|
Bitte um Hilfe habe Trojaner an Bord Hallo Leute.Ich habe derzeit einiger Zeit probs mit meinem System.Bitdefender hat dann die Datei rbadzm.dll und rbadza.sysgefunden und gelöscht.Ich glaube aber das Problem ist noch nicht gelöst.Wenn ich bei google wetc ein Suchwort eingebe werde ich immer erst mal aufKepco umgeleitet.Hier mal mein Logfile ich hoffe ihr könnt mir helfen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:22:21, on 12.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Ext2Fsd\Ext2Mgr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\editiert\Eigene Dateien\Downloads\HiJackThis.exe O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h O4 - HKLM\..\Run: [Ext2 Volume Manager] "C:\Programme\Ext2Fsd\Ext2Mgr.exe" -hide O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - editdownload.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - editupdate.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232921539750 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - editupdate.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232921511140 O20 - Winlogon Notify: rbadzm - rbadzm.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 6296 bytes |
CCleaner wurde ausgeführt. Antimalware ebenfalls,hier die Logdatei:Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2412 Windows 5.1.2600 Service Pack 3 12.07.2009 16:02:42 mbam-log-2009-07-12 (16-02-42).txt Scan-Methode: Vollständiger Scan (B:\|C:\|F:\|) Durchsuchte Objekte: 172894 Laufzeit: 35 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\cryptload_1.0.4\cryptload_1.0.4\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully. C:\WINDOWS\system32\a99k.bin (Trojan.Agent) -> Quarantined and deleted successfully. Bitte um Hilfe.wie soll ich weiter vorgehen? |
und hier dann nchmal das HiJackThis Logfile nach der benutzung von Anti Malware:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:01:52, on 12.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Ext2Fsd\Ext2Mgr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Registry Mechanic\RegMech.exe C:\WINDOWS\System32\svchost.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\edit\Eigene Dateien\Downloads\HiJackThis.exe O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h O4 - HKLM\..\Run: [Ext2 Volume Manager] "C:\Programme\Ext2Fsd\Ext2Mgr.exe" -hide O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-436374069-299502267-1801674531-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Administrator') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - editdownload.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - editpdate.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232921539750 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - editate.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232921511140 O20 - Winlogon Notify: rbadzm - rbadzm.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 6574 bytes |
Ich habe doch alle Punkte bearbeitet.Warum kann sich nicht mal bitte jemand mein Logfile anschauen:heulen: |
Hallo und :hallo: Zitat:
Und wenn du schon dabei bist => http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung) ciao, andreas |
Zitat:
Vielen Dank schonmal.Ist erledigt.Hier das Logfile: Logfile of random's system information tool 1.06 (written by random/random) Run by edit at 2009-07-18 11:28:11 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 32 GB (28%) free of 114 GB Total RAM: 511 MB (19% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:28:47, on 18.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Ext2Fsd\Ext2Mgr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Registry Mechanic\RegMech.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Dokumente und Einstellungen\edit\Eigene Dateien\Downloads\RSIT.exe C:\Dokumente und Einstellungen\edit\Eigene Dateien\Downloads\Claudi&Jens.exe O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h O4 - HKLM\..\Run: [Ext2 Volume Manager] "C:\Programme\Ext2Fsd\Ext2Mgr.exe" -hide O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-436374069-299502267-1801674531-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Administrator') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: abylonsoft Module aktivieren.lnk = C:\Programme\abylonsoft\SAWipe\SAWipe.EXE O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232921539750 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232921511140 O20 - Winlogon Notify: rbadzm - rbadzm.