Trojaner-Board
Seite 4 von 6 « Erste 23 4 56
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firefox leitet auf fremde Seiten um (https://www.trojaner-board.de/72954-firefox-leitet-fremde-seiten-um.html)

Raketenmann 12.05.2009 19:23
Ok, log ist jetzt hier zu finden.
http://rapidshare.com/files/232211557/cflog.txt.html

Gruß vom Raketenmann

john.doe 12.05.2009 20:42
1.) Deinstalliere:
  • SuperAntiSpyware
  • Logitech Desktop Manager (es sei denn, du brauchst ihn)
  • Mozilla Firefox (1.0.7)
  • Mozilla Firefox (3.0.5)
  • Mozilla Thunderbird (1.0.2)
2.) Installiere (Toolbars immer abwählen, Haken weg):3.) Starte HJT => Do a system scan only => Markiere:
Code:
Alle R0, R1, O8, O9 und O16-Einträge
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
=> Fix checked

4.) Lade die Datei
Code:
C:\WINDOWS\system32\ISNDPM.sys
bitte bei uns hoch. Die Datei ist nicht sichtbar. Markiere die Zeile in der Box, kopiere und füge sie bei uns ein. http://www.trojaner-board.de/54791-a...ner-board.html

5.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
Asymddayqnss

RegNull::
[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{09403AD0-6556-52FE-11A6-DDDF9124206B}*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{09403AD0-6556-52FE-11A6-DDDF9124206B}\InProcServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0A2C6EC6-E1BC-9BF5-B3F7D282645EFB0F}\{C08E0694-C5E1-48EE-3ACF6A24AC2BF796}\{A9549B8D-B7EF-15E1-4BD44DC35FFCD192}*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3782D402-1413-2B4D-D5B93EB7648B29D4}\{9536055C-1E13-65AB-BABDBD84391B7DD3}\{70487E18-04C4-4686-6F59FE851A688CA9}*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EC36979A-271C-CB21-250CD586E00814A2}\{8EF4E408-9A98-28EF-CDFA1ACBF6ED5141}\{501B0FF8-8336-4915-6C99805756A8837E}*]

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"iTunesHelper"=-
"SunJavaUpdateSched"=-
"nwiz"=-
"RTHDCPL"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

Folder::
C:\rsit

File::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Raketenmann 12.05.2009 21:28
Zitat:
Zitat von john.doe (Beitrag 435502)
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten
Beim draufziehen der Datei mit rechter Maustaste erschien ein ContextMenu. Dort hab ich Öffnen mit ausgewählt (Alternative war abbrechen). Das startete dann ComboFix und hat augenscheinlich das Skript ausgeführt und am Ende neu gestartet.
Soll ich _das_ Log jetzt hochladen, oder ComboFix _nochmal_ laufen lassen? Ich verstehe das jetzt mal so und lass es ein zweites Mal laufen. Das alte Log halte ich aber noch vor, falls das noch benötigt wird.

Gruß
Raketenmann

Raketenmann 12.05.2009 21:42
Code:
ComboFix 09-05-12.04 - *MeinName* 12.05.2009 22:31.4 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2539 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*MeinName*\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ActiveArmor Firewall *enabled*
.

(((((((((((((((((((((((  Dateien erstellt von 2009-04-12 bis 2009-05-12  ))))))))))))))))))))))))))))))
.

