekämpfen oder auch nicht ..

Zitat:

Vundofix kann man im Moment getrost in die Tonne kloppen..

• Lade Dir Vundofix herunter -> klick
• Doppelklick VundoFix.exe
• Klicke "Scan" --> Vundo button.
• Nach dem Scannen, klicke den "Remove" Vundo button.
• Man wird nun gefragt, ob man "remove" will --> klicke YES
• Danach werden alle Desktop-Symbole verschwinden
• Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

OT:

Zitat:

Windows Vista SP1

du bist aber mutig.. ^^
läuft die Beta problemlos?

Topic: Vundofix kann man im Moment getrost in die Tonne kloppen..

PS: Aha ^^ da ist noch was dazugekommen... das könnte schon eher was werden ;)

Zitat:

Vista SP1

Upss.. :eek:

Zitat:

Platform: Windows Vista SP1, v.668 (WinNT 6.00.1905)

Beta Versionen sollen nicht auf Primärsystemen verwand werden!
Edit: Da ist man einmal aufm grüberl, schon posten zwei andere dazwischen :party:

Danke für die Antworten :daumenhoc

Hatte vom SP1 schon die Beta installiert und war sehr zufrieden.
Das hier ist jetzt SP1 RC. Hatte bisher keine Probleme --> Vista läuft meines Erachtens nach stabiler und der Akku hält auch länger :Boogie:

Combofix habe ich ausgeführt und es wurden auch ne ganze Menge Dateien gelöscht. VundoFix-Scan läuft noch.

Kann ich nach der Prozedur davon ausgehen das mein System wieder sauber ist?
Soll ich noch die Combofix-Log posten?

Gruss SmitH

Update: VundoFix hat nichts gefunden, jedoch hab ich nach dem Reboot Antivir nochmal suchen lassen und es hat TR/Trash.Gen gefunden und gelöscht.
Nach nochmaligem Reboot und Antivir-Suchlauf scheint aber alles in Ordnung zu sein.

Gruss SmitH

Könnte nochmal jemand von euch drüberschauen ob die Logdatei jetzt sauber ist?
Danke schon im Voraus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:19:18, on 08.01.2008
Platform: Windows Vista SP1, v.668 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.17052)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
D:\SBAudigy\Volume Panel\VolPanlu.exe
D:\Razer\Diamondback\razerhid.exe
C:\Windows\System32\rundll32.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\sttray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Dell.QuickSet\quickset.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
D:\Razer\Diamondback\razertra.exe
D:\Razer\Diamondback\razerofa.exe
C:\Windows\explorer.exe
D:\Mozilla.Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://partnerpage.google.com/dell.com/de_de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [VolPanel] "D:\SBAudigy\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [Diamondback] D:\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "d:\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/de/securityadvisor/pestscan/pestscan.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\system32\CTsvcCDA.exe
O23 - Service: Dell Energieverwaltung der internen Netzwerkkarte (nicconfigsvc) - Dell Inc. - D:\Dell.QuickSet\NicConfigSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5377 bytes

Gruss SmitH

Hallo Smith.

PS:

Zitat:

VundoFix hat nichts gefunden,

dachte ich mir.

Poste bitte das combofix log und führe einen eScan durch. Anleitung jibbet in meiner Signatur.

Zitat:

Zitat von Smith (Beitrag 314463)

Hatte vom SP1 schon die Beta installiert und war sehr zufrieden.
Das hier ist jetzt SP1 RC. Hatte bisher keine Probleme --> Vista läuft meines Erachtens nach stabiler und der Akku hält auch länger :Boogie:

Schon mal dran gedacht, das Tools wie Vundofix unter SP1 nicht laufen?
Das sind keine kommerziellen Geschichten und daher sollte man das SP1 auf Primärsystemen nicht einspielen!

Hier die Combofix-Log

ComboFix 08-01-07.5 - SmitH 2008-01-07 16:07:29.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1179 [GMT 1:00]
ausgeführt von:: F:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Common Files\InstallShield\UpdateService\issch .exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\Downloaded Program Files\Quarantine
C:\Windows\system32\aampggwc.exe
C:\Windows\system32\bconiqrq.exe
C:\Windows\system32\dnohvixp.exe
C:\Windows\system32\hgkcwsqo.exe
C:\Windows\System32\oodtray .exe
C:\Windows\system32\qwwflkqw.exe
C:\Windows\System32\rrtss.ini
C:\Windows\System32\rrtss.ini2
C:\Windows\system32\rydjcxdm.exe
C:\Windows\system32\sstrr.dll
C:\Windows\system32\sstrr.exe
C:\Windows\UpdReg.EXE

Code:

 <pre>

C:\Program Files\Common Files\InstallShield\UpdateService\issch .exe ---> QooBox

C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM     .exe ---> ISUSPM.exe

C:\Program Files\Common Files\InstallShield\UpdateService\isuspm .exe ---> isuspm.exe

C:\Program Files\Google\Google Talk\googletalk .exe ---> googletalk.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh .exe ---> SynTPEnh.exe

C:\Windows\UpdReg .EXE ---> UpdReg.EXE

C:\Windows\System32\oodtray .exe ---> QooBox

</pre>

.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\DomainService

((((((((((((((((((((((( Dateien erstellt von 2007-12-07 bis 2008-01-07 ))))))))))))))))))))))))))))))
.