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 6615 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\1-Klick-Wartung.job ======Registry dump====== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "RegisterDropHandler"=C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE [1998-07-08 22528] "nwiz"=nwiz.exe /install [] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2004-09-30 4603904] "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "LiveMonitor"=C:\Programme\MSI\Live Update 3\LMonitor.exe [2005-07-11 482816] "InstantAccess"=C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE [1998-07-08 37376] "Ext2 Volume Manager"=C:\Programme\Ext2Fsd\Ext2Mgr.exe [2007-12-21 1178768] "EPSON Stylus C86 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE [2003-11-25 99840] "avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 266497] "Acronis*True*Image Monitor"=C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe [2006-04-29 505319] "Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2006-04-29 65536] "Ashampoo FireWall"=C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe [2007-04-05 3251800] "UnlockerAssistant"=C:\Programme\Unlocker\UnlockerAssistant.exe [2008-05-02 15872] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-04-01 148888] "Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [2005-06-23 57344] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "NBJ"=C:\Programme\Ahead\Nero BackItUp\NBJ.exe [2005-01-04 1937408] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480] "RegistryMechanic"=C:\Programme\Registry Mechanic\RegMech.exe [2009-06-30 2836376] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart abylonsoft Module aktivieren.lnk - C:\Programme\abylonsoft\SAWipe\SAWipe.EXE Action Manager 32.lnk - C:\Programme\ScannerU\AM32.exe InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rbadzm] rbadzm.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadza.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rbadza.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\aEton CommunicaEor\CommunicaEtor.exe"="C:\Programme\aEton CommunicaEor\CommunicaEtor.exe:*:Enabled:CommunicaEtor" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE"="C:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE:*:Enabled:SAgent4" "C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer" "C:\Programme\FileZilla FTP Client\filezilla.exe"="C:\Programme\FileZilla FTP Client\filezilla.exe:*:Enabled:FileZilla FTP Client" "C:\Programme\Ahead\Nero ShowTime\ShowTime.exe"="C:\Programme\Ahead\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime" "C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] shell\AutoRun\command - H:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e8d2e84-1ac9-11de-b054-001109c06979}] shell\AutoRun\command - H:\Password.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e40f2445-d70e-11da-8b6d-806d6172696f}] shell\AutoRun\command - D:\Setup.exe ======List of files/folders created in the last 1 months====== 2009-07-18 11:28:11 ----D---- C:\rsit 2009-07-12 15:19:36 ----D---- C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Malwarebytes 2009-07-12 15:19:27 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-07-12 15:19:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-12 15:13:35 ----D---- C:\Programme\CCleaner 2009-07-12 15:06:56 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2009-07-12 15:06:41 ----A---- C:\WINDOWS\system32\STKIT432.DLL 2009-07-12 15:06:39 ----D---- C:\Programme\Registry Mechanic 2009-07-06 22:53:02 ----A---- C:\WINDOWS\wininit.ini ======List of files/folders modified in the last 1 months====== 2009-07-18 11:25:01 ----D---- C:\WINDOWS\Temp 2009-07-18 11:23:49 ----D---- C:\Programme\AntiVir PersonalEdition Classic 2009-07-18 11:21:16 ----D---- C:\Programme\Mozilla Firefox 2009-07-18 11:21:03 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-07-18 11:19:52 ----D---- C:\WINDOWS\system32 2009-07-18 11:19:19 ----D---- C:\WINDOWS\system32\drivers 2009-07-14 00:14:19 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-07-13 21:45:05 ----D---- C:\WINDOWS\Prefetch 2009-07-12 16:10:56 ----AD---- C:\WINDOWS 2009-07-12 16:10:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-12 15:19:27 ----D---- C:\Programme 2009-07-12 15:16:04 ----D---- C:\WINDOWS\Minidump 2009-07-12 15:16:04 ----D---- C:\WINDOWS\Debug 2009-07-12 09:32:13 ----D---- C:\WINDOWS\BDOSCAN8 2009-07-11 19:41:43 ----HD---- C:\Programme\InstallShield Installation Information 2009-07-11 18:07:45 ----D---- C:\Programme\DriveCrypt Plus Pack 2009-07-08 20:56:38 ----SHD---- C:\WINDOWS\Installer 2009-07-06 21:10:12 ----D---- C:\Programme\Spybot - Search & Destroy ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK8;AMD Athlon64 Processor Driver; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-10-21 35840] R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-06-01 75096] R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2009-02-17 24232] R1 Ext2Fsd;Linux ext2 file system driver; C:\WINDOWS\system32\drivers\Ext2Fsd.sys [2007-12-25 628224] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver]; \??