2009-05-12 20:07 . 2009-05-12 20:07        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2009-05-12 20:06 . 2009-05-12 20:07        --------        d-----w        c:\programme\Mozilla Thunderbird
2009-05-10 05:06 . 2009-05-10 05:06        56        ---ha-w        c:\windows\system32\ezsidmv.dat
2009-05-10 05:06 . 2009-05-12 20:23        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\skypePM
2009-05-10 05:06 . 2009-05-10 05:06        --------        d-----w        c:\programme\Gemeinsame Dateien\Skype
2009-05-10 05:06 . 2009-05-10 05:06        --------        d-----r        c:\programme\Skype
2009-05-10 04:58 . 2009-05-10 04:58        410984        ----a-w        c:\windows\system32\deploytk.dll
2009-05-10 04:57 . 2009-05-10 04:57        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Foxit
2009-05-10 04:32 . 2008-04-14 05:52        4255        ------w        c:\windows\system32\drivers\adv01nt5.dll
2009-05-10 04:29 . 2009-05-10 04:29        --------        d-----w        c:\windows\EHome
2009-05-08 17:29 . 2009-05-08 17:29        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-08 17:29 . 2009-05-12 20:02        --------        d-----w        c:\programme\SUPERAntiSpyware
2009-05-08 17:29 . 2009-05-12 20:03        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-08 16:41 . 2009-05-08 16:41        --------        d-----w        C:\cf
2009-05-03 11:13 . 2009-05-03 11:13        61440        ----a-w        c:\windows\system32\drivers\mcfmfli.sys
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--r        c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-05-03 09:30 . 2005-01-23 06:12        --------        d-----w        c:\dokumente und einstellungen\Administrator\Favoriten
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-05-03 09:30 . 2005-01-23 06:12        --------        d-----r        c:\dokumente und einstellungen\Administrator\Startmenü
2009-05-03 09:30 . 2005-01-22 23:19        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Vorlagen
2009-05-03 09:30 . 2009-05-03 09:30        --------        d-----w        c:\dokumente und einstellungen\Administrator
2009-05-02 09:17 . 2009-05-02 09:17        --------        d-----w        c:\programme\CCleaner
2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Malwarebytes
2009-05-02 07:17 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys
2009-05-02 07:17 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware
2009-04-19 12:14 . 2009-04-19 15:12        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\.gnubg
2009-04-19 11:33 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-19 11:33 . 2009-02-09 11:21        2191360        -c----w        c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-19 11:33 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-19 11:33 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-19 11:33 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-19 11:33 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-19 11:33 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-19 11:33 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-19 11:33 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-19 11:33 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-19 11:33 . 2009-02-09 11:21        2147840        -c----w        c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-19 11:32 . 2009-02-09 11:21        2026496        -c----w        c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-19 11:30 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe
2009-04-14 16:53 . 2009-04-14 16:55        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Braid

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 20:03 . 2006-09-07 17:48        --------        d-----w        c:\programme\Logitech
2009-05-12 20:02 . 2007-12-30 13:20        --------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-10 04:58 . 2005-08-10 09:05        --------        d-----w        c:\programme\Java
2009-05-10 04:54 . 2005-01-23 21:21        27128        ----a-w        c:\dokumente und einstellungen\*MeinName*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-10 04:34 . 2005-01-22 23:22        76487        ----a-w        c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-21 17:33 . 2006-01-04 15:17        --------        d-----w        c:\programme\Microsoft ActiveSync
2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\programme\iTunes
2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\programme\iPod
2009-04-10 11:57 . 2007-12-15 07:37        --------        d-----w        c:\programme\Gemeinsame Dateien\Apple
2009-03-24 11:34 . 2005-01-23 08:33        --------        d-----w        c:\programme\NVIDIA Corporation
2009-03-24 11:19 . 2007-12-30 13:20        --------        d-----w        c:\programme\AGEIA Technologies
2009-03-19 14:32 . 2008-01-29 10:01        23400        ----a-w        c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-18 19:07 . 2005-12-30 10:28        --------        d-----w        c:\programme\QuickTime
2009-03-18 18:58 . 2008-04-12 15:10        --------        d-----w        c:\programme\Safari
2009-03-14 09:58 . 2005-12-06 14:07        413696        ----a-w        c:\windows\system32\wrap_oal.dll
2009-03-14 09:58 . 2005-12-06 14:07        110592        ----a-w        c:\windows\system32\OpenAL32.dll
2009-03-07 09:46 . 2009-03-07 09:46        1340416        ----a-w        c:\windows\system32\ISTWL.dll
2009-03-06 14:19 . 2004-08-04 12:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-05 22:59 . 2009-03-18 19:03        1900544        ----a-w        c:\windows\system32\usbaaplrc.dll
2009-03-05 22:59 . 2007-12-15 07:38        36864        ----a-w        c:\windows\system32\drivers\usbaapl.sys
2009-03-03 00:03 . 2004-08-04 12:00        826368        ----a-w        c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll
.

(((((((((((((((((((((((((((((  SnapShot_2009-05-12_18.08.08  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-12 20:19 . 2009-05-12 20:19        16384              c:\windows\temp\Perflib_Perfdata_154.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128]
"Octoshape Streaming Services"="c:\programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" [2006-02-13 214648]
"PlayNC Launcher"="f:\spiele\ncsoft\launcher\NCLauncher.exe" [2009-04-19 38136]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-02-06 3325952]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-16 24264488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Acrobat Assistant 8.0"="g:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-05 177472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2004-12-10 49152]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2006-9-7 434176]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"f:\\Spiele\\Valve\\Steam\\Steam.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Sony\\Station\\Launchpad\\LaunchPad.exe"=
"c:\\Program Files\\WS_FTP Pro\\ftp95pro.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\half-life 2\\hl2.exe"=
"f:\\Spiele\\Gamespy\\Aphex.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Dokumente und Einstellungen\\*MeinName*\\Eigene Dateien\\Xfire\\Xfire.exe"=
"f:\\Programme\\Trillian\\trillian.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_23-7\\MusicMiner_23-7\\MusicMiner_23-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_24-7\\MusicMiner_24-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_25-7b\\MusicMiner_25-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_26-7\\MusicMiner_26-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_28-7\\MusicMiner_28-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_03-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_08-8v2\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_13-8\\MusicMiner_13-8\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_13-8v2\\MusicMiner_13-8v2\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_15-8\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_23-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_28-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\dark messiah multiplayer open beta\\mm.exe"=
"e:\\Projekte\\battleworlds\\work\\programm\\current\\battleworld.exe"=
"f:\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Octoshape Streaming Services\\*MeinName*\\OctoshapeClient.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\team fortress 2\\hl2.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Projekte\\kAGE\\build\\debug\\kAGE.exe"=
"e:\\Projekte\\kAGE\\build\\release\\kAGE.exe"=
"g:\\Spiele\\Mass Effect\\Binaries\\MassEffect.exe"=
"g:\\Spiele\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"g:\\Spiele\\Demos\\Sacred2\\system\\s2gs.exe"=
"g:\\Spiele\\Demos\\Sacred2\\system\\sacred2.exe"=
"f:\\Programme\\Media Server\\MediaServer.exe"=
"g:\\bout_release\\kAGE.exe"=
"f:\\Spiele\\World of Warcraft\\Launcher.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\common\\tom clancy's h.a.w.x - demo\\HAWX.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"g:\\Spiele\\Battleforge\\Bootstrapper.exe"=
"g:\\Spiele\\Battleforge\\BattleForge.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AccWLSvc;AccSys WiFi Server;c:\programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [27.07.2005 08:47 180224]
S2 VPCAppSv;Virtual PC Application Services;c:\windows\system32\drivers\VPCAppSv.sys [21.05.2002 03:31 10374]
S3 accwldrv;AccSys WiFi Protokoll;c:\windows\system32\drivers\accwldrv.sys [27.07.2005 08:47 12032]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [26.07.2005 16:24 16269]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [18.08.2005 01:00 7168]
S3 ISNDPM00;ISNDPM00;c:\windows\system32\ISNDPM.sys [07.01.2005 13:55 4525]
S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [31.03.2005 19:01 129535]
S3 W8100PCI;ASUS 802.11b/g Driver for Windows XP;c:\windows\system32\drivers\mrv8k51.sys [26.07.2005 16:16 256512]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;f:\programme\VS2005beta\Common7\IDE\Remote Debugger\x86\msvsmon.exe [02.12.2006 06:28 2805000]
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title = Arcor AG & Co. KG
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
TCP: {89E18BB3-1B35-4F74-A3A0-41BC2D168F0C} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\Firefox\Profiles\o4tnerip.default\
FF - plugin: c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF - plugin: c:\programme\Microsoft Research\HDView for Firefox\nphdview.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPGml.dll
FF - plugin: c:\programme\Octoshape Streaming Services\*MeinName*\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll
FF - plugin: g:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 22:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:15,9d,3b,77,09,fe,9c,42,ba,19,50,f6,dd,75,14,87,21,c0,d6,e7,13,50,fd,
  1e,c4,c2,1e,ee,bc,fe,9f,ab,75,01,97,d1,80,ec,54,f9,2c,1a,21,dc,a2,84,f8,9f,\
"??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:41,c3,77,1e,54,94,c4,e0,f1,ba,ba,42,b4,9d,e1,fa,31,0f,7e,9a,1b,
  e9,cc,2d,fc,11,d5,1a,73,0c,54,b9,2c,1f,78,21,75,ed,75,76,c3,17,32,0f,02,5f,\
"rkeysecu"=hex:44,1a,f8,aa,64,b5,78,7b,3e,81,40,de,27,d5,5d,79
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(800)
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(2872)
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\MSVCP71.dll
c:\programme\TortoiseSVN\bin\tortoisesvn.dll
c:\programme\TortoiseSVN\bin\libdb43.dll
c:\programme\TortoiseSVN\bin\intl3_svn.dll
c:\programme\TortoiseCVS\TrtseShl.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\nvappfilter.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-05-12 22:34
ComboFix-quarantined-files.txt  2009-05-12 20:33
ComboFix2.txt  2009-05-12 20:27
ComboFix3.txt  2009-05-12 18:10
ComboFix4.txt  2009-05-10 01:55

Vor Suchlauf: 4.785.172.480 Bytes frei
Nach Suchlauf: 4.759.490.560 Bytes frei

274        --- E O F ---        2009-05-10 05:46

john.doe 12.05.2009 21:44
Zitat:
Soll ich _das_ Log jetzt hochladen
Ja.
Zitat:
oder ComboFix _nochmal_ laufen lassen?
Nein.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox als Rar- oder Zipdatei, lade es bei einem Filehoster hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Start => Ausführen => combofix /u => OK

5.) Poste ein aktuelles HJT-Log.

ciao, andreas

Raketenmann 12.05.2009 21:48
Dann bitte das unten ignorieren und das hier lesen:
Code:
ComboFix 09-05-12.04 - *MeinName* 12.05.2009 22:17.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2435 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*MeinName*\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\*MeinName*\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ActiveArmor Firewall *enabled*

FILE ::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\Ijl11.dll
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Asymddayqnss


(((((((((((((((((((((((  Dateien erstellt von 2009-04-12 bis 2009-05-12  ))))))))))))))))))))))))))))))
.

2009-05-12 20:07 . 2009-05-12 20:07        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2009-05-12 20:06 . 2009-05-12 20:07        --------        d-----w        c:\programme\Mozilla Thunderbird
2009-05-10 05:06 . 2009-05-10 05:06        56        ---ha-w        c:\windows\system32\ezsidmv.dat
2009-05-10 05:06 . 2009-05-10 07:16        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\skypePM
2009-05-10 05:06 . 2009-05-10 05:06        --------        d-----w        c:\programme\Gemeinsame Dateien\Skype
2009-05-10 05:06 . 2009-05-10 05:06        --------        d-----r        c:\programme\Skype
2009-05-10 04:58 . 2009-05-10 04:58        410984        ----a-w        c:\windows\system32\deploytk.dll
2009-05-10 04:57 . 2009-05-10 04:57        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Foxit
2009-05-10 04:32 . 2008-04-14 05:52        4255        ------w        c:\windows\system32\drivers\adv01nt5.dll
2009-05-10 04:29 . 2009-05-10 04:29        --------        d-----w        c:\windows\EHome
2009-05-08 17:29 . 2009-05-08 17:29        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-08 17:29 . 2009-05-12 20:02        --------        d-----w        c:\programme\SUPERAntiSpyware
2009-05-08 17:29 . 2009-05-12 20:03        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-08 16:41 . 2009-05-08 16:41        --------        d-----w        C:\cf
2009-05-03 11:13 . 2009-05-03 11:13        61440        ----a-w        c:\windows\system32\drivers\mcfmfli.sys
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--r        c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-05-03 09:30 . 2005-01-23 06:12        --------        d-----w        c:\dokumente und einstellungen\Administrator\Favoriten
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-05-03 09:30 . 2005-01-23 06:12        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-05-03 09:30 . 2005-01-23 06:12        --------        d-----r        c:\dokumente und einstellungen\Administrator\Startmenü
2009-05-03 09:30 . 2005-01-22 23:19        --------        d--h--w        c:\dokumente und einstellungen\Administrator\Vorlagen
2009-05-03 09:30 . 2009-05-03 09:30        --------        d-----w        c:\dokumente und einstellungen\Administrator
2009-05-02 09:17 . 2009-05-02 09:17        --------        d-----w        c:\programme\CCleaner
2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Malwarebytes
2009-05-02 07:17 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys
2009-05-02 07:17 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-02 07:17 . 2009-05-02 07:17        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware
2009-04-19 12:14 . 2009-04-19 15:12        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\.gnubg
2009-04-19 11:33 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-19 11:33 . 2009-02-09 11:21        2191360        -c----w        c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-19 11:33 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-19 11:33 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-19 11:33 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-19 11:33 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-19 11:33 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-19 11:33 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-19 11:33 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-19 11:33 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-19 11:33 . 2009-02-09 11:21        2147840        -c----w        c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-19 11:32 . 2009-02-09 11:21        2026496        -c----w        c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-19 11:30 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe
2009-04-14 16:53 . 2009-04-14 16:55        --------        d-----w        c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Braid

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 20:03 . 2006-09-07 17:48        --------        d-----w        c:\programme\Logitech
2009-05-12 20:02 . 2007-12-30 13:20        --------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-10 04:58 . 2005-08-10 09:05        --------        d-----w        c:\programme\Java
2009-05-10 04:54 . 2005-01-23 21:21        27128        ----a-w        c:\dokumente und einstellungen\*MeinName*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-10 04:34 . 2005-01-22 23:22        76487        ----a-w        c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-21 17:33 . 2006-01-04 15:17        --------        d-----w        c:\programme\Microsoft ActiveSync
2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\programme\iTunes
2009-04-10 11:57 . 2009-04-10 11:57        --------        d-----w        c:\programme\iPod
2009-04-10 11:57 . 2007-12-15 07:37        --------        d-----w        c:\programme\Gemeinsame Dateien\Apple
2009-03-24 11:34 . 2005-01-23 08:33        --------        d-----w        c:\programme\NVIDIA Corporation
2009-03-24 11:19 . 2007-12-30 13:20        --------        d-----w        c:\programme\AGEIA Technologies
2009-03-19 14:32 . 2008-01-29 10:01        23400        ----a-w        c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-18 19:07 . 2005-12-30 10:28        --------        d-----w        c:\programme\QuickTime
2009-03-18 18:58 . 2008-04-12 15:10        --------        d-----w        c:\programme\Safari
2009-03-14 09:58 . 2005-12-06 14:07        413696        ----a-w        c:\windows\system32\wrap_oal.dll
2009-03-14 09:58 . 2005-12-06 14:07        110592        ----a-w        c:\windows\system32\OpenAL32.dll
2009-03-07 09:46 . 2009-03-07 09:46        1340416        ----a-w        c:\windows\system32\ISTWL.dll
2009-03-06 14:19 . 2004-08-04 12:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-05 22:59 . 2009-03-18 19:03        1900544        ----a-w        c:\windows\system32\usbaaplrc.dll
2009-03-05 22:59 . 2007-12-15 07:38        36864        ----a-w        c:\windows\system32\drivers\usbaapl.sys
2009-03-03 00:03 . 2004-08-04 12:00        826368        ----a-w        c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 12:00        78336        ----a-w        c:\windows\system32\ieencode.dll
.

(((((((((((((((((((((((((((((  SnapShot_2009-05-12_18.08.08  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-12 20:19 . 2009-05-12 20:19        16384              c:\windows\temp\Perflib_Perfdata_154.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2005-08-31 16:43        430080        ----a-w        c:\programme\TortoiseSVN\bin\TortoiseSVN.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2005-08-05 1200128]
"Octoshape Streaming Services"="c:\programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" [2006-02-13 214648]
"PlayNC Launcher"="f:\spiele\ncsoft\launcher\NCLauncher.exe" [2009-04-19 38136]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-02-06 3325952]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-16 24264488]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Acrobat Assistant 8.0"="g:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-05 177472]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2004-12-10 49152]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2006-9-7 434176]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"f:\\Spiele\\Valve\\Steam\\Steam.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Sony\\Station\\Launchpad\\LaunchPad.exe"=
"c:\\Program Files\\WS_FTP Pro\\ftp95pro.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\half-life 2\\hl2.exe"=
"f:\\Spiele\\Gamespy\\Aphex.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Dokumente und Einstellungen\\*MeinName*\\Eigene Dateien\\Xfire\\Xfire.exe"=
"f:\\Programme\\Trillian\\trillian.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_23-7\\MusicMiner_23-7\\MusicMiner_23-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_24-7\\MusicMiner_24-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_25-7b\\MusicMiner_25-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_26-7\\MusicMiner_26-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_28-7\\MusicMiner_28-7\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_03-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_08-8v2\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_13-8\\MusicMiner_13-8\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_13-8v2\\MusicMiner_13-8v2\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_15-8\\MusicMiner\\bin\\Release\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_23-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"e:\\Projekte\\EMP3\\MusicMiner_28-8\\MusicMiner\\bin\\Debug\\MusicMiner.vshost.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\dark messiah multiplayer open beta\\mm.exe"=
"e:\\Projekte\\battleworlds\\work\\programm\\current\\battleworld.exe"=
"f:\\Spiele\\World of Warcraft\\BackgroundDownloader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Octoshape Streaming Services\\*MeinName*\\OctoshapeClient.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\raketenmann81\\team fortress 2\\hl2.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Projekte\\kAGE\\build\\debug\\kAGE.exe"=
"e:\\Projekte\\kAGE\\build\\release\\kAGE.exe"=
"g:\\Spiele\\Mass Effect\\Binaries\\MassEffect.exe"=
"g:\\Spiele\\Mass Effect\\MassEffectLauncher.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"g:\\Spiele\\Demos\\Sacred2\\system\\s2gs.exe"=
"g:\\Spiele\\Demos\\Sacred2\\system\\sacred2.exe"=
"f:\\Programme\\Media Server\\MediaServer.exe"=
"g:\\bout_release\\kAGE.exe"=
"f:\\Spiele\\World of Warcraft\\Launcher.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\common\\tom clancy's h.a.w.x - demo\\HAWX.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"g:\\Spiele\\Battleforge\\Bootstrapper.exe"=
"g:\\Spiele\\Battleforge\\BattleForge.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"f:\\Spiele\\Valve\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AccWLSvc;AccSys WiFi Server;c:\programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [27.07.2005 08:47 180224]
S2 VPCAppSv;Virtual PC Application Services;c:\windows\system32\drivers\VPCAppSv.sys [21.05.2002 03:31 10374]
S3 accwldrv;AccSys WiFi Protokoll;c:\windows\system32\drivers\accwldrv.sys [27.07.2005 08:47 12032]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [26.07.2005 16:24 16269]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [18.08.2005 01:00 7168]
S3 ISNDPM00;ISNDPM00;c:\windows\system32\ISNDPM.sys [07.01.2005 13:55 4525]
S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [31.03.2005 19:01 129535]
S3 W8100PCI;ASUS 802.11b/g Driver for Windows XP;c:\windows\system32\drivers\mrv8k51.sys [26.07.2005 16:16 256512]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;f:\programme\VS2005beta\Common7\IDE\Remote Debugger\x86\msvsmon.exe [02.12.2006 06:28 2805000]
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title = Arcor AG & Co. KG
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
TCP: {89E18BB3-1B35-4F74-A3A0-41BC2D168F0C} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\Firefox\Profiles\o4tnerip.default\
FF - plugin: c:\dokumente und einstellungen\*MeinName*\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF - plugin: c:\programme\Microsoft Research\HDView for Firefox\nphdview.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPGml.dll
FF - plugin: c:\programme\Octoshape Streaming Services\*MeinName*\octoprogram-L03-NMS0810164_SUA_000\npoctoshape.dll
FF - plugin: g:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 22:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:15,9d,3b,77,09,fe,9c,42,ba,19,50,f6,dd,75,14,87,21,c0,d6,e7,13,50,fd,
  1e,c4,c2,1e,ee,bc,fe,9f,ab,75,01,97,d1,80,ec,54,f9,2c,1a,21,dc,a2,84,f8,9f,\
"??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22

[HKEY_USERS\S-1-5-21-1275210071-117609710-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:41,c3,77,1e,54,94,c4,e0,f1,ba,ba,42,b4,9d,e1,fa,31,0f,7e,9a,1b,
  e9,cc,2d,fc,11,d5,1a,73,0c,54,b9,2c,1f,78,21,75,ed,75,76,c3,17,32,0f,02,5f,\
"rkeysecu"=hex:44,1a,f8,aa,64,b5,78,7b,3e,81,40,de,27,d5,5d,79
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(800)
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(1604)
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\MSVCP71.dll
c:\programme\TortoiseSVN\bin\tortoisesvn.dll
c:\programme\TortoiseSVN\bin\libdb43.dll
c:\programme\TortoiseSVN\bin\intl3_svn.dll
c:\programme\TortoiseCVS\TrtseShl.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\nvappfilter.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-12 22:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-12 20:27
ComboFix2.txt  2009-05-12 18:10
ComboFix3.txt  2009-05-10 01:55

Vor Suchlauf: 4.751.847.424 Bytes frei
Nach Suchlauf: 4.763.226.112 Bytes frei

316        --- E O F ---        2009-05-10 05:46

Raketenmann 12.05.2009 22:04
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:02:35, on 12.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\rundll32.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
F:\spiele\ncsoft\launcher\NCLauncher.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\HijackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - G:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [PlayNC Launcher] F:\spiele\ncsoft\launcher\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E18BB3-1B35-4F74-A3A0-41BC2D168F0C}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TVersityMediaServer - Unknown owner - F:\Programme\Media Server\MediaServer.exe

--
End of file - 7067 bytes

john.doe 12.05.2009 22:22
Von 12kB auf 7KB, das gefällt. :) Sollte der nichts mehr finden, dann hast du es geschafft. :)

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Raketenmann 13.05.2009 21:14
Zitat:
Zitat von john.doe (Beitrag 435523)
Von 12kB auf 7KB, das gefällt. :) Sollte der nichts mehr finden, dann hast du es geschafft. :)
Beim Updaten der Virendatenbank hab ich einen BSoD + Neustart bekommen. Nach dem Neustart hab ich die Installation dann erneut gestartet und jetzt untersucht er seit zwei Stunden und ist bei 12%. Dauert also noch bis morgen, bis ich ein Log habe. Allerdings hat er auch schon 24 Viren, 208 infizierte Objekte und 4 verdächtige Objekte gefunden :pukeface:
(Ich glaube er war gerade dabei, Dokumente und Einstellungen zu scannen. Als ich gestern ürigens Thunderbird installiert habe, ist der nach der Installation gleich angesprungen und hat Mails abgeholt. Eigentlich nutze ich den aber gar nicht mehr, höchstens mal für Newsgroups).

Grüße
Raketenmann

john.doe 13.05.2009 21:26
Zitat:
Allerdings hat er auch schon 24 Viren, 208 infizierte Objekte und 4 verdächtige Objekte gefunden
Das hört sich aber gar nicht gut an. Lies doch schonmal als Vorbereitung: http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Raketenmann 16.05.2009 13:43
Zitat:
Zitat von john.doe (Beitrag 435676)
Oje, das musste ich erstmal verdauen. Hab mein System schon seid vielen Jahren und war immer so stolz drauf, dass es stabil läuft ;-).

Prinzipiel sieht es bei mir so aus:
c: System und Programme
e: Daten wie Musik und Projekte
f: Applikationen
g: Applikationen und wenige daten, g ist noch neu.

Ich wollte jetzt alles wichtige an Daten von c, e und f auf g sichern, dann c, e und f formatieren (ist physisch auch eine Platte, g eine andere) und dann das System wieder auf c aufspielen. Jetzt hab ich aber folgende Fragen:

- Ist das ok, Daten auf g zu sichern und g nicht zu Formatieren? Oder verschlepp ich meine Infektion vielleicht nur?
- _Muss_ e auch formatiert werden, oder nur die Partition c? Dann bräuchte ich meine Musik nicht zu sichern.
- Darf ich DVD's brennen, oder kommen Schädlinge da mit drauf?
- Was muss ich beim Archivieren von Outlook's Ordnern beachten, damit ich nicht beim Reimport Trojaner verschleppt habe (wenn sowas überhaupt geht).
Gibts da nicht vielleicht eine von euren tollen Anleitungen? :-)

Achja: Ich würde dann vielleicht von XP auf Vista oder sogar Windows 7 beta umsteigen (gute Idee?). Oder ist es besonders wichtig, dass ich jetzt erstmal wieder das gleiche Betriebssystem nutze?

Gruß vom Raketenmann

john.doe 16.05.2009 13:44
Poste bitte das Log von Kaspersky, ich muss wissen, was wo gefunden wurde.

ciao, andreas

Raketenmann 16.05.2009 14:34
Hab keins. Ich hatte das eine Nacht durchlaufen lassen und am nächsten Morgen war der Rechner neugestartet -_-. Ich starte dann gleich nochmal, wenn du das brauchst.

Gruß
Raketenmann

john.doe 16.05.2009 14:42
Ja. Ich war nur im ersten Augenblick aufgrund der Menge der Meldungen erschrocken, aber eigentlich zählt nur, was er wo findet. Der Kasper zählt ja auch die Cookies und die sind nun wirklich nicht schädlich.

ciao, andreas

Raketenmann 16.05.2009 20:18
Hier das Ergebnis vom Kaspersky Online Scannner.
RapidShare: Easy Filehosting
MD5: C2E8B07F02ED93A851A19BFDD0F48CAE
Ich hab schon gesehen, dass da viele Mails aus dem Thunderbird drin vorkommen. Den benutz ich für Mails gar nicht mehr (nur manchmal für Newsgroups). Ich hatte den neu installiert, wie hier geschrieben wurde, daraufhin ist der gleich angesprungen und hat ein paar Mails abgeholt o_O. Allerdings sind die im Log erwähnten Mails anscheinend eher Alte, aus der Zeit, als ich TB noch genutzt hab. Nur meine 2 Cent.

Gruß
Raketenmann


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:42 Uhr.
Seite 4 von 6 « Erste 23 4 56
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131