2008-01-07 16:06 . 2000-08-31 08:00 51,200 --a------ C:\Windows\NirCmd.exe
2008-01-06 11:21 . 2008-01-06 11:21 0 --ah----- C:\Windows\System32\drivers\Msft_User_PCCSWpdDriver_01_05_00.Wdf
2008-01-06 11:15 . 2008-01-06 11:21 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\Nokia
2008-01-06 11:15 . 2008-01-06 11:21 <DIR> d-------- C:\Users\All Users\PC Suite
2008-01-06 11:15 . 2008-01-06 11:21 <DIR> d-------- C:\ProgramData\PC Suite
2008-01-06 11:15 . 2008-01-06 11:15 <DIR> d-------- C:\Program Files\DIFX
2008-01-06 11:14 . 2008-01-06 11:22 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\PC Suite
2008-01-06 11:14 . 2008-01-06 11:14 <DIR> d-------- C:\Program Files\PC Connectivity Solution
2008-01-06 11:13 . 2007-02-22 10:15 90,624 --a------ C:\Windows\System32\nmwcdcls.dll
2008-01-06 11:12 . 2008-01-06 11:12 <DIR> d-------- C:\Users\All Users\Installations
2008-01-06 11:12 . 2008-01-06 11:12 <DIR> d-------- C:\ProgramData\Installations
2008-01-06 11:05 . 2008-01-07 16:16 1,408 --a------ C:\Windows\bthservsdp.dat
2008-01-04 19:10 . 2008-01-04 19:10 <DIR> d-------- C:\Program Files\SigmaTel
2008-01-04 19:10 . 2008-01-04 19:10 <DIR> d-------- C:\dell
2008-01-04 19:10 . 2007-01-12 10:51 4,931,584 --a------ C:\Windows\System32\stacgui.cpl
2008-01-04 19:10 . 2007-01-12 10:51 1,458,176 --a------ C:\Windows\System32\stlang.dll
2008-01-04 19:10 . 2007-01-12 10:51 303,104 --a------ C:\Windows\sttray.exe
2008-01-04 19:10 . 2007-01-12 10:52 90,112 --a------ C:\Windows\System32\stacsv.exe
2008-01-04 10:49 . 2008-01-04 10:49 <DIR> d-------- C:\Users\All Users\Lavasoft
2008-01-04 10:49 . 2008-01-04 10:49 <DIR> d-------- C:\ProgramData\Lavasoft
2008-01-04 09:48 . 2008-01-04 09:48 <DIR> d-------- C:\Program Files\Macrovision Corporation
2008-01-03 14:05 . 2008-01-04 09:55 204 --a------ C:\Windows\ulead32.ini
2008-01-03 14:05 . 2008-01-03 14:05 24 --a------ C:\Windows\System32\DKRNL.JAX
2008-01-03 14:04 . 2008-01-03 14:04 <DIR> d-------- C:\Program Files\Common Files\Ulead Systems
2008-01-03 14:04 . 1999-10-15 12:50 1,056,768 --------- C:\Windows\System32\ROBOEX32.DLL
2008-01-03 14:04 . 1999-01-28 15:44 49,152 --------- C:\Windows\System32\INETWH32.dll
2008-01-02 19:11 . 2008-01-02 19:35 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\Meine Die Schlacht um Mittelerde-Dateien
2007-12-31 17:54 . 2007-12-31 17:54 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2007-12-31 15:02 . 2007-12-31 15:02 0 --ah----- C:\Windows\System32\drivers\Msft_Kernel_xusb21_01005.Wdf
2007-12-31 13:45 . 2007-12-31 13:45 62 --a------ C:\Windows\WININIT.INI
2007-12-30 11:21 . 2007-12-30 11:21 <DIR> dr-h----- C:\Users\SmitH\AppData\Roaming\SecuROM
2007-12-30 11:21 . 2007-12-30 11:21 107,888 --a------ C:\Windows\System32\CmdLineExt.dll
2007-12-30 11:13 . 2007-12-30 11:13 <DIR> d-------- C:\Program Files\OpenAL
2007-12-30 11:12 . 2007-12-30 11:12 <DIR> d-------- C:\Windows\System32\xlive
2007-12-29 18:12 . 2007-12-29 19:44 <DIR> d-------- C:\VundoFix Backups
2007-12-29 17:58 . 2007-12-11 17:06 1,073,152 --a------ C:\Windows\System32\nvcpluir.dll
2007-12-29 17:58 . 2007-12-11 17:06 753,664 --a------ C:\Windows\System32\nvcplui.exe
2007-12-29 17:58 . 2007-12-11 17:06 413,696 --a------ C:\Windows\System32\nvcpl.cpl
2007-12-29 17:58 . 2007-12-11 17:06 307,200 --a------ C:\Windows\System32\nvexpbar.dll
2007-12-29 17:57 . 2007-12-11 18:52 356,352 --a------ C:\Windows\System32\NVUNINST.EXE
2007-12-29 17:24 . 2007-10-12 15:14 3,734,536 --a------ C:\Windows\System32\d3dx9_36.dll
2007-12-29 17:24 . 2007-10-12 15:14 1,374,232 --a------ C:\Windows\System32\D3DCompiler_36.dll
2007-12-29 17:24 . 2007-10-02 09:56 444,776 --a------ C:\Windows\System32\d3dx10_36.dll
2007-12-29 17:24 . 2007-10-22 03:39 267,272 --a------ C:\Windows\System32\xactengine2_10.dll
2007-12-29 17:24 . 2007-07-20 00:57 267,112 --a------ C:\Windows\System32\xactengine2_9.dll
2007-12-29 17:23 . 2007-06-20 20:46 266,088 --a------ C:\Windows\System32\xactengine2_8.dll
2007-12-29 17:23 . 2007-10-22 03:37 17,928 --a------ C:\Windows\System32\X3DAudio1_2.dll
2007-12-29 17:14 . 2007-12-29 17:14 <DIR> d-------- C:\Windows\85EBB28365AF4C539EBE7C0A232762F7.TMP
2007-12-29 17:14 . 2007-12-29 17:14 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\Codemasters
2007-12-27 20:50 . 2007-12-27 20:50 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\CyberLink