\C:\WINDOWS\system32\drivers\Sleen14.sys [] R1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver]; \??\C:\WINDOWS\system32\drivers\Sleen14.sys [] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2003-04-02 12032] R2 nvcap;nVidia WDM Video Capture (universal); C:\WINDOWS\system32\DRIVERS\nvcap.sys [2005-04-01 123614] R2 nvTUNEP;nVidia WDM TVTuner; C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2005-04-01 21906] R2 nvtvSND;nVidia WDM TVAudio Crossbar; C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2005-04-01 25442] R2 NVXBAR;nVidia WDM A/V Crossbar; C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2005-04-01 13696] R2 tifsfilter;Acronis TrueImage FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2006-04-29 28064] R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys [] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-12-16 3842560] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2006-12-26 34760] R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2006-12-14 11984] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-09-30 2743840] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2004-05-17 33280] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2004-05-17 12928] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 WinDriver6;WinDriver6; C:\WINDOWS\system32\drivers\windrvr6.sys [2007-06-17 186592] S1 ASFWHide;ASFWHide; \??\C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\ASFWHide [] S1 DCR;DCR; \??\C:\Programme\DriveCrypt Plus Pack\DCR.Sys [] S1 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS [] S1 NTACCESS;NTACCESS; \??\D:\NTACCESS.sys [] S1 rbadza;RAMDAC GPU Controller; C:\WINDOWS\system32\rbadza.sys [] S2 BulkUsb;Plustek USB Scanner; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 MPCSYS;MPCSYS; \??\C:\WINDOWS\system32\DRIVERS\mpcsys.sys [] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-19 21248] S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2006-04-29 114688] R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865] R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297] R2 apmSAWCtrl;apm - SAW control service; C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.exe [2007-09-18 217424] R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-11 57344] R2 DCPP2Svc;SecurStar DCPP 3.81+ Service; C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe [2002-02-02 150976] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-04-01 152984] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2004-09-30 127043] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service; C:\WINDOWS\System32\TUProgSt.exe [2009-02-03 603904] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376] S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2009-02-03 362240] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880] -----------------EOF----------------- |
....und hier der Rest:und hier: info.txt logfile of random's system information tool 1.06 2009-07-18 11:28:52 ======Uninstall list====== [Activation] v0.3 Beta 3-->"C:\Programme\TomTomActivation\Uninstall.exe" -->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf abylon SHREDDER 6.5-->"C:\Programme\abylonsoft\SAWipe\unins000.exe" Acronis True Image-->C:\Programme\Acronis\TrueImage\MediaBuilder.exe -uninstall Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 7.