Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bankaccount wg. Trojaner gesperrt. (https://www.trojaner-board.de/73972-bankaccount-wg-trojaner-gesperrt.html)

hetoimasia 09.06.2009 21:28
Bankaccount wg. Trojaner gesperrt.
 
Hallo,

meine Bank (Nassauische Sparkasse) hat mich heute telefonisch darüber informiert, dass sich auf meinem Computer ein Trojaner befinden soll, der Passwörter und Logins zu Bankaccounts speichern kann, weshalb mein Online-Banking erst mal auf Eis liegt.
Ich würde euch bitten mir zu helfen. Ich habe versucht alle Regeln zu befolgen und gebe im folgenden alle genannten Log-Files an. Antivir war immer aktualisiert und hat ebenfalls nichts gefunden.

a) CCleaner durchgeführt

b) Malwarebytes-Anti-Malware log-file:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2255
Windows 5.1.2600 Service Pack 3

09.06.2009 21:44:42
mbam-log-2009-06-09 (21-44-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 281118
Laufzeit: 49 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



c) HijackThis log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:50:42, on 09.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Nils\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate1c9aa0d9aafd562) (gupdate1c9aa0d9aafd562) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

--
End of file - 7354 bytes


d) Liste installierter Software:

Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Photoshop CS
Adobe Reader 9 - Deutsch
Agere Systems HDA Modem
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
ATI Parental Control & Encoder
Avira AntiVir Personal - Free Antivirus
Catalyst Control Center - Branding
CCleaner (remove only)
Codec Pack - All In 1 6.0.3.0
Easy Display Manager
GanttProject
Google Earth
Google Update Helper
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 2.0 (KB922981)
Hotfix für Microsoft .NET Framework 2.0 (KB923319)
Hotfix für Windows XP (KB952287)
imagine digital freedom - Samsung
Intel(R) PROSet/Wireless Software
J2SE Runtime Environment 5.0
Magic Keyboard
Malwarebytes' Anti-Malware
MATLAB R2008a
mDriver
Microsoft .NET Framework 2.0
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Small Business Connectivity Components
Microsoft Office Word MUI (German) 2007
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
MSXML 6 Service Pack 2 (KB954459)
Nero 8
neroxml
Nvu 1.0
PDFCreator
PlayCamera
PowerDVD
PowerStarter
Realtek High Definition Audio Driver
Samsung Battery Manager
Samsung EDS
Samsung Magic Doctor
Samsung Network Manager 2.0
Samsung Recovery Solution II
Samsung Update Plus
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB963027)
SpectraLAB FFT Spectral Analysis System
Steinberg Cubase SX v3.1.1.944
Synaptics Pointing Device Driver
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
User Guide
VCRedistSetup
Voice Recorder 1.0.1.38
VPN Client
WIDCOMM Bluetooth Software
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 3
WinRAR




VIELEN DANK DEN HELFERN!!!!!!!!!!!!!!:daumenhoc

john.doe 09.06.2009 21:44
Hallo und :hallo:

Ganz ehrlich, was muss noch passieren, damit du neuaufsetzt? Oder wirst du erst reagieren, wenn dein Konto leergeräumt ist? Die Unbekümmertheit und Naivität einiger Leute lässt mich geradezu erschrecken.

Die einzig sinnvolle Möglichkeit: http://www.trojaner-board.de/51262-a...sicherung.html

Falls du die Ursache finden möchtest, dann:

1.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) Erstelle ein Filelisting.
  • Lade die Datei listing0.bat auf deinen Desktop
  • Doppelklicke auf listing0.bat
  • Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

3.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

hetoimasia 09.06.2009 22:26
Hi Andreas!!

Schon mal vielen Dank für die super schnelle Hilfe!!!!!:daumenhoc Kann das Problem, dass die Bank als Trojaner identifiziert hat, evtl. auch durch das Einloggen in den Bankaccount via VPN-Client kommen? Ich glaube ich habe neulich nicht aufgepasst und war über den VPN mit dem ich ins Uni-Netz eingewählt war (also nicht direkt über Uni-Wlan, sondern über die normale private Internetverbindung nur eingewählt über VPN), auf meinem Bank Account?? Im Netz habe ich nicht wirklich viel dazu gefunden.

Zum Neuaufsetzen:
Kann sich ein Trojaner nicht auch über gesicherte Daten, also Bilder, Musik oder Word-Dokumente weiter verbreiten oder wieder aufs neue System gelangen? Was unter dem Punkt Systemabsicherung steht, habe ich alles schon bei meinem jetzigen Computer beachtet... blöd das doch etwas schief gegangen zu sein scheint!!!



