Trojaner-Board - Ich hätte gern eine 2te Meinung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ich hätte gern eine 2te Meinung (https://www.trojaner-board.de/54224-haette-gern-2te-meinung.html)

Ich hätte gern eine 2te Meinung

Hallo!

Ich hatte mir vor ein paar Wochen einen üblen Virus zugezogen, der lies sich nicht mittels diverser Online-Scanner entfernen, nur mittels Smitfraudfix konnte ich ihm beikommen... denke ich.

Mein Rechner läuft nun wieder einwandfrei, ich habe zur Sicherheit seither mal den Kaspersky drauf, läuft mit höchster Sicherheitsstufe, Heuristik steht auf detalliert.

Nun ja, ab und an nach einen Update findet der Kaspersky hier und da noch eine Datei die er als Virus identifiziert, was mich allerdings stutzig macht ist die Tatsache das er eine vor kurzem eine Datei in "C:\System Volume Information" anmeckert und dieses Verzeichnis hatte ich nach dem Virenbefall von Hand komplett gelöscht. Außerdem meckert der Kaspersky meine rundll32.exe als gefährlich an...hmm..., hier mal der Bericht:

gelöscht: trojanisches Programm Trojan.Win32.Monderb.gen Datei: C:\System Volume Information\_restore{A6A2D39D-3F83-4187-BE50-B38E08502A27}\RP18\A0005283.dll
gelöscht: trojanisches Programm Trojan.Win32.Vapsup.gwu Datei: C:\WINDOWS\efvr.exe
gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\WINDOWS\system32\rundll32.exe

Das HJT-Logfile sieht so aus, kann man nichts schlimmes erkennen, oder doch?

Wär nett wenn Ihr mal Eure Meinung dazu sagt. Andreas.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:29, on 18.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Free Download Manager\fdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Palm\HOTSYNC.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [MacroMaker] C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: TaskManager.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196372245967
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F039E0A5-F4CF-4BF4-A24B-CDB078309CFE}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)
O21 - SSODL: gnowmebk - {E9BEDBC6-495E-48C7-8A9D-0F042E01A180} - (no file)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5945 bytes

Zitat:

gelöscht: trojanisches Programm Trojan.Win32.Monderb.gen Datei: C:\System Volume Information\_restore{A6A2D39D-3F83-4187-BE50-B38E08502A27}\RP18\A0005283.dll

Dateien in diesem Ordner gehören zur Systemwiederherstellung. Deaktiver diese, um diese Dateien zu löschen, denn ältere Wiederherstellungspunkte werden wahrscheinlich befallen sein.

Zitat:

gelöscht: trojanisches Programm Trojan.Win32.Vapsup.gwu Datei: C:\WINDOWS\efvr.exe

Ok, Datei ist gelöscht. Läßt sich nicht mehr bei Virustotal auswerten.

Zitat:

gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\WINDOWS\system32\rundll32.exe

Diese Datei ist ok. KAV ist da etwas übermotiviert und springt dann an, wenn es meint, verdächtige Aktionen zu erkennen. ;)

Zitat:

O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp

Was ist das, brauchst Du das?? :confused:

Code:

O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)

O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)

O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)

O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)

Diese Einträge mit hijackthis bitte fixen. Folge danach meinem DSS Link in der Signatur und beachte die Anweisungen.

Zitat:

Zitat von root24 (Beitrag 347071)

Zitat:
O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp
Was ist das, brauchst Du das?? :confused:

Ja, das ist okay. Ich habe eine RAM-Disk laufen und auf dieser landen:
-alle temp. Files, wegen set TEMP=Z:\TEMP, etc.
-alle IE-relevanten Files: Cookies, Verlauf, Temporary Internet Files

Zitat:

Zitat von root24 (Beitrag 347071)

Code:

O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)

O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)

O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)

O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)

Diese Einträge mit hijackthis bitte fixen. Folge danach meinem DSS Link in der Signatur und beachte die Anweisungen.

Okay, hab ich gemacht. Das mit dem DSS mache ich gleich.

Bis dahin schon mal danke, Andreas.

Södele, da bin ich wieder, hier der Inhalt der Logfiles..., zuerst main.txt

Sieht für mich alles okay aus...

Code:

Deckard's System Scanner v20071014.68

Run by Besitzer on 2008-06-19 17:17:50

Computer is in Normal Mode.

--------------------------------------------------------------------------------
 

-- System Restore --------------------------------------------------------------
 

Successfully created a Deckard's System Scanner Restore Point.
 
 

-- Last 5 Restore Point(s) --

25: 2008-06-19 15:17:58 UTC - RP25 - Deckard's System Scanner Restore Point

24: 2008-06-18 16:54:28 UTC - RP24 - Software Distribution Service 3.0

23: 2008-06-15 07:25:07 UTC - RP23 - Software Distribution Service 3.0

22: 2008-06-13 20:02:37 UTC - RP22 - Norton Security Scan wird entfernt

21: 2008-06-13 17:04:47 UTC - RP21 - Systemprüfpunkt
 
 

-- First Restore Point -- 

1: 2008-05-23 07:28:45 UTC - RP1 - Systemprüfpunkt
 
 

Backed up registry hives.

Performed disk cleanup.
 
 
 

-- HijackThis (run as Besitzer.exe) --------------------------------------------
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:19:03, on 19.06.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Windows Defender\MSASCui.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Programme\Netropa\Onscreen Display\OSD.exe

C:\PROGRA~1\HDTUNE~1\HDTune.exe

C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Programme\ARM Software\MacroMaker\MacroMaker.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\Programme\Free Download Manager\fdm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Palm\HOTSYNC.EXE

Z:\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\Besitzer.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [CreateTEMP] c:\WINDOWS\system32\cmd.exe /c md z:\temp

O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [MacroMaker] C:\Programme\ARM Software\MacroMaker\MacroMaker.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O4 - Global Startup: AutorunsDisabled

O4 - Global Startup: TaskManager.lnk = C:\WINDOWS\system32\taskmgr.exe

O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196372245967

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F039E0A5-F4CF-4BF4-A24B-CDB078309CFE}: NameServer = 195.50.140.114 195.50.140.252

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 5483 bytes
 

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------
 

backup-20080618-191646-802 O20 - Winlogon Notify: ddcYsSKE - ddcYsSKE.dll (file missing)

backup-20080618-191810-294 O21 - SSODL: gnowmebk - {E9BEDBC6-495E-48C7-8A9D-0F042E01A180} - (no file)

backup-20080618-191810-430 O3 - Toolbar: (no name) - {A693E381-4431-4108-8A8D-289B7F68034E} - (no file)

backup-20080618-191810-650 O2 - BHO: (no name) - {9D7E0D8A-A396-4BFF-9ACF-59A504161077} - (no file)

backup-20080618-191849-370 O2 - BHO: (no name) - {0B9928CA-2B38-43C8-BE19-A4A6386DE417} - (no file)
 

-- File Associations -----------------------------------------------------------
 
 .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
 
 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
 

R1 ramdisk (AR Soft RAM Disk Service) - c:\windows\system32\drivers\ramdisk.sys <Not Verified; AR Soft; AR Soft RAM Disk>

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
 
 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
 

S3 Imapi Helper - "c:\programme\alex feinman\iso recorder\imapihelper.exe" <Not Verified; Alex Feinman; ISO Recorder>

S4 nhksrv (Netropa NHK Server) - c:\programme\netropa\multimedia keyboard\nhksrv.exe
 
 

-- Device Manager: Disabled ----------------------------------------------------
 

No disabled devices found.
 
 

-- Scheduled Tasks -------------------------------------------------------------
 

2008-06-19 17:15:05       322 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job

2007-12-11 22:11:42       232 --a------ C:\WINDOWS\Tasks\Prefetch-Ordner loeschen.job
 
 

-- Files created between 2008-05-19 and 2008-06-19 -----------------------------
 

2008-06-18 18:14:18         0 d-------- C:\Programme\Trend Micro

2008-06-13 15:18:31         0 dr-h----- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Recent

2008-06-12 18:45:16         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared

2008-06-11 17:57:42         0 d-------- C:\Programme\Windows Live Safety Center

2008-06-01 13:45:36     96966 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-06-01 13:45:36     88774 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-06-01 13:44:35     50976 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-06-01 13:44:35   2815264 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-06-01 13:44:35         0 d-------- C:\Programme\Kaspersky Lab

2008-05-25 15:50:54         0 d-------- C:\WINDOWS\Prefetch

2008-05-25 15:45:36         0 d-------- C:\Programme\Messenger

2008-05-25 15:45:24         0 d-------- C:\WINDOWS\system32\de

2008-05-25 15:45:24         0 d-------- C:\WINDOWS\system32\bits

2008-05-25 15:45:24         0 d-------- C:\WINDOWS\l2schemas

2008-05-25 15:43:38         0 d-------- C:\WINDOWS\ServicePackFiles

2008-05-25 15:37:12         0 d-------- C:\WINDOWS\EHome

2008-05-23 10:05:22      3818 --a------ C:\WINDOWS\system32\tmp.reg

2008-05-23 09:54:16         0 d-------- C:\Virus

2008-05-22 20:28:04         0 d--hs---- C:\System Volume Information

2008-05-21 18:35:19         0 d-------- C:\Programme\Panda Security

2008-05-21 18:33:14         0 d-------- C:\WINDOWS\BDOSCAN8

2008-05-21 18:13:18      3457 --ahs---- C:\WINDOWS\system32\ddMTtBeg.ini2

2008-05-21 17:29:05       341 --a------ C:\WINDOWS\PowerReg.dat

2008-05-21 17:28:53     36864 --a------ C:\WINDOWS\system32\PalmDevC.dll <Not Verified; Palm, Inc.; HotSync® Manager>

2008-05-21 17:28:47         0 d-------- C:\Palm
 
 

-- Find3M Report ---------------------------------------------------------------
 

2008-06-19 17:18:46         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\Free Download Manager

2008-06-19 17:11:42   4037316 --a------ C:\video.dat

2008-06-18 19:27:04         0 d-------- C:\Programme\StarMoney 6.0 S-Edition

2008-06-18 18:22:11         0 d-------- C:\Programme\Mozilla Thunderbird

2008-06-12 18:45:16         0 d-------- C:\Programme\Gemeinsame Dateien

2008-06-12 18:13:43         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\Adobe

2008-06-09 19:56:23         0 d-------- C:\Programme\Cheat Engine

2008-05-25 15:53:07    451846 --a------ C:\WINDOWS\system32\perfh007.dat

2008-05-25 15:53:06     81850 --a------ C:\WINDOWS\system32\perfc007.dat

2008-05-25 15:45:23         0 d-------- C:\Programme\Movie Maker

2008-05-25 10:53:45      3601 --a------ C:\defrag.bat

2008-05-23 09:55:52         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\TmpRecentIcons

2008-05-21 19:09:32         0 d-------- C:\Programme\Windows Defender

2008-05-21 19:07:33         0 d-------- C:\Programme\ProcessExplorerNt

2008-05-21 19:05:12         0 d-------- C:\Programme\Microsoft IntelliPoint

2008-05-21 19:05:10         0 d-------- C:\Programme\Microsoft ActiveSync

2008-05-21 19:04:24         0 d-------- C:\Programme\HD Tune

2008-05-21 19:03:17         0 d-------- C:\Programme\FreeWheel

2008-05-21 19:03:15         0 d-------- C:\Programme\Free Download Manager

2008-05-21 17:47:42         0 d--h----- C:\Programme\InstallShield Installation Information

2008-05-08 17:31:49         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\Desktopicon

2008-05-04 12:05:31         0 d-------- C:\Programme\CDBurnerXP

2008-05-01 11:51:06         0 d-------- C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten\CDBurnerXP_Soft
 
 

-- Registry Dump ---------------------------------------------------------------
 

*Note* empty entries & legit default entries are not shown
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [12.07.2002 12:15]

"Cmaudio"="cmicnfg.cpl" []

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [22.10.2006 13:22]

"nwiz"="nwiz.exe" [22.10.2006 13:22 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [22.10.2006 13:22 C:\WINDOWS\system32\nvmctray.dll]

"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [03.11.2006 19:20]

"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [04.12.2005 17:39]

"MULTIMEDIA KEYBOARD"="C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [28.11.2000 11:23]

"CreateTEMP"="c:\WINDOWS\system32\cmd.exe" [14.04.2008 04:22]

"HD Tune"="C:\PROGRA~1\HDTUNE~1\HDTune.exe" [22.01.2006 11:35]

"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [18.12.2007 00:43]

"MacroMaker"="C:\Programme\ARM Software\MacroMaker\MacroMaker.exe" [11.09.2003 09:20]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [15.11.2005 20:14]

"Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" [01.12.2007 02:41]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]
 

C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Startmen\Programme\Autostart\

HotSync Manager.lnk - C:\Palm\HOTSYNC.EXE [13.04.2004 17:03:10]
 

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\

TaskManager.lnk - C:\WINDOWS\system32\taskmgr.exe [04.08.2004 14:00:00]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 