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A71000000002} Adobe® Photoshop® Album Starter Edition 3.0-->MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B} aEton CommunicaEor-->C:\Programme\aEton CommunicaEor\Uninstall.exe Alive Video Converter (version 3.1.8.6)-->"C:\Programme\AliveMedia\Video Converter\unins000.exe" Ashampoo FireWall 1.20-->"C:\Programme\Ashampoo\Ashampoo FireWall\unins000.exe" Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE CAS Interface Studio 8.5c-->MsiExec.exe /X{F1E110B9-F187-4942-9921-11562BEF4228} CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" CDex extraction audio-->"C:\Programme\CDex_170b2\uninstall.exe" CloneDVD2-->"C:\Programme\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneDVD2" CoreAVC Pro (remove only)-->"C:\Programme\CoreCodec\CoreAVC Pro\CoreAVC Pro-uninstall.exe" DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN DriveCrypt Plus Pack-->C:\Programme\DriveCrypt Plus Pack\dcpp.exe /Uninstall EPSON PhotoQuicker3.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x7 uninst EPSON-Drucker-Software-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /r ESC86 Softwarehandbuch-->C:\Programme\EPSON\TPMANUAL\ESC86\PQU_G\DOCUNINS.EXE Ext2Fsd 0.37-->"C:\Programme\Ext2Fsd\unins000.exe" FileZilla Client 3.0.11-->C:\Programme\FileZilla FTP Client\uninstall.exe HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Claudi&Jens\Eigene Dateien\Downloads\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" InterVideo WinDVD 4-->"C:\Programme\InstallShield Installation Information\{98E8A2EF-4EAE-43B8-A172-74842B764777}\setup.exe" REMOVEALL J2SE Runtime Environment 5.0 Update 10-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100} Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000} jStrip 3.3-->"C:\Programme\jStrip\unins000.exe" K-Lite Codec Pack 2.85 Full-->"C:\Programme\K-Lite Codec Pack\unins000.exe" Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft .NET Framework 3.0-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003} Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe" Mozilla Firefox (3.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.21)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe MSI Live Update 3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MSI\Live Update 3\Uninst.isu" MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27} MSXML 4.0 SP2 (KB925672)-->MsiExec.exe /I{A9CF9052-F4A0-475D-A00F-A8388C62DD63} MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96} My Video Downloader-->"C:\WINDOWS\My Video Downloader\uninstall.exe" "/U:C:\Programme\My Video Downloader\Uninstall\uninstall.xml" Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL NeroVision Express 3-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL Nokia Multimedia Factory-->MsiExec.exe /I{4CFB3821-1582-4F3B-BF8D-30986923B36B} NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI NVIDIA WDM Drivers-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B023185F-F1EF-4F97-B0BD-AE6D802226D1}\Setup.exe" OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260} PC Connectivity Solution-->MsiExec.exe /I{D848D140-41C3-4A53-86D8-E866A100B4CD} Plustek USB Scanner-->C:\PROGRA~1\ScannerU\UNINSTAL\SETUP.EXE QuickPar 0.9-->C:\Programme\QuickPar\uninst.exe QuickTime-->MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC} Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x7 -removeonly Registry Mechanic 8.0-->"C:\Programme\Registry Mechanic\unins000.exe" /Log Security Update for Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe" Steganos Safe Home 2007-->C:\Programme\Steganos Safe Home\uninstall.exe SUPER © Version 2008.bld.24 (Jan 18, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0 TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357} TV Tuner Driver-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{4063ED77-70E5-427B-8452-6807DB7EC5B2} Uniformula-->"C:\Programme\Humax Digital\Uniformula\uninstall.exe" Unlocker 1.8.7-->C:\Programme\Unlocker\uninst.exe Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} WDN4OAK+-->C:\WINDOWS\uninst.exe -f"C:\Programme\Humax Digital\WDN4OAK+\DeIsL2.isu" -cC:\PROGRA~1\HUMAXD~1\WDN4OA~1\_ISREG32.DLL Winamp-->"C:\Programme\Winamp\UninstWA.exe" Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333} Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Player 9 Hotfix - KB892313-->"C:\WINDOWS\$NtUninstallKB892313$\spuninst\spuninst.exe" Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840} Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD} Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_F12A08B6F776984A95553486F64C541356F86E38\pccs_bluetooth.inf Windows-Treiberpaket - Nokia Modem (03/05/2008 3.7)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokia_blue_635B28EFCFA9395123BB1C251595CB16129E2560\nokia_bluetooth.inf Windows-Treiberpaket - Nokia Modem (03/13/2008 6.86.