2007-12-27 20:50 . 2007-12-27 20:50 <DIR> d-------- C:\Users\Public\CyberLink
2007-12-27 20:49 . 2007-12-27 20:50 <DIR> d-------- C:\Users\All Users\CyberLink
2007-12-27 20:49 . 2007-12-27 20:50 <DIR> d-------- C:\ProgramData\CyberLink
2007-12-27 20:48 . 2007-12-27 20:48 <DIR> d-------- C:\Program Files\Cyberlink
2007-12-27 19:32 . 2007-12-27 19:32 <DIR> d-------- C:\Users\All Users\Adobe
2007-12-27 19:31 . 2007-12-27 19:32 <DIR> d-------- C:\Program Files\Common Files\Adobe
2007-12-27 10:39 . 2007-12-27 10:39 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\vlc
2007-12-26 22:44 . 2007-12-26 22:44 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\InstallShield Installation Information
2007-12-26 22:28 . 2007-07-19 18:14 3,727,720 --a------ C:\Windows\System32\d3dx9_35.dll
2007-12-26 22:28 . 2007-07-19 18:14 1,358,192 --a------ C:\Windows\System32\D3DCompiler_35.dll
2007-12-26 22:28 . 2007-07-19 18:14 444,776 --a------ C:\Windows\System32\d3dx10_35.dll
2007-12-26 22:27 . 2007-12-26 22:27 <DIR> d-------- C:\Windows\System32\AGEIA
2007-12-26 22:27 . 2007-12-26 22:27 <DIR> d-------- C:\Program Files\AGEIA Technologies
2007-12-25 15:31 . 2007-12-25 15:31 0 --ah----- C:\Windows\System32\drivers\Msft_Kernel_SynTP_01000.Wdf
2007-12-25 15:30 . 2007-12-25 15:30 <DIR> d-------- C:\Program Files\Synaptics
2007-12-25 15:29 . 2006-11-15 19:06 1,060,424 --a------ C:\Windows\System32\WdfCoInstaller01000.dll
2007-12-25 15:29 . 2006-11-15 19:06 196,608 --a------ C:\Windows\System32\SynCtrl.dll
2007-12-25 15:29 . 2006-11-15 19:06 179,256 --a------ C:\Windows\System32\drivers\SynTP.sys
2007-12-25 15:29 . 2006-11-15 19:06 163,840 --a------ C:\Windows\System32\SynCOM.dll
2007-12-25 15:29 . 2006-11-15 19:06 143,360 --a------ C:\Windows\System32\SynTPAPI.dll
2007-12-25 15:29 . 2006-11-15 19:06 110,592 --a------ C:\Windows\System32\SynTPCo4.dll
2007-12-23 14:48 . 2008-01-03 18:14 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\uTorrent
2007-12-23 14:48 . 2007-12-23 14:48 <DIR> d-------- C:\Program Files\uTorrent
2007-12-23 13:35 . 2007-12-23 13:35 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\ArcSoft
2007-12-23 13:34 . 1995-07-31 13:44 212,480 --a------ C:\Windows\PCDLIB32.DLL
2007-12-23 13:34 . 2001-12-05 17:59 21 --a------ C:\Windows\PMK_setup.ini
2007-12-23 09:49 . 2007-12-23 09:49 <DIR> d-------- C:\Program Files\MSXML 4.0
2007-12-22 13:38 . 2007-12-22 13:38 <DIR> d-------- C:\Program Files\Common Files\Corel
2007-12-22 13:26 . 2007-12-22 13:27 1,548,288 --a------ C:\Windows\System32\WLTRAY .exe
2007-12-22 13:26 . 2008-01-07 07:46 90,112 --a------ C:\Windows\UpdReg.EXE
2007-12-22 13:15 . 2007-12-22 13:15 <DIR> d-------- C:\Users\All Users\Avira
2007-12-22 13:15 . 2007-12-22 13:15 <DIR> d-------- C:\ProgramData\Avira
2007-12-22 10:17 . 2007-12-23 20:00 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\TrueCrypt
2007-12-22 10:17 . 2007-05-03 21:22 188,672 --a------ C:\Windows\System32\drivers\truecrypt.sys
2007-12-22 00:24 . 2008-01-07 16:17 44,695 --a------ C:\Windows\System32\oodbs.lor
2007-12-22 00:20 . 2007-04-27 00:57 16,904 --a------ C:\Windows\System32\authuitu.dll
2007-12-22 00:17 . 2007-12-22 00:17 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\TuneUp Software
2007-12-22 00:17 . 2007-03-29 04:42 29,704 --a------ C:\Windows\System32\uxtuneup.dll
2007-12-22 00:16 . 2007-12-22 00:16 <DIR> d-------- C:\Users\All Users\TuneUp Software
2007-12-22 00:16 . 2007-12-22 00:16 <DIR> d-------- C:\ProgramData\TuneUp Software
2007-12-22 00:15 . 2008-01-04 10:48 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-12-21 21:39 . 2007-12-23 13:42 <DIR> d-------- C:\Program Files\Google
2007-12-21 19:24 . 2007-12-29 17:37 <DIR> d-------- C:\Windows\System32\oodag
2007-12-21 19:24 . 2007-12-22 13:18 56 -r-hs---- C:\Windows\System32\CA08CFC991.sys
2007-12-21 19:20 . 2007-12-22 13:18 3,350 --ahs---- C:\Windows\System32\KGyGaAvL.sys
2007-12-21 19:18 . 2007-12-22 13:43 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\Corel
2007-12-21 19:18 . 2007-12-21 19:18 <DIR> d-------- C:\Users\All Users\InstallShield
2007-12-21 19:18 . 2007-12-21 19:18 <DIR> d-------- C:\ProgramData\InstallShield
2007-12-21 19:13 . 2007-12-21 19:13 0 --a------ C:\Windows\oodcnt.INI
2007-12-21 19:03 . 2007-12-23 20:16 <DIR> d-------- C:\Users\SmitH\AppData\Roaming\GHISLER