Hier die Log Files von RSIT:


log.txt:

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2009-06-09 23:06:39
Microsoft Windows XP Professional Service Pack 3
System drive C: has 2 GB (12%) free of 20 GB
Total RAM: 2046 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:50, on 09.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Dokumente und Einstellungen\***\Desktop\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate1c9aa0d9aafd562) (gupdate1c9aa0d9aafd562) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

--
End of file - 7568 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0\bin\jusched.exe [2007-09-13 36972]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-07-06 16380416]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-04 69632]
""= []
"EDS"=C:\Programme\Samsung\Samsung EDS\EDSAgent.exe [2007-01-11 634880]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-12-07 761947]
"MagicKeyboard"=C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe [2006-05-14 151552]
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [2006-08-16 45056]
"DMHotKey"=C:\Programme\Samsung\Easy Display Manager\DMLoader.exe [2006-12-27 466944]
"BatteryManager"=C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe [2007-07-31 2764800]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"H2O"=C:\Programme\SyncroSoft\Pos\H2O\cledx.exe [2005-10-23 385024]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2007-03-01 153136]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-05-26 414480]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"PowerBar"= []
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe [2007-12-13 1688872]
"SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-26 1830128]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-08-21 118784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Internet Explorer\IEXPLORE.EXE"="C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\MATLAB\R2008a\bin\win32\MATLAB.exe"="C:\Programme\MATLAB\R2008a\bin\win32\MATLAB.exe:*:Enabled:MATLAB"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ce206e2-7960-11dc-bbc2-0013773e8296}]
shell\AutoRun\command - F:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{827ccec6-795f-11dc-bbc1-0013773e8296}]
shell\AutoRun\command - F:\LaunchU3.exe


======List of files/folders created in the last 1 months======

2009-06-09 23:06:39 ----D---- C:\rsit
2009-06-09 22:22:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-09 22:22:29 ----D---- C:\Programme\SUPERAntiSpyware
2009-06-09 22:22:29 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-09 22:21:58 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2009-06-09 19:36:39 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2009-06-09 19:36:32 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-09 19:36:31 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-06-09 19:27:24 ----D---- C:\Programme\CCleaner
2009-05-21 13:05:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2009-05-21 13:05:51 ----D---- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2009-05-21 12:55:28 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nvu
2009-05-21 12:55:23 ----D---- C:\Programme\Nvu
2009-05-14 20:00:06 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Move Networks

======List of files/folders modified in the last 1 months======

2009-06-09 23:05:54 ----D---- C:\WINDOWS\Prefetch
2009-06-09 23:00:51 ----D---- C:\Programme\Mozilla Firefox
2009-06-09 22:47:47 ----D---- C:\WINDOWS\Temp
2009-06-09 22:22:32 ----SHD---- C:\WINDOWS\Installer
2009-06-09 22:22:29 ----RD---- C:\Programme
2009-06-09 22:21:58 ----D---- C:\Programme\Gemeinsame Dateien
2009-06-09 21:48:20 ----D---- C:\WINDOWS\Debug
2009-06-09 21:48:20 ----D---- C:\WINDOWS
2009-06-09 19:36:34 ----D---- C:\WINDOWS\system32\drivers
2009-06-09 18:54:50 ----D---- C:\WINDOWS\system32
2009-06-09 18:54:50 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-06-09 18:50:41 ----D---- C:\WINDOWS\system32\CatRoot2
2009-06-09 00:45:25 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-05-28 19:30:29 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-28 16:12:59 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2009-05-27 15:29:07 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2009-05-27 15:02:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-05-21 13:05:37 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-05-21 13:02:17 ----HD---- C:\Programme\InstallShield Installation Information
2009-05-21 13:02:16 ----D---- C:\Programme\Adobe
2009-05-21 13:00:55 ----D---- C:\Programme\Google
2009-05-10 14:47:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 NetworkX;NetworkX; C:\WINDOWS\system32\ckldrv.sys [2000-02-03 24608]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-04-27 55640]
R2 CVPNDRVA;Cisco Systems IPsec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 DOSMEMIO;MEMIO; \??\C:\WINDOWS\system32\MEMIO.SYS []
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-11-29 1161888]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-08-22 2372096]
R3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2006-10-15 329901]
R3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\system32\DRIVERS\btport.sys [2006-10-10 30459]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2006-11-28 863402]
R3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2006-10-15 67672]
R3 CLEDX;Team H2O CLEDX service; C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2007-01-24 127376]
R3 DNSeFilter;DNSeFilter; C:\WINDOWS\system32\drivers\SamsungEDS.sys [2006-10-12 28160]
R3 HdAudAddService;ATI Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\AtiHdAud.sys [2006-12-28 84992]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-07-10 4449280]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NETw4x32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows XP 32 Bit; C:\WINDOWS\system32\DRIVERS\NETw4x32.sys [2007-04-27 2203520]
R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-12-07 191936]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-08-25 249856]
S1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-11 156160]
S3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2006-10-15 149123]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 se44bus;Sony Ericsson Device 068 driver (WDM); C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 9360]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 97088]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 88624]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS); C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 18704]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 86432]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM); C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 90800]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2006-10-05 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-06-09 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-08-21 483328]
R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2006-12-11 266295]
R2 Crypkey License;Crypkey License; C:\WINDOWS\system32\crypserv.exe [2000-06-29 52224]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2007-04-03 1516584]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-06-20 49152]
R2 SNM WLAN Service;SNM WLAN Service; C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-10 38912]
R3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S2 gupdate1c9aa0d9aafd562;Google Update Service (gupdate1c9aa0d9aafd562); C:\Programme\Google\Update\GoogleUpdate.exe [2009-03-21 133104]
S2 Samsung Update Plus;Samsung Update Plus; C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe [2006-11-13 73728]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2009-05-21 68096]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 Atht_zaup;Atht_zaup; C:\WINDOWS\system32\fsutil.exe [2004-08-04 59904]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 SQLWriter;SQL Server VSS Writer; C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [2006-04-14 87840]