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_28F2EAC406838DA65AFF6C6886FE9FE96AEF5186\nokbtmdm.inf Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_5E1541AFF1E1EA3554CE566743CCAD323ED1C108\nokbtmdm.inf Windows-Treiberpaket - Nokia Modem (08/03/2007 6.84.0.2)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_1EB5F2E6F54A6BEDE9F436D1BA5D830FC71739BE\nokbtmdm.inf Windows-Treiberpaket - Nokia Modem (10/12/2007 3.6)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokia_blue_0A5D98F754C6588B2E3DDE89DDEF097075ADFFB7\nokia_bluetooth.inf Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe Xvid 1.1.3 final uninstall-->"C:\Programme\Xvid\unins000.exe" Yahoo! Toolbar mit Pop-Up-Blocker-->C:\PROGRA~1\Yahoo!\Common\unyt.exe ======Hosts File====== 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com ======Security center information====== AV: AntiVir PersonalEdition Classic Virenschutz (outdated) AV: Avira AntiVir PersonalEdition ======System event log====== Computer Name: PRIVAT-FPL9262P Event Code: 7036 Message: Dienst "WMI-Leistungsadapter" befindet sich jetzt im Status "Ausgeführt". Record Number: 101635 Source Name: Service Control Manager Time Written: 20090518190517.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-FPL9262P Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "WMI-Leistungsadapter" gesendet. Record Number: 101634 Source Name: Service Control Manager Time Written: 20090518190517.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: PRIVAT-FPL9262P Event Code: 7036 Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 101633 Source Name: Service Control Manager Time Written: 20090518190514.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-FPL9262P Event Code: 7036 Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt". Record Number: 101632 Source Name: Service Control Manager Time Written: 20090518190514.000000+120 Event Type: Informationen User: Computer Name: PRIVAT-FPL9262P Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet. Record Number: 101631 Source Name: Service Control Manager Time Written: 20090518190513.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM =====Application event log===== Computer Name: PRIVAT-FPL9262P Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 2570 Source Name: SecurityCenter Time Written: 20071206200822.000000+060 Event Type: Informationen User: Computer Name: PRIVAT-FPL9262P Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 2569 Source Name: H+BEDV AntiVir Time Written: 20071206072937.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: PRIVAT-FPL9262P Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 2568 Source Name: SecurityCenter Time Written: 20071206072935.000000+060 Event Type: Informationen User: Computer Name: PRIVAT-FPL9262P Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 2567 Source Name: H+BEDV AntiVir Time Written: 20071205212630.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: PRIVAT-FPL9262P Event Code: 1800 Message: Der Windows-Sicherheitscenterdienst wurde gestartet. Record Number: 2566 Source Name: SecurityCenter Time Written: 20071205212629.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=C:\Programme\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\;Z:\GPnup\GnuPG\pub;C:\Programme\Gemeinsame Dateien\DivX Shared\ "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 10, AuthenticAMD "PROCESSOR_REVISION"=040a "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "CLASSPATH"=.;C:\Programme\Java\jre1.5.0_10\lib\ext\QTJava.zip "QTJAVA"=C:\Programme\Java\jre1.5.0_10\lib\ext\QTJava.zip -----------------EOF----------------- |
SuperAntiSpyware Log ist in Arbeit.Dachte nicht das es so lange dauert bis er durch is. |
:) Das hängt davon ab, wieviele Dateien er scannen muss. Es gibt da einen Eintrag, mit dem das Administratorkennwort umgangen werden kann. Wurde das bewußt installiert? ciao, andreas |
So fertig. Also ich habe DriveCrypt installiert und meine Festplatte ist komplett verschlüsselt d.h. ich muß ein Passwortschon vor Systemstart im Dos eingeben.Das hat aber nix mit Administratorpasswort zu tun.Ich habe eigentlich bei Windows auch kein Passwort festgelegt soweit ich weiß.Das System ist allerdings sehr alt.Beschwören möchte ich es nicht.es könnte sein das mal soetwas mit Tweak oder so gemacht wurde. Hier nun der Log von Super Antispyware,das was gefunden wurde habe ich direkt löschen lassen:SUPERAntiSpyware Scan Log http://""".edit.com Generated 07/18/2009 at 01:10 PM Application Version : 4.26.1006 Core Rules Database Version : 4003 Trace Rules Database Version: 1943 Scan type : Complete Scan Total Scan Time : 01:26:08 Memory items scanned : 487 Memory threats detected : 0 Registry items scanned : 5253 Registry threats detected : 2 File items scanned : 74104 File threats detected : 1 Trojan.RootKit/Gen HKLM\System\ControlSet003\Services\kmvjg C:\WINDOWS\SYSTEM32\DRIVERS\IRNXYOGC.SYS HKLM\System\ControlSet003\Enum\Root\LEGACY_kmvjg |