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 19:47 3,144,704 ----a-w C:\Windows\System32\oodtray.exe
2007-12-17 19:41 174 --sha-w C:\Program Files\desktop.ini
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Sidebar
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Photo Gallery
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Mail
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Journal
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Defender
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Collaboration
2007-12-17 19:36 --------- d-----w C:\Program Files\Windows Calendar
2007-12-17 19:29 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2007-12-17 19:29 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2007-12-17 16:24 --------- d-sh--w C:\ProgramData\Vorlagen
2007-12-17 16:24 --------- d-sh--w C:\ProgramData\Startmenü
2007-12-17 16:24 --------- d-sh--w C:\ProgramData\Favoriten
2007-12-17 16:24 --------- d-sh--w C:\ProgramData\Dokumente
2007-12-17 16:24 --------- d-sh--w C:\ProgramData\Anwendungsdaten
2007-12-17 16:24 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2007-12-11 16:06 86,016 ----a-w C:\Windows\System32\nvsvc.dll
2007-12-11 16:06 81,920 ----a-w C:\Windows\System32\nvmctray.dll
2007-12-11 16:06 8,530,464 ----a-w C:\Windows\System32\nvcpl.dll
2007-12-11 16:06 8,238,688 ----a-w C:\Windows\system32\drivers\nvlddmkm.sys
2007-12-11 16:06 795,104 ----a-w C:\Windows\System32\dpinst.exe
2007-12-11 16:06 7,098,368 ----a-w C:\Windows\System32\nvoglv32.dll
2007-12-11 16:06 6,549,504 ----a-w C:\Windows\System32\nvdisps.dll
2007-12-11 16:06 5,611,520 ----a-w C:\Windows\System32\nvdispsr.dll
2007-12-11 16:06 5,263,360 ----a-w C:\Windows\System32\nvd3dum.dll
2007-12-11 16:06 458,752 ----a-w C:\Windows\System32\nvmccssr.dll
2007-12-11 16:06 45,056 ----a-w C:\Windows\System32\nvmccsrs.dll
2007-12-11 16:06 385,024 ----a-w C:\Windows\System32\nvapi.dll
2007-12-11 16:06 356,352 ----a-w C:\Windows\System32\nvudisp.exe
2007-12-11 16:06 35,328 ----a-w C:\Windows\System32\nvcod100.dll
2007-12-11 16:06 35,328 ----a-w C:\Windows\System32\nvcod.dll
2007-12-11 16:06 3,715,072 ----a-w C:\Windows\System32\nvvitvsr.dll
2007-12-11 16:06 3,710,976 ----a-w C:\Windows\System32\nvvitvs.dll
2007-12-11 16:06 3,420,160 ----a-w C:\Windows\System32\nvgames.dll
2007-12-11 16:06 3,334,144 ----a-w C:\Windows\System32\nvgamesr.dll
2007-12-11 16:06 229,376 ----a-w C:\Windows\System32\nvmccs.dll
2007-12-11 16:06 2,854,912 ----a-w C:\Windows\System32\nvmoblsr.dll
2007-12-11 16:06 2,519,040 ----a-w C:\Windows\System32\nvwssr.dll
2007-12-11 16:06 2,498,560 ----a-w C:\Windows\System32\nvwss.dll
2007-12-11 16:06 188,416 ----a-w C:\Windows\System32\nvmccss.dll
2007-12-11 16:06 147,456 ----a-w C:\Windows\System32\nvcolor.exe
2007-12-11 16:06 1,830,912 ----a-w C:\Windows\System32\nvwgf2um.dll
2007-12-11 16:06 1,228,800 ----a-w C:\Windows\System32\nvmobls.dll
2007-11-30 12:19 986,680 ----a-w C:\Windows\System32\winload.exe
2007-11-30 12:19 926,776 ----a-w C:\Windows\System32\winresume.exe
2007-11-30 12:17 891,448 ----a-w C:\Windows\system32\drivers\tcpip.sys
2007-11-30 12:17 614,968 ----a-w C:\Windows\System32\ci.dll
2007-11-30 12:17 529,464 ----a-w C:\Windows\system32\drivers\ndis.sys
2007-11-30 12:17 504,376 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
2007-11-30 12:17 440,888 ----a-w C:\Windows\system32\drivers\ksecdd.sys
2007-11-30 12:17 376,376 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll
2007-11-30 12:17 3,599,928 ----a-w C:\Windows\System32\ntkrnlpa.exe
2007-11-30 12:17 3,547,192 ----a-w C:\Windows\System32\ntoskrnl.exe
2007-11-30 12:17 294,456 ----a-w C:\Windows\system32\drivers\volmgrx.sys
2007-11-30 12:17 247,352 ----a-w C:\Windows\System32\clfs.sys
2007-11-30 12:17 227,896 ----a-w C:\Windows\system32\drivers\volsnap.sys
2007-11-30 12:17 223,288 ----a-w C:\Windows\system32\drivers\netio.sys
2007-11-30 12:17 192,056 ----a-w C:\Windows\system32\drivers\fltMgr.sys
2007-11-30 12:17 181,304 ----a-w C:\Windows\system32\drivers\msiscsi.sys
2007-11-30 12:17 177,208 ----a-w C:\Windows\System32\halmacpi.dll
2007-11-30 12:17 163,384 ----a-w C:\Windows\system32\drivers\msrpc.sys
2007-11-30 12:17 1,082,424 ----a-w C:\Windows\system32\drivers\ntfs.sys
2007-11-30 12:16 94,776 ----a-w C:\Windows\System32\MigAutoPlay.exe
2007-11-30 12:16 151,096 ----a-w C:\Windows\system32\drivers\pci.sys
2007-11-30 12:16 143,416 ----a-w C:\Windows\system32\drivers\ecache.sys
2007-11-30 12:16 142,904 ----a-w C:\Windows\system32\drivers\scsiport.sys
2007-11-30 12:16 141,880 ----a-w C:\Windows\System32\halacpi.dll
2007-11-30 12:16 127,544 ----a-w C:\Windows\system32\drivers\Classpnp.sys
2007-11-30 12:16 123,960 ----a-w C:\Windows\system32\drivers\Storport.sys
2007-11-30 12:16 110,136 ----a-w C:\Windows\system32\drivers\ataport.sys
2007-11-30 12:16 101,432 ----a-w C:\Windows\system32\drivers\FWPKCLNT.SYS
2007-11-30 12:15 58,936 ----a-w C:\Windows\system32\drivers\fileinfo.sys
2007-11-30 12:15 57,400 ----a-w C:\Windows\system32\drivers\mountmgr.sys
2007-11-30 12:15 56,376 ----a-w C:\Windows\system32\drivers\partmgr.sys
2007-11-30 12:15 55,352 ----a-w C:\Windows\system32\drivers\disk.sys
2007-11-30 12:15 54,328 ----a-w C:\Windows\system32\drivers\termdd.sys
2007-11-30 12:15 52,792 ----a-w C:\Windows\system32\drivers\volmgr.sys
2007-11-30 12:15 51,768 ----a-w C:\Windows\System32\PSHED.DLL
2007-11-30 12:15 49,208 ----a-w C:\Windows\system32\drivers\mup.sys
2007-11-30 12:15 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2007-11-30 12:15 36,408 ----a-w C:\Windows\system32\drivers\crashdmp.sys
2007-11-30 12:15 35,896 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
2007-11-30 12:15 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2007-11-30 12:15 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
2007-11-30 12:15 31,288 ----a-w C:\Windows\system32\drivers\mssmbios.sys
2007-11-30 12:15 29,240 ----a-w C:\Windows\system32\drivers\Dumpata.sys
2007-11-30 12:15 1,203,792 ----a-w C:\Windows\System32\ntdll.dll
2007-11-30 12:14 28,216 ----a-w C:\Windows\system32\drivers\battc.sys
2007-11-30 12:14 24,120 ----a-w C:\Windows\System32\BOOTVID.DLL
2007-11-30 12:14 21,560 ----a-w C:\Windows\System32\kdusb.dll
2007-11-30 12:14 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2007-11-30 12:14 21,048 ----a-w C:\Windows\system32\drivers\spldr.sys
2007-11-30 12:14 19,512 ----a-w C:\Windows\System32\kdcom.dll
2007-11-30 12:14 17,976 ----a-w C:\Windows\system32\drivers\wmilib.sys
2007-11-30 12:14 17,976 ----a-w C:\Windows\system32\drivers\intelide.sys
2007-11-30 12:14 16,440 ----a-w C:\Windows\system32\drivers\msisadrv.sys
2007-11-30 12:14 15,288 ----a-w C:\Windows\system32\drivers\swenum.sys
2007-11-30 12:13 46,080 ----a-w C:\Windows\System32\NAPCRYPT.DLL
2007-11-30 12:13 103,936 ----a-w C:\Windows\System32\NAPHLPR.DLL
.

Code:

<pre>

----a-w         1,548,288 2007-12-22 12:27:02  C:\Windows\System32\WLTRAY .exe

</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2007-11-30 13:07 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2007-11-30 13:10 2153472 C:\Windows\System32\oobefldr.dll]
"DAEMON Tools Lite"="d:\DAEMON Tools Lite\daemon.exe" [2007-12-15 11:02 482760]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2007-11-30 13:07 125952]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2008-01-07 07:46 3293184]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2007-11-30 13:07 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-30 13:13 1008184]
"VolPanel"="D:\SBAudigy\Volume Panel\VolPanlu.exe" [2006-11-27 09:14 180224]
"UpdReg"="C:\Windows\UpdReg.EXE" [2008-01-07 07:46 90112]
"Diamondback"="D:\Razer\Diamondback\razerhid.exe" [2007-02-14 11:15 147456]
"NVHotkey"="C:\Windows\system32\nvHotkey.dll" [2007-10-04 21:24 86016]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-22 13:16 249896]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-07 07:46 815104]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-12-11 17:06 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-12-11 17:06 8530464]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-12-11 17:06 81920]
"SigmatelSysTrayApp"="sttray.exe" [2007-01-12 10:51 303104 C:\Windows\sttray.exe]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
QuickSet.lnk - C:\Windows\Installer\{0F95AA42-0FF6-4D48-9CA1-64C8D0777500}\NewShortcut1_53A01CC614B04512A2E710D39BF83DC4.exe [2007-12-17 18:23:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\Windows\system32\sstrr

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe" -startup
"CorelDRAW Graphics Suite 11b"=D:\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=010608 serial=dr12cec-1488833-bbm lang=EN
"OODefragTray"=C:\Windows\system32\oodtray.exe
"RemoteControl"=d:\PowerDVD\PDVDServ.exe
"LanguageShortcut"=d:\PowerDVD\Language\Language.exe

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};d:\PowerDVD\000.fcl [2007-09-19 21:37]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2007-11-30 13:07]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 16:57]
R3 RasSstp;WAN-Miniport (SSTP);C:\Windows\system32\DRIVERS\rassstp.sys [2007-11-30 11:30]
R3 Razerlow;Razerlow USB Filter Driver;C:\Windows\system32\Drivers\Razerlow.sys [2005-04-24 22:43]
R3 SstpSvc;SSTP-Dienst;C:\Windows\system32\svchost.exe [2007-11-30 13:07]
S3 BCM43XV;Broadcom Extensible 802.11-Netzwerkadaptertreiber;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 08:30]
S3 exfat;exFAT File System Driver;C:\Windows\system32\drivers\exfat.sys [2007-11-30 11:01]
S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2007-12-31 17:13]
S4 usbprint;Microsoft USB PRINTER Class;C:\Windows\system32\drivers\usbprint.sys [2006-11-02 10:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService REG_MULTI_SZ nsi lltdsvc SSDPSRV upnphost SCardSvr w32time EventSystem RemoteRegistry WinHttpAutoProxySvc lanmanworkstation TBS SLUINotify THREADORDER fdrespub netprofm fdphost wcncsvc QWAVE Mcx2Svc WebClient SstpSvc
LocalSystemNetworkRestricted REG_MULTI_SZ hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
SstpSvc

.
Inhalt des "geplante Tasks" Ordners
"2007-12-28 16:16:22 C:\Windows\Tasks\1-Klick-Wartung.job"
- D:\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-07 15:10:00 C:\Windows\Tasks\At1.job"
- C:\Windows\system32\cmd.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 16:18:07
Windows 6.0.6001 Service Pack 1, v.668 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-07 16:19:37
ComboFix-quarantined-files.txt 2008-01-07 15:19:35
.
2008-01-04 10:44:06 --- E O F ---

Gruss SmitH

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Windows\System32\nvcpluir.dll

C:\Windows\System32\nvcplui.exe

C:\Windows\System32\nvcpl.cpl

C:\Windows\System32\nvexpbar.dll

C:\Windows\System32\NVUNINST.EXE

C:\Windows\System32\xactengine2_10.dll

C:\Windows\85EBB28365AF4C539EBE7C0A232762F7.TMP

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hier das eScan Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows [Version 6.0.6001]
Bootmodus: NETWORK

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 1/8/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\Windows\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\QooBox\Quarantine\C\Windows\System32\aampggwc.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.gwe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\QooBox\Quarantine\C\Windows\System32\bconiqrq.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.gwe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\QooBox\Quarantine\C\Windows\System32\dnohvixp.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.gwe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\QooBox\Quarantine\C\Windows\System32\hgkcwsqo.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.gwe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\QooBox\Quarantine\C\Windows\System32\qwwflkqw.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.gwe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\QooBox\Quarantine\C\Windows\System32\rydjcxdm.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.gwe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\SmitH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QOS57B1Z\gamadril20071203[1] infiziert von "Backdoor.Win32.Agent.dbm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Windows\system32\oodtray.exe markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Program Files\Common Files\InstallShield\UpdateService\ISUSPM .exe.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Program Files\Google\Google Talk\googletalk.exe.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Program Files\Synaptics\SynTP\SynTPEnh.exe.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Windows\System32\sstrr.exe.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\Windows\UpdReg.EXE.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\catchme2008-01-07_161753.19.zip/sstrr.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dgy". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\mljiige.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.clz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\sstrr.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.dgy". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\urqqq.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.clz". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\System32\oodtray.exe markiert als "not-a-virus:AdWare.Win32.Virtumonde.cli". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Windows\system32\swreg.exe
Offending file found: C:\Windows\system32\swsc.exe
Offending file found: C:\Users\SmitH\Favorites\links\shops\amazon.url
Offending file found: C:\Windows\tasks\at1.job
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-D\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 124173
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 26
Dauer des Scans bisher: 00:50:05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:16:19,87
Batchende: 19:16:21,53

Die Dateien unten bitte auch mit VT auswerten lassen.

" C:\Windows\tasks\at1.job "

" C:\Windows\system32\oodtray.exe "

" C:\Users\SmitH\AppData\Local\Microsoft\Windows\Tem porary Internet Files\Content.IE5\QOS57B1Z\gamadril20071203[1] "

Folgende Dateien habe ich mit VT prüfen lassen

Zitat:

Ergebnis bei allen: 0/32 0%

Fund in folgender Datei:

26/32

Datei oodtray.exe empfangen 2008.01.08 20:04:13 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.9.10 2008.01.08 -
AntiVir 7.6.0.46 2008.01.08 -
Authentium 4.93.8 2008.01.07 W32/Virtumonde.OQ
Avast 4.7.1098.0 2008.01.07 Win32:TratBHO
AVG 7.5.0.516 2008.01.08 Dropper.Generic.THT
BitDefender 7.2 2008.01.08 Trojan.Dropper.Vundo.E
CAT-QuickHeal 9.00 2008.01.07 AdWare.Virtumonde.cli (Not a Virus)
ClamAV 0.91.2 2008.01.08 W32.Prep-1
DrWeb 4.44.0.09170 2008.01.07 Trojan.MulDrop.9328
eSafe 7.0.15.0 2008.01.08 -
eTrust-Vet 31.3.5441 2008.01.08 Win32/Trats.A
Ewido 4.0 2008.01.08 -
FileAdvisor 1 2008.01.08 -
Fortinet 3.14.0.0 2008.01.08 -
F-Prot 4.4.2.54 2008.01.07 W32/Virtumonde.OQ
F-Secure 6.70.13030.0 2008.01.08 Virus.Win32.Trats.c
Ikarus T3.1.1.20 2008.01.08 not-a-virus:AdWare.Win32.Virtumonde.cli
Kaspersky 7.0.0.125 2008.01.08 not-a-virus:AdWare.Win32.Virtumonde.cli
McAfee 5202 2008.01.08 -
Microsoft 1.3109 2008.01.08 Virus:Win32/Trats.D
NOD32v2 2775 2008.01.08 Win32/Adware.Virtumonde.CLI
Norman 5.80.02 2008.01.08 W32/Vundo.AX
Panda 9.0.0.4 2008.01.08 Spyware/Virtumonde
Prevx1 V2 2008.01.08 -
Rising 20.26.12.00 2008.01.08 Worm.Win32.Vadar.h
Sophos 4.24.0 2008.01.08 W32/VirtInf-A
Sunbelt 2.2.907.0 2008.01.08 -
Symantec 10 2008.01.08 W32.Trats!inf
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.07 AdWare.Win32.Virtumonde.cli
VirusBuster 4.3.26:9 2008.01.08 Win32.Trats.B
Webwasher-Gateway 6.6.2 2008.01.08 -
weitere Informationen
File size: 3144704 bytes
MD5: cda6d3a1ec90f87fc10831abb2d8a295
SHA1: 390be42f8102f226ecfcc3a9f99e7524a2d49e00
PEiD: -

Datei gamadril20071203_1_ empfangen 2007.12.17 02:49:23 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win-Trojan/Agent.74240.P
AntiVir - - ADSPY/Agent.74304
Authentium - - -
Avast - - -
AVG - - BackDoor.Agent.PTA
BitDefender - - Trojan.Fotomoto.H
CAT-QuickHeal - - Backdoor.Agent.dbm
ClamAV - - Trojan.Agent-10096
DrWeb - - Trojan.EzulaAd
eSafe - - Win32.Vundo
eTrust-Vet - - Win32/Abetear.I
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/Backdoor2.DK
F-Secure - - Backdoor.Win32.Agent.dbm
Ikarus - - Trojan.Agent.AGBD
Kaspersky - - Backdoor.Win32.Agent.dbm
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/Adware.Ezula
Norman - - -
Panda - - Spyware/Virtumonde
Prevx1 - - ADWARE.FOTOMOTO.F
Rising - - Backdoor.Win32.Agent.czt
Sophos - - Troj/Virtum-Gen
Sunbelt - - -
Symantec - - Trojan.Vundo
TheHacker - - Backdoor/Agent.czt
VBA32 - - Backdoor.Win32.Agent.dbm
VirusBuster - - Adware.Vundo.V.Gen
Webwasher-Gateway - - Ad-Spyware.Agent.74304
weitere Informationen
MD5: 6aa1bce4c2285e4714935417f5a85af3

Das sind sehr interessante Ergebnisse wenn man sich die Verbindung zwischen dem Vundo und Backdoor ansieht.
Es liegt in deinem Ermessen: Ich würde den Rechner auf jeden Fall neu aufsetzten. Wir werden kein vertrauenswürdiges System mehr herstellen können da durch die Hintertür in deinem System alles Mögliche von deinem Rechner ins Netz oder umgekehrt gekommen sein könnte.

Solltes du eine Bereinigung versuchen wollen dann
führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* Silentrunners

1000Dank für deine Bemühungen....ist schon Wahnsinn was ihr hier so drauf habt:aplaus:

Werde mein System neu aufsetzen!
Hab zwar Lust dazu wie ein Bär zum tanzen aber Sicherheit geht vor.
Was ist nach der Installation des Betriebssystems zu beachten?
Welches Virenprogramm empfehlt ihr?

Gruss SmitH

PS: Ist jetzt zwar egal aber Blacklight hat nichts gefunden.

Zitat:

Werde mein System neu aufsetzen!

:daumenhoc das ist immer die beste Idee.

Eine Anleitung zum Neuaufsetzten findest du in meiner Signatur.

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

Bei den VirenScanner scheiden sich die Geister. Wenn du was kostenloses suchst dann würde ich AntiVir nehmen. Bei kostenpflichtigen Varianten kann ich Nod32 oder Kaspersky empfehlen.