-----------------EOF-----------------

hetoimasia 09.06.2009 22:27
und noch die info.txt:

info.txt logfile of random's system information tool 1.06 2009-06-09 23:06:51

======Uninstall list======

-->C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x7
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Agere Systems HDA Modem-->agrsmdel
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Catalyst Control Center - Branding-->MsiExec.exe /I{2433BAD7-453F-473D-BE81-455E68940DEB}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Codec Pack - All In 1 6.0.3.0-->C:\WINDOWS\iun6002.exe "C:\Programme\Codec Pack - All In 1\irunin.ini"
Easy Display Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -l0x9 -removeonly
GanttProject-->"C:\Programme\GanttProject\uninstall.exe"
Google Earth-->MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 2.0 (KB922981)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {A1D5A6B2-B620-41F9-B435-10A4FF3C18A2} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Hotfix für Microsoft .NET Framework 2.0 (KB923319)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {3C87D1CF-1592-4BFA-9B3E-380580EFAF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
imagine digital freedom - Samsung-->MsiExec.exe /X{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}
Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Magic Keyboard-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BD723E53-A42C-4702-AA04-1D74A0311590}\Setup.exe" -l0x9 Remove
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MATLAB R2008a-->C:\Programme\MATLAB\R2008a\uninstall\uninstall.exe C:\Programme\MATLAB\R2008a\
mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Small Business Connectivity Components-->MsiExec.exe /X{A939D341-5A04-4E0A-BB55-3E65B386432D}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft SQL Server Native Client-->MsiExec.exe /I{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.10)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{B5E8B139-9A06-4D97-BA4E-1256F8D6968D}
Nero 8-->MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nvu 1.0-->C:\Programme\Nvu\unins000.exe
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
PlayCamera-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{804F1285-8CBF-408D-8CDC-D4D40003B2E4}\setup.exe" -l0x7
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
PowerStarter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7 -removeonly
Samsung Battery Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\Setup.exe" -l0x9 Remove
Samsung EDS-->MsiExec.exe /X{ABB14904-A11B-4F42-996C-80FD608A0F17}
Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x7 Remove
Samsung Network Manager 2.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} /l1031
Samsung Recovery Solution II-->C:\Programme\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe -runfromtemp -l0x0007 -removeonly
Samsung Update Plus-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{685707A4-911C-468D-BFC4-64A50E5E3A0C} /l1031
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
SpectraLAB FFT Spectral Analysis System-->C:\SPECLAB\uninstal.exe
Steinberg Cubase SX v3.1.1.944-->C:\PROGRA~1\STEINB~1\CUBASE~1\CUBASE~1\UNWISE.EXE C:\PROGRA~1\STEINB~1\CUBASE~1\CUBASE~1\INSTALL.LOG
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
SyncroSoft Emu (Remove only)-->C:\Programme\SyncroSoft\Pos\H2O\Uninst.exe
Syncrosofts Lizenz Kontrolle-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F}
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
User Guide-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x7 Remove
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Voice Recorder 1.0.1.38-->"C:\Programme\Samsung\Voice Recorder\unins000.exe"
VPN Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5624C000-B109-11D4-9DB4-00E0290FCAC5}\setup.exe" -l0x9 VpnUninstall
WIDCOMM Bluetooth Software-->MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: HEINZ
Event Code: 7036
Message: Dienst "Google Update Service (gupdate1c9aa0d9aafd562)" befindet sich jetzt im Status "Beendet".

Record Number: 5937
Source Name: Service Control Manager
Time Written: 20090421223540.000000+120
Event Type: Informationen
User:

Computer Name: HEINZ
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 5936
Source Name: Service Control Manager
Time Written: 20090421223522.000000+120
Event Type: Informationen
User:

Computer Name: HEINZ
Event Code: 7036
Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".

Record Number: 5935
Source Name: Service Control Manager
Time Written: 20090421223517.000000+120
Event Type: Informationen
User:

Computer Name: HEINZ
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5934
Source Name: Service Control Manager
Time Written: 20090421223516.000000+120
Event Type: Informationen
User:

Computer Name: HEINZ
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet.

Record Number: 5933
Source Name: Service Control Manager
Time Written: 20090421223516.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: HEINZ
Event Code: 11724
Message: Product: Microsoft Office Proof (French) 2007 -- La suppression s'est terminée correctement.

Record Number: 159
Source Name: MsiInstaller
Time Written: 20090128170844.000000+060
Event Type: Informationen
User: HEINZ\***

Computer Name: HEINZ
Event Code: 11724
Message: Product: Microsoft Office Proof (English) 2007 -- Removal completed successfully.