1.) Lade dir bitte das Programm SysProt. 2.) Klicke auf die Karte Log 3.) Markiere
4.) Klick auf Create Log. 5.) Wähle: Scan root drive only 6.) Klicke auf Start 7.) Poste den Inhalt von SysProtLog.txt, das du auf dem Desktop findest. 8.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas ciao, andreas |
Meinst du alles an oder alles ab stecken.Wäre vieleicht auch noch zu erwähnen das ich ein Netzwerk mit 2Rechnern habe. |
Mit SysProt.exe habe ich probleme.Nach dem ich den Scan root drive only prozess gestartet habe Arbeitet er zwar aber plötzlich geht das Programm zu.Ein Logfile auf dem Desktop kann ich nicht finden. |
Zitat:
Zitat:
Zitat:
ciao, andreas |
Ok habs:SysProt AntiRootkit v1.0.1.0 by swatkat ****************************************************************************************** ****************************************************************************************** Process: Name: [System Idle Process] PID: 0 Hidden: No Window Visible: No Name: System PID: 4 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\smss.exe PID: 1516 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\csrss.exe PID: 1644 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\winlogon.exe PID: 212 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\services.exe PID: 292 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\lsass.exe PID: 304 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 512 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 608 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 708 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 780 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 1028 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\BRSVC01A.EXE PID: 1260 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\spoolsv.exe PID: 1288 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\BRSS01A.EXE PID: 1300 Hidden: No Window Visible: No Name: C:\WINDOWS\explorer.exe PID: 1780 Hidden: No Window Visible: No Name: C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe PID: 2036 Hidden: No Window Visible: No Name: C:\Programme\MSI\Live Update 3\LMonitor.exe PID: 264 Hidden: No Window Visible: No Name: C:\Programme\Ext2Fsd\Ext2Mgr.exe PID: 412 Hidden: No Window Visible: No Name: C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe PID: 308 Hidden: No Window Visible: No Name: C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe PID: 476 Hidden: No Window Visible: No Name: C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe PID: 564 Hidden: No Window Visible: No Name: C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe PID: 572 Hidden: No Window Visible: No Name: C:\Programme\AntiVir PersonalEdition Classic\sched.exe PID: 676 Hidden: No Window Visible: No Name: C:\Programme\Unlocker\UnlockerAssistant.exe PID: 692 Hidden: No Window Visible: No Name: C:\Programme\Java\jre6\bin\jusched.exe PID: 732 Hidden: No Window Visible: No Name: C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe PID: 812 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\ctfmon.exe PID: 832 Hidden: No Window Visible: No Name: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PID: 956 Hidden: No Window Visible: No Name: C:\Programme\Registry Mechanic\RegMech.exe PID: 1012 Hidden: No Window Visible: No Name: C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe PID: 364 Hidden: No Window Visible: No Name: C:\Programme\AntiVir PersonalEdition Classic\avguard.exe PID: 1116 Hidden: No Window Visible: No Name: C:\Programme\abylonsoft\SAWipe\SAWCtrlSer.EXE PID: 1432 Hidden: No Window Visible: No Name: C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe PID: 1600 Hidden: No Window Visible: No Name: C:\Programme\Java\jre6\bin\jqs.exe PID: 1988 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\nvsvc32.exe PID: 208 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 876 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\TUProgSt.exe PID: 1848 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\wdfmgr.exe PID: 1484 