C:\WINDOWS\System32\dimsntfy.dll 
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 C:\WINDOWS\system32\geBtTMdd
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Programme\QuickTime\qttask.exe" -atboottime
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

eapsvcs        eaphost

dot3svc        dot3svc
 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

napagent

hkmsvc
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e9a46d3-9f89-11dc-b955-00138f39a61b}]

AutoRun\command- G:\PortableRoboForm.exe

RoboForm2Go\command- G:\PortableRoboForm.exe
 
 
 
 

-- End of Deckard's System Scanner: finished at 2008-06-19 17:24:25 ------------

Und hier die extra.txt

Code:

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------
 

-- System Information ----------------------------------------------------------
 

Microsoft Windows XP Home Edition (build 2600) SP 3.0

Architecture: X86; Language: German
 

CPU 0: AMD Sempron(tm) 2600+

Percentage of Memory in Use: 45%

Physical Memory (total/avail): 1535.48 MiB / 837.8 MiB

Pagefile Memory (total/avail): 3434.53 MiB / 2894.64 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1917.33 MiB
 

C: is Fixed (NTFS) - 76.32 GiB total, 54.77 GiB free. 

D: is CDROM (No Media)

E: is Fixed (NTFS) - 76.69 GiB total, 36.52 GiB free. 

Z: is Fixed (FAT) - 0.25 GiB total, 0.24 GiB free. 
 

\\.\PHYSICALDRIVE1 - Hitachi HCS721680PLAT80 - 76.69 GiB - 1 partition

  \PARTITION0 - Installierbares Dateisystem - 76.69 GiB - E:
 

\\.\PHYSICALDRIVE0 - Maxtor 6Y080L0 - 76.33 GiB - 1 partition

  \PARTITION0 (bootable) - Installierbares Dateisystem - 76.32 GiB - C:
 
 
 

-- Security Center -------------------------------------------------------------
 

AUOptions is scheduled to auto-install.
 
 

-- Environment Variables -------------------------------------------------------
 

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users.WINDOWS

APPDATA=C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65\Anwendungsdaten

CLASSPATH=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip

CLIENTNAME=Console

CommonProgramFiles=C:\Programme\Gemeinsame Dateien

COMPUTERNAME=ANDREAS-373CC65

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65

LOGONSERVER=\\ANDREAS-373CC65

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0801

ProgramFiles=C:\Programme

PROMPT=$P$G

QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=Z:\TEMP

TMP=Z:\TEMP

USERDOMAIN=ANDREAS-373CC65

USERNAME=Besitzer

USERPROFILE=C:\Dokumente und Einstellungen\Besitzer.ANDREAS-373CC65

windir=C:\WINDOWS
 
 

-- User Profiles ---------------------------------------------------------------
 

Besitzer.ANDREAS-373CC65 (admin)
 
 

-- Add/Remove Programs ---------------------------------------------------------
 

 --> "C:\Programme\InstallShield Installation Information\{F37167DD-4436-4641-90B6-329D60632DDA}\Setup.exe" REMOVEALL --u:{F37167DD-4436-4641-90B6-329D60632DDA}

 --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

7-Zip 4.56 beta --> "C:\Programme\7-Zip\Uninstall.exe"

Adobe Acrobat 5.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"

Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Shockwave Player 11 --> C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log

C-Media 3D Audio --> C:\WINDOWS\CMIUnInstall.exe

C-Media WDM Audio Driver --> C:\WINDOWS\system32\cmirmdrv.exe

CamStudio --> C:\Programme\CamStudio\uninstall.exe

CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"

CDBurnerXP --> "C:\Programme\CDBurnerXP\unins000.exe"

Cheat Engine 5.4 --> "C:\Programme\Cheat Engine\unins000.exe"

Cuttermaran 1.69a --> MsiExec.exe /I{01CEF48F-41F2-4A43-82F2-25D23D68C1D4}

DVD Shrink 3.2 deutsch --> "C:\Programme\DVD Shrink DE\unins000.exe"

Free Download Manager 2.5 --> "C:\Programme\Free Download Manager\unins000.exe"

FreeUndelete --> C:\Programme\FreeUndelete\GLF8C.exe /handle:fru

FreeWheel --> C:\Programme\FreeWheel\Remove.exe

GUI for dvdauthor 0.99 --> C:\Programme\GUI for dvdauthor\uninst.exe

HD Tune 2.52 --> "C:\Programme\HD Tune\unins000.exe"

HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall

Hurrican 1.0.0.4 --> "C:\Programme\Hurrican\unins000.exe"

ISO Recorder --> MsiExec.exe /I{DFC6573E-124D-4026-BFA4-B433C9D3FF21}

J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}

Kaspersky Anti-Virus 7.0 --> MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}

Kaspersky Anti-Virus 7.0 --> MsiExec.exe /I{4B9BB601-13E9-4042-A3BC-E7955BF4A98F}

MacroMaker --> MsiExec.exe /I{49E9E81A-9CA8-4A76-8AD6-BE7E3B2E1E2A}

Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E}

Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"

Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}

Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"

Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe

Mozilla Thunderbird (2.0.0.14) --> C:\Programme\Mozilla Thunderbird\uninstall\helper.exe

MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}

Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\SetupX.exe /uninstall ExtraUninstallID=""

NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI

Palm Desktop --> MsiExec.exe /X{E89D78B8-28F7-412F-8B26-C684739CBBDC}

PowerDVD --> "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -l0x000407 /z-uninstall

Powertoys For Windows XP --> MsiExec.exe /I{6C31E111-96BB-4ADC-9C81-E6D3EEDDD8D3}

QuickTime --> MsiExec.exe /I{5B09BD67-4C99-46A1-8161-B7208CE18121}

Real Alternative 1.51 --> "C:\Programme\Real Alternative\unins000.exe"

Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf

SiS 900 PCI Fast Ethernet Adapter Driver --> C:\Progra~1\SiSLan\Uninst.exe

StarMoney 6.0 S-Edition --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4CA40FFF-D47C-4F21-8847-2D6C49988F45}\setup.exe" -l0x7  -removeonly

SUPER © Version 2007.bld.23 (July 4, 2007) --> C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0

Touch Manager --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{06821665-531E-11D4-97B0-00508B9D1BA2}\setup.exe" 

TreeSize Free V1.77 --> "C:\Programme\JAM Software\TreeSize\unins000.exe"

UltraVNC 1.0.4 RC8 --> "C:\Programme\UltraVnc\unins000.exe"

Unlocker 1.8.7 --> C:\Programme\Unlocker\uninst.exe

Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}

Windows Defender --> MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}

Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"

Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"

Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}

Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}

Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}

Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}

Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

XML Paper Specification Shared Components Pack 1.0 --> 
 
 

-- Application Event Log -------------------------------------------------------
 

Event Record #/Type1215 / Warning

Event Submitted/Written: 06/18/2008 07:44:02 PM

Event ID/Source: 1524 / Userenv

Event Description:

Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.
 

Event Record #/Type1212 / Warning

Event Submitted/Written: 06/17/2008 09:13:58 PM

Event ID/Source: 1524 / Userenv

Event Description:

Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.
 

Event Record #/Type1209 / Warning

Event Submitted/Written: 06/15/2008 01:39:19 PM

Event ID/Source: 1524 / Userenv

Event Description:

Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.
 

Event Record #/Type1206 / Warning

Event Submitted/Written: 06/15/2008 00:09:33 PM

Event ID/Source: 1524 / Userenv

Event Description:

Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.
 

Event Record #/Type1203 / Warning

Event Submitted/Written: 06/15/2008 09:18:02 AM

Event ID/Source: 1524 / Userenv

Event Description:

Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.
 
 
 

-- Security Event Log ----------------------------------------------------------
 

No Errors/Warnings found.
 
 

-- System Event Log ------------------------------------------------------------
 

Event Record #/Type8447 / Warning

Event Submitted/Written: 06/19/2008 05:19:19 PM

Event ID/Source: 3004 / WinDefend

Event Description:

%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.
 

For more information please see the following:

%ANDREAS-373CC65275
 

        Scan ID: {43003B10-4689-4D08-B2F8-0E9D0F9A535A}
 

        User: ANDREAS-373CC65\Besitzer
 

        Name: %ANDREAS-373CC65271
 

        ID: %ANDREAS-373CC65272
 

        Severity: 1.1.1593.05
 

        Category: 1.1.1593.06
 

        Path Found: %ANDREAS-373CC65276
 

        Alert Type: %ANDREAS-373CC65278
 

        Detection Type: 1.1.1593.02
 

Event Record #/Type8446 / Warning

Event Submitted/Written: 06/19/2008 05:19:19 PM

Event ID/Source: 3004 / WinDefend

Event Description:

%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.
 

For more information please see the following:

%ANDREAS-373CC65275
 

        Scan ID: {392159AA-A5E5-4928-B3AD-B341ABED3DBA}
 

        User: ANDREAS-373CC65\Besitzer
 

        Name: %ANDREAS-373CC65271
 

        ID: %ANDREAS-373CC65272
 

        Severity: 1.1.1593.05
 

        Category: 1.1.1593.06
 

        Path Found: %ANDREAS-373CC65276
 

        Alert Type: %ANDREAS-373CC65278
 

        Detection Type: 1.1.1593.02
 

Event Record #/Type8445 / Warning

Event Submitted/Written: 06/19/2008 05:19:19 PM

Event ID/Source: 3004 / WinDefend

Event Description:

%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.
 

For more information please see the following:

%ANDREAS-373CC65275
 

        Scan ID: {BB35F85E-450F-4DC9-AAD1-1076312DB96F}
 

        User: ANDREAS-373CC65\Besitzer
 

        Name: %ANDREAS-373CC65271
 

        ID: %ANDREAS-373CC65272
 

        Severity: 1.1.1593.05
 

        Category: 1.1.1593.06
 

        Path Found: %ANDREAS-373CC65276
 

        Alert Type: %ANDREAS-373CC65278
 

        Detection Type: 1.1.1593.02
 

Event Record #/Type8444 / Warning

Event Submitted/Written: 06/19/2008 05:19:16 PM

Event ID/Source: 3004 / WinDefend

Event Description:

%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.
 

For more information please see the following:

%ANDREAS-373CC65275
 

        Scan ID: {01352861-AAB0-4C93-AC57-38C6AF2A9278}
 

        User: ANDREAS-373CC65\Besitzer
 

        Name: %ANDREAS-373CC65271
 

        ID: %ANDREAS-373CC65272
 

        Severity: 1.1.1593.05
 

        Category: 1.1.1593.06
 

        Path Found: %ANDREAS-373CC65276
 

        Alert Type: %ANDREAS-373CC65278
 

        Detection Type: 1.1.1593.02
 

Event Record #/Type8443 / Warning

Event Submitted/Written: 06/19/2008 05:19:16 PM

Event ID/Source: 3004 / WinDefend

Event Description:

%ANDREAS-373CC6527 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %ANDREAS-373CC6527 can't undo changes that you allow.
 

For more information please see the following:

%ANDREAS-373CC65275
 

        Scan ID: {4C4AABF9-B841-4539-A1E2-3FB59637FDEE}
 

        User: ANDREAS-373CC65\Besitzer
 

        Name: %ANDREAS-373CC65271
 

        ID: %ANDREAS-373CC65272
 

        Severity: 1.1.1593.05
 

        Category: 1.1.1593.06
 

        Path Found: %ANDREAS-373CC65276
 

        Alert Type: %ANDREAS-373CC65278
 

        Detection Type: 1.1.1593.02
 
 
 

-- End of Deckard's System Scanner: finished at 2008-06-19 17:24:25 ------------

Kleinere Sachen, ob die überhaupt noch problematisch sind ist ne andere Frage:

Code:

[HKLM\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 C:\WINDOWS\system32\geBtTMdd

Starte mal regedit.exe und navigiere zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - öffne dort rechts die Zeichenfolge Authentication Packages, in der sollte eigentlich nur msv1_0 stehen.

Code:

C:\WINDOWS\system32\ddMTtBeg.ini2

Sieht nach einem Überrest von Vundo oder so aus. Falls diese Datei noch da ist, bei virustotal.com auswerten lassen bitte.

Zitat:

Zitat von root24 (Beitrag 347698)

Nein, da steht auch C:\WINDOWS\system32\geBtTMdd drin, es gibt aber kein entsprechendes File auf meinem Rechner, ich entferne den Eintrag.

Zitat:

Zitat von root24 (Beitrag 347698)

Code:

C:\WINDOWS\system32\ddMTtBeg.ini2

Sieht nach einem Überrest von Vundo oder so aus. Falls diese Datei noch da ist, bei virustotal.com auswerten lassen bitte.

[/quote]
Hab ich gemacht, keiner der Scanner konnte etwas finden. Ich stelle das File mal unter Quarantäne. Möchtest Du das File zur Analyse haben?

Zitat:

Zitat von Andreas1964 (Beitrag 347937)

Hab ich gemacht, keiner der Scanner konnte etwas finden. Ich stelle das File mal unter Quarantäne. Möchtest Du das File zur Analyse haben?

Das wär vllt mal nicht schlecht. Zippe das File (am besten mit nem Passwort) und lad es hoch bei file-upload.net oder schicks mir an root240(at)arcor.de