Record Number: 158
Source Name: MsiInstaller
Time Written: 20090128170841.000000+060
Event Type: Informationen
User: HEINZ\***

Computer Name: HEINZ
Event Code: 11724
Message: Produkt: Microsoft Office Proofing (German) 2007 -- Das Entfernen wurde erfolgreich abgeschlossen.

Record Number: 157
Source Name: MsiInstaller
Time Written: 20090128170838.000000+060
Event Type: Informationen
User: HEINZ\***

Computer Name: HEINZ
Event Code: 11724
Message: Produkt: Microsoft Office Publisher MUI (German) 2007 -- Das Entfernen wurde erfolgreich abgeschlossen.

Record Number: 156
Source Name: MsiInstaller
Time Written: 20090128170836.000000+060
Event Type: Informationen
User: HEINZ\***

Computer Name: HEINZ
Event Code: 11724
Message: Produkt: Microsoft Office Word MUI (German) 2007 -- Das Entfernen wurde erfolgreich abgeschlossen.

Record Number: 155
Source Name: MsiInstaller
Time Written: 20090128170827.000000+060
Event Type: Informationen
User: HEINZ\***

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\MATLAB\R2008a\bin;C:\Programme\MATLAB\R2008a\bin\win32;C:\Programme\Gemeinsame Dateien\Teleca Shared
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------




Mit den anderen Beiden wollte ich Deine Einschätzung was den VPN-Client angeht abwarten. Ich hoffe das ist Ok!

TAUSEND DANK fürs durchsehen schon mal!

john.doe 09.06.2009 22:55
Zitat:
Mit den anderen Beiden wollte ich Deine Einschätzung was den VPN-Client angeht abwarten.
Gut möglich, das schlicht und ergreifend jemand deine Zugangsdaten gestohlen hat, als du dich über das Uninetz eingewählt hast. Selbst https lässt sich bei genügend Fachkenntnis austricksen.

Bisher habe ich bei dir noch kein Anzeichen für Schädlinge gesehen, deshalb brauche ich alle Logs. Gleich im Anschluss wird nach Rootkits gescannt, aber erstmal diese Logs als Einstieg.

ciao, andreas

hetoimasia 09.06.2009 23:02
Ok, dann führe ich die Programme mal weiter aus die Du beschrieben hast. Es ist echt super nett, dass Du mir hilfst, das kann ich gar nicht oft genug anbringen!!! Hier ist das Listing von Listing0.bat:


http://www.materialordner.de/8jLhftU4B2pllA3sobVb0hbuaaBW8U.html


Combo fix kommt gleich. :)

hetoimasia 09.06.2009 23:20
Combo Fix schreibt folgendes Log-File:

http://www.materialordner.de/pfRW8rVieJojZfRDk8aEsQh66XR296.html

john.doe 09.06.2009 23:30
Nicht gut.
msetup.exe | ThreatExpert statistics

Oder hast du dir das runtergeladen?
Antivirus report for msetup.exe - Montezooma 2.1.002

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
  • Lade Trallala von file-upload.net
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Trallala.exe
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

hetoimasia 09.06.2009 23:50
Nein, Montezooma habe ich nicht heruntergeladen, nur SUPERAntiSpyware und den habe ich Amateur natürlich auch mal promt vergessen zu deaktivieren beim Ausführen von ComboFix... :headbang:

hetoimasia 10.06.2009 06:17
Guten Morgen Andreas,

hier ist das Log-File von GMER:

http://www.materialordner.de/s1PI0SZaie2R6h5TUCUKzl8zzj3AYvIf.html

Schon mal vielen Dank fürs auswerten!!!!

Beste Grüße und einen schönen Tag wünsche ich Dir!!

Aaalucarddd 10.06.2009 10:46
Ich bitte den Ersteller um Entschuldigung für meinen Post hier aber ich habe auch den Verdacht das ich mir nen Trojaner eingefangen habe und arbeite n un seid 2 Tagen dieses Forum und die Tipps durch.Nun wollte ich einen eigenen Thread auf machen um die entsprechende Hilfe in anspruch zu nehmen, aber ich komme immer wieder zurück auf den Einloggbildschirm als wenn mir etwas verbieten würde einen Thread zu erstellen.Könnte vielleicht ein Admin so nett sein und diesen Post in einen eigenen Thread zu schieben so das ich auf den Antworten kann und somit meinen HiJack und co Posten?Danke schonmal im vorraus für die Mühe
Liebe grüße Alucard

john.doe 10.06.2009 17:02
1.) Kennst du dieses Programm: mDriver?
Kannst du dich noch halbwegs erinnern, was du am 7.5. gegen ca. 22:30 Uhr mit dem Rechner gemacht hast?

Du scheinst nicht sonderlich häufig mit dem Rechner zu arbeiten. Der älteste Prefetcheintrag ist aus dem März. :)

2.) Deinstalliere:
  • Google Update Helper
  • J2SE Runtime Environment 5.0
  • SuperAntiSpyware (poste bitte vorher das letzte Log von SASW)
3.) Installiere:4.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"RTHDCPL"=-
"Adobe Reader Speed Launcher"=-
"NeroFilterCheck"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ce206e2-7960-11dc-bbc2-0013773e8296}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{827ccec6-795f-11dc-bbc1-0013773e8296}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Folder::
c:\dokumente und einstellungen\Nils\Anwendungsdaten\Mozilla\Firefox\Profiles\upfgcxri.default\extensions\moveplayer@movenetworks.com
c:\programme\Google\Update
c:\programme\Java\jre1.5.0
C:\rsit
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
C:\Programme\SUPERAntiSpyware
C:\Programme\Online-Dienste
C:\Programme\Online Services
c:\dokumente und einstellungen\Nils\Anwendungsdaten\SUPERAntiSpyware.com

File::
C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job
C:\WINDOWS\system32\perfh007.dat
C:\WINDOWS\system32\perfh009.dat
C:\WINDOWS\system32\perfi007.dat
C:\WINDOWS\system32\perfi009.dat
C:\WINDOWS\002776_.tmp
C:\WINDOWS\clock.avi
C:\WINDOWS\setupapi.log.0.old
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

DirLook::
C:\WINDOWS\system32\?«
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
C:\Programme\Nvu
C:\SPECLAB
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

5.) Lade bitte folgende Datei
Code:
C:\WINDOWS\system32\fsutil.exe
bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

6.) Lies bei Gelegenheit: CodeBreakers-Journal - Portal for IT-Security & IT-Anti-Security - CrypKey 5.4 and the Power of (Self-) delusion

ciao, andreas

hetoimasia 10.06.2009 18:44
Hi Andreas!!

Nein mDriver kenne ich nicht, was ist das??? Was ist/war denn nun mit meinem PC los, oder kannst Du das noch nicht genau sagen :). Also am 7.5. gegen ca. 22:30 Uhr habe ich Speclab installiert. Das hat mir mein Dozent an der Uni mal zugesteckt. Ist ein Programm für Akustik-Analysen usw. War etwas damit nicht in Ordnung? Das ist auch das einzige was ich finde wenn ich nach dem Datum als Änderungsdatum suche.


Nun kommen die Log Files:

Das letzte SuperAntiSpyware Logfile:

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 06/09/2009 bei 10:50 PM

Version der Applikation : 4.26.1004

Version der Kern-Datenbank : 3931
Version der Spur-Datenbank : 1874

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:21:14

Gescannte Speicherelemente : 588
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 5794
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 19575
Erfasste Datei-Elemente : 0



Das Combofix Log-File nach Ausführung der cfscript.txt:

http://www.materialordner.de/LK5KM6uLoSSdKTTbuvlEkOYYrg56fhL.html



Wie schätzt Du denn die Lage meines PCs ein?? Ich habe noch einen zweiten PC zu Hause, den ich selten benutze. Kann beim Datenübertragen via USB-Stick etwas von den gefundenen Objekten mitgekommen sein??

john.doe 10.06.2009 19:20
Zitat:
oder kannst Du das noch nicht genau sagen
Noch ist kein eindeutiges Anzeichen für Befall gefunden. Die Datei msetup kann zu mdriver gehören. Das kann ein Treiber von Intel sein.
Zitat:
War etwas damit nicht in Ordnung?
Das ist mir nur aufgefallen, da das Datum zu deiner Einschätzung passte. Ein merkwürdiger Eintrag des Filelistings fällt auf:
Zitat:
Verzeichnis von C:\WINDOWS\system32

09.06.2009 19:36 <DIR> drivers
09.06.2009 18:54 <DIR> ..
09.06.2009 18:54 <DIR> .
09.06.2009 18:50 <DIR> CatRoot2
07.05.2009 22:33 <DIR> ?«
07.05.2009 22:20 <DIR> dllcache
17.04.2009 17:38 <DIR> wbem
Kontrolliere, ob der Ordner mit dem Windowsexplorer angezeigt wird. Falls ja, öffne ihn und kontrolliere den Inhalt. Das ? ist ein illegales Zeichen, deshalb hat mir ComboFix nichts angezeigt.
Zitat:
Kann beim Datenübertragen via USB-Stick etwas von den gefundenen Objekten mitgekommen sein?
Grundsätzlich schon, aber die findet ComboFix eigentlich zuverlässig.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

hetoimasia 11.06.2009 12:26
Hi Andreas,

also der Ordner ? in C:\WINDOWS\system32 wird nicht angezeigt. Dafür aber einige Ordner in blau in C:\WINDOWS\. Sie sehen so aus: $NtUninstallKB896423$ einer in C:\WINDOWS\system32 heißt DRVSTORE. Ich weiß nicht ob das was zu bedeuten hat.


Kaspersky gibt folgendes log-File aus. Da steht unter anderem der Ciso-VPN Client drin...


Vollständige Suche: abgeschlossen 11.06.2009 13:14:02 (Ereignis: 11, Objekte: 423363, Zeit: 00:48:40)
11.06.2009 12:25:22 Aufgabe wurde gestartet
11.06.2009 12:25:56 Gefunden: http://www.viruslist.com/de/advisories/35377 c:\programme\microsoft office\office12\winword.exe
11.06.2009 12:26:02 Gefunden: http://www.viruslist.com/de/advisories/35364 c:\programme\microsoft office\office12\excel.exe
11.06.2009 12:26:40 Gefunden: http://www.viruslist.com/de/advisories/29320 c:\programme\microsoft office\office12\outlook.exe
11.06.2009 12:26:42 Gefunden: http://www.viruslist.com/de/advisories/30747 c:\programme\cisco systems\vpn client\vpngui.exe
11.06.2009 12:38:21 Gefunden: http://www.viruslist.com/de/advisories/30747 c:\programme\cisco systems\vpn client\vpngui.exe
11.06.2009 12:45:03 Gefunden: http://www.viruslist.com/de/advisories/34451 c:\programme\MATLAB\R2008a\sys\java\jre\win32\jre1.6.0\bin\java.exe
11.06.2009 13:08:20 Gefunden: http://www.viruslist.com/de/advisories/26003 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
11.06.2009 13:11:13 Gefunden: http://www.viruslist.com/de/advisories/34012 c:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx
11.06.2009 13:11:27 Gefunden: http://www.viruslist.com/de/advisories/23655 c:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
11.06.2009 13:14:02 Aufgabe wurde abgeschlossen
Vollständige Suche: abgeschlossen 11.06.2009 13:14:02 (Ereignis: 11, Objekte: 423363, Zeit: 00:48:40)
11.06.2009 12:54:23 Aufgabe wurde gestartet
11.06.2009 12:54:41 Aufgabe wurde abgeschlossen


Viele Grüße!

john.doe 11.06.2009 15:50
Zitat:
also der Ordner ? in C:\WINDOWS\system32 wird nicht angezeigt.
Führe nur Punkt 1 durch und du wirst ihn sehen. ;)
Zitat:
Dafür aber einige Ordner in blau in C:\WINDOWS\
Falls du Platz sparen möchtest, dann kannst du die alle löschen. Die dienen dazu die Updates wieder rückgängig zu machen. Der Sinn davon hat sich mir nie erschlossen. :)

Die letzten Scans, der Rechner scheint tatsächlich sauber zu sein. Deine Vermutung mit den abgefangenen Daten wird immer wahrscheinlicher.

1.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

hetoimasia 11.06.2009 23:41
Hi Andreas,

ah so ist das mit den blauen Einträgen. Es macht also nichts wenn man die einfach löscht :) ??

Mh, selbst wenn ich den Explorer so einstelle wie gezeigt sehe ich den Ordner nicht. Seltsam oder??

Anbei habe ich das Protokoll von Active-Scan geposted:


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-06-12 00:24:51
PROTECTIONS: 2
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.30 Yes Yes
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{576D7B26-A37B-49D1-8F26-068B3BC56CE5}\RP74\A0022580.sys
04023711 Generic Malware Virus/Trojan No 0 Yes No D:\Download Daten\Musikbearbeitung\Voxengo Elephant\elephant\Keygen.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location -~
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description -~
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


Wie ist das mit den Sachen die Kaspersky gefunden hat. Das sahen nicht so aus als seien sie Viren oder?

PrevX 3.0 meldet keine Funde.


Viele Grüße und nochmals vielen Dank,
Nils

john.doe 12.06.2009 15:39
Zitat:
Wie ist das mit den Sachen die Kaspersky gefunden hat.
Das war nicht das richtige Log von Kaspersky.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

DirLook::
C:\WINDOWS\system32
D:\Download Daten
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix posten.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hetoimasia 13.06.2009 13:51
Hi Andreas,

gut, dann werde ich Kaspersky nochmal installieren und versuchen das richtige log-File zu posten, Ok?

Hier das Combofix-log:

http://www.materialordner.de/e4eZkfzglhbcGHtth5vaFSIA5dPcUiCZ.html


Viele Grüße!

john.doe 13.06.2009 14:43
Ich habe zwei Nachrichten für dich, eine gute und eine schlechte. Zuerst die gute: Die Datei msetup ist sauber.

Die schlechte: Du darfst neuaufsetzen. Die Daten wurden nicht abgefangen, sondern von deinem Rechner gestohlen. Deshalb kannst du dir den Scan mit Kaspersky schenken.

Wenn ich bestimmte Dinge in der Softwareliste sehe, dann werde ich automatisch argwöhnisch. Dazu gehören:
  • Adobe Master Collection
  • Cubase
  • Vegas Movie Studio

Bei dir findet sich folgendes Programm:
Code:
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
Quelle: Ist meine cledx.exe das Original oder ein Trojaner?
Zitat:
Die Datei cledx.exe ist ein Software-Emulator, der einen Hardware Dongle im Speicher nachbildet. Ein Dongle ist eine Art USB-Stick, der Lizenzen für meist teure Software enthält. Die Software fragt den "Stick" ab und wenn die zurückgegebene Lizenz gültig ist, läßt sie sich starten. Das H2O Team ist aber keine Firma, wie hier angegeben, sondern eine Gruppe von Crackern. Allerdings kann den Emulator auch mit gültigen Lizenzen betrieben werden, die man vom Hersteller käuflich erworben hat. Über eine eventuelle Systemschädigung durch cledx.exe ist mir nichts weiter bekannt.
Aber da ist gar nicht das Problem, sondern hier:
Zitat:
04023711 Generic Malware Virus/Trojan No 0 Yes No D:\Download Daten\Musikbearbeitung\Voxengo Elephant\elephant\Keygen.exe
Das Programm kann man per Torrent beziehen (hab ich gemacht) oder sogar über eine Website:
hxxp://www.4shared.com/account/file/95218237/1f5c04a3/VOXENGO_ELEPHANT_VST_V1_4A.html

Wenn man dort jedoch auf die kaum erkennbare Zeile
Zitat:
Tested by Kaspersky Anti-Virus 2009-03-26 details
auf details klickt, erscheint:
Zitat:
This file contains the virus(es) listed below. However, you can still download it at your own risk.

Backdoor.Win32.Rbot.yhx
Lassen wir diesen Keygen dochmal bei VT überprüfen:
Virustotal. MD5: c557a5bb62af5630814335f4ec5ee700 Backdoor.Sdbot Worm.Rbot.19968.8 Backdoor.Win32.Rbot.yhx
Code:
Datei keygen.exe empfangen 2009.06.13 13:32:57 (UTC)
Status:    Beendet
Ergebnis: 30/39 (76.93%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.06.13        Trojan-Downloader.Win32.Delf.MM!IK
AhnLab-V3        5.0.0.2        2009.06.12        Win32/IRCBot.worm.variant
AntiVir        7.9.0.187        2009.06.12        Worm/Rbot.19968.8
Antiy-AVL        2.0.3.1        2009.06.12        -
Authentium        5.1.2.4        2009.06.12        W32/Heuristic-210!Eldorado
Avast        4.8.1335.0        2009.06.12        Win32:Trojan-gen {Other}
AVG        8.5.0.339        2009.06.13        IRC/BackDoor.SdBot4.ICO
BitDefender        7.2        2009.06.13        Packer.PESpin.A
CAT-QuickHeal        10.00        2009.06.13        Backdoor.Rbot.yhx
ClamAV        0.94.1        2009.06.13        -
Comodo        1325        2009.06.13        Backdoor.Win32.Rbot.yhx
DrWeb        5.0.0.12182        2009.06.13        -
eSafe        7.0.17.0        2009.06.11        Win32.Backdoor.Sdbot
eTrust-Vet        31.6.6556        2009.06.12        -
F-Prot        4.4.4.56        2009.06.12        W32/Heuristic-210!Eldorado
F-Secure        8.0.14470.0        2009.06.13        Backdoor.Win32.Rbot.yhx
Fortinet        3.117.0.0        2009.06.13        -
GData        19        2009.06.13        Packer.PESpin.A
Ikarus        T3.1.1.59.0        2009.06.13        Trojan-Downloader.Win32.Delf.MM
K7AntiVirus        7.10.762        2009.06.12        Backdoor.Win32.Rbot
Kaspersky        7.0.0.125        2009.06.13        Backdoor.Win32.Rbot.yhx
McAfee        5644        2009.06.12        W32/Sdbot.worm
McAfee+Artemis        5644        2009.06.12        W32/Sdbot.worm
McAfee-GW-Edition        6.7.6        2009.06.13        Worm.Rbot.19968.8
Microsoft        1.4701        2009.06.13        -
NOD32        4152        2009.06.13        probably a variant of Win32/Rbot
Norman        6.01.09        2009.06.12        W32/Packed_PeSpin.B
nProtect        2009.1.8.0        2009.06.13        Backdoor/W32.RBot.19968.M
Panda        10.0.0.14        2009.06.13        Generic Malware
PCTools        4.4.2.0        2009.06.12        -
Prevx        3.0        2009.06.13        -
Rising        21.33.52.00        2009.06.13        -
Sophos        4.42.0        2009.06.13        Mal/Packer
Sunbelt        3.2.1858.2        2009.06.13        Trojan.Win32.Packer.PESpinv0.ba (v)
Symantec        1.4.4.12        2009.06.13        Backdoor.Sdbot
TheHacker        6.3.4.3.345        2009.06.13        Backdoor/Rbot.yhx
TrendMicro        8.950.0.1092        2009.06.12        Cryp_PESpin
VBA32        3.12.10.7        2009.06.13        Backdoor.Win32.Rbot.yhx
ViRobot        2009.6.13.1785        2009.06.13        Backdoor.Win32.IRCBot.19968.AC
weitere Informationen
File size: 19968 bytes
MD5...: c557a5bb62af5630814335f4ec5ee700
SHA1..: 925dc49aae19c0ca55be58dc3045e821da9eb1e6
SHA256: 29810a0ff50601172700f48bf877e889b7c856eb975de1b2fc8ed4ef5d15b05d
ssdeep: -
PEiD..: PE Spin v0.b
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8081
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.wkt0 0x1000 0x524 0x600 7.17 c201a4409877b41356a6f0506aff5319
.wkt0 0x2000 0x130 0x200 1.65 df5032b4b09f86f45e5bc12ee8169f68
.wkt0 0x3000 0x10a0 0x200 5.50 1e00f5b4ffad03b2b4da2c2cb2720d53
.rsrc 0x5000 0x2b38 0x2c00 6.96 e2234aa6ea2c267f9d1cba476d11687f
.wkt0 0x8000 0x13d8 0x1400 7.78 5db69fedbcb9e1416e94e108ecd95d17

( 2 imports )
> KERNEL32.DLL: LoadLibraryA
> USER32.DLL: MessageBoxA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c557a5bb62af5630814335f4ec5ee700' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c557a5bb62af5630814335f4ec5ee700</a>
packers (Authentium): PESpin
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c557a5bb62af5630814335f4ec5ee700' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c557a5bb62af5630814335f4ec5ee700</a>
packers (F-Prot): PESpin
Ziemlich eindeutig. :)

Und hier ist die Quelle:
Zitat:
2009-01-28 18:14 . 2008-11-13 16:03 11524612 ----a-w- d:\download daten\Musikbearbeitung\Voxengo.Elephant.VST.v3.1.Incl.Keygen-AiR.rar
Jetzt sind wir wieder an der Stelle, an der wir begonnen haben: :)
http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas

hetoimasia 14.06.2009 10:03
Ja,

ist einzusehen und ich habe mir es auch schon gedacht, als ich die letzten Scan Ergebnisse sah. Ich danke Dir vielmals!!!

Beste Grüße!!

hetoimasia 14.06.2009 10:10
Hi Andreas,

eine kurze Frage erlaube mir noch! Kann ich Daten die keine .exe Dateien sind sichern, ohne Gefahr zu laufen, dass mir auf den neuen PC wieder irgendwas draufziehe was ich nicht haben möchte??

Auf Deinen Ratschlag zum Neuaufsetzen hin, denke ich dass dieser am Keygen hängende Virus sich bei Benutzung so tief ins System arbeitet, dass man ihn nicht wieder entfernen kann, oder??

Nachmals vielen Dank!!!

john.doe 14.06.2009 11:00
Weil du dich einsichtig gezeigt hast, mache ich eine Ausnahme.
Zitat:
Kann ich Daten die keine .exe Dateien sind sichern, ohne Gefahr zu laufen, dass mir auf den neuen PC wieder irgendwas draufziehe was ich nicht haben möchte?
Ja. Die sollten allerdings vor Zurückspielen mit mehreren aktuellen Scannern getestet werden. Klicke auf Anleitungen in meiner Signatur, dort findest du geeignete Scanner.

ciao, andreas

hetoimasia 14.06.2009 12:07
Hi Andreas,

ja natürlich zeige ich mich einsichtig!!! :( Jetzt will ich aber auch verhindern, dass ich mir beim Neuinstallieren alles wieder einfange was die Probleme verursacht hat.
Auf welche Programme in dem "Anleitungen" Link in Deiner Signatur spielst Du an? Ich denke Avira, Anti-Malware und SuperAntiSpyware ?? Ich würde also so vorgehen:

a) die Daten die ich behalten möchte kopiere ich auf eine leere externe Platte
b) ich formatiere die Festplatte mit der XP-Installation und installiere anschließend XP und die Treiber für den Rechner neu (von Original CDs die mitgeliefert wurden).
c) Ich richte neben dem Admin-Konto ein Nutzerkonto mit beschränkten Rechten ein, aktiviere die XP-Firewall, befolge die Schritte die Du in Neuaufsetzen+Absicherung des Systems vorschlägst.
d) Danach aktiviere ich die Internetverbindung, ziehe XP-Updates die nicht im SP3 enthalten waren und die oben genannten Scanner.
e) dann überprüfe ich die Daten auf der externen Platte mit den aktualisierten Scannern und spiele sie bei nicht-anschlagen der Scanner zurück in die vorgesehene D:\ Partition
f) Meinen USB-Stick scanne ich gleich wie die externe Platte mit den Scannern und verwende ihn wie gewohnt, wenn keine Funde stattfinden.

Ist das sinnvoll so wie ich es beschrieben habe???

Tausend Dank dann nochmal!!!! :daumenhoc

john.doe 14.06.2009 14:20
DrWeb sehe ich da noch. :)

Dann haben wir noch Textbausteine für Onlinescanner, wie Kaspersky, Panda und Prevx.
Zitat:
Ist das sinnvoll so wie ich es beschrieben habe?
Ja, dann noch Autoplay von Windows abschalten und keine Keygens, Cracks und Patches mehr ausführen sowie Hände weg von Warezsites und P2P-Software.

Wenn du dann noch deine Programme und das Betriebssystem aktuell hältst, kann dir kaum etwas passieren.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131