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\wscntfy.exe PID: 3888 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\alg.exe PID: 1532 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\svchost.exe PID: 3440 Hidden: No Window Visible: No Name: C:\WINDOWS\system32\notepad.exe PID: 2472 Hidden: No Window Visible: Yes Name: C:\Programme\Mozilla Firefox\firefox.exe PID: 3096 Hidden: No Window Visible: No Name: C:\Dokumente und Einstellungen\Claudi&Jens\Eigene Dateien\Downloads\SysProt.exe PID: 2596 Hidden: No Window Visible: Yes ****************************************************************************************** ****************************************************************************************** Kernel Modules: Module Name: \systemroot\system32\drivers\SKYNETksrqxenb.sys Service Name: SKYNETxvamixuw Module Base: --- Module End: --- Hidden: Yes Module Name: \??\C:\Dokumente und Einstellungen\Claudi&Jens\Eigene Dateien\Downloads\SysProtDrv.sys Service Name: SysProtDrv.sys Module Base: EED00000 Module End: EED0B000 Hidden: No Module Name: \WINDOWS\system32\ntkrnlpa.exe Service Name: --- Module Base: 804D7000 Module End: 806CFF80 Hidden: No Module Name: \WINDOWS\system32\hal.dll Service Name: --- Module Base: 806D0000 Module End: 806F0300 Hidden: No Module Name: \WINDOWS\system32\KDCOM.DLL Service Name: --- Module Base: F8B65000 Module End: F8B67000 Hidden: No Module Name: \WINDOWS\system32\BOOTVID.dll Service Name: --- Module Base: F8A75000 Module End: F8A78000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\ACPI.sys Service Name: ACPI Module Base: F8535000 Module End: F8564000 Hidden: No Module Name: \WINDOWS\System32\DRIVERS\WMILIB.SYS Service Name: --- Module Base: F8B67000 Module End: F8B69000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\pci.sys Service Name: PCI Module Base: F8524000 Module End: F8535000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\isapnp.sys Service Name: isapnp Module Base: F8665000 Module End: F866F000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\ohci1394.sys Service Name: ohci1394 Module Base: F8675000 Module End: F8685000 Hidden: No Module Name: \WINDOWS\System32\DRIVERS\1394BUS.SYS Service Name: --- Module Base: F8685000 Module End: F8693000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\pciide.sys Service Name: PCIIde Module Base: F8C2D000 Module End: F8C2E000 Hidden: No Module Name: \WINDOWS\System32\DRIVERS\PCIIDEX.SYS Service Name: --- Module Base: F88E5000 Module End: F88EC000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\MountMgr.sys Service Name: MountMgr Module Base: F8695000 Module End: F86A0000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\ftdisk.sys Service Name: Disk Module Base: F8505000 Module End: F8524000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\PartMgr.sys Service Name: PartMgr Module Base: F88ED000 Module End: F88F2000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\VolSnap.sys Service Name: VolSnap Module Base: F86A5000 Module End: F86B3000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\atapi.sys Service Name: atapi Module Base: F84ED000 Module End: F8505000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\nvatabus.sys Service Name: nvatabus Module Base: F84D9000 Module End: F84ED000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\disk.sys Service Name: --- Module Base: F86B5000 Module End: F86BE000 Hidden: No Module Name: \WINDOWS\System32\DRIVERS\CLASSPNP.SYS Service Name: --- Module Base: F86C5000 Module End: F86D2000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\dcpp2k.sys Service Name: dcpp2k Module Base: F8418000 Module End: F84D9000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\fltmgr.sys Service Name: FltMgr Module Base: F83F8000 Module End: F8418000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\sr.sys Service Name: sr Module Base: F83E6000 Module End: F83F8000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\PxHelp20.sys Service Name: PxHelp20 Module Base: F86D5000 Module End: F86DE000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\KSecDD.sys Service Name: KSecDD Module Base: F83CF000 Module End: F83E6000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\Ntfs.sys Service Name: Ntfs Module Base: F8342000 Module End: F83CF000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\NDIS.sys Service Name: NDIS Module Base: F8315000 Module End: F8342000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\timntr.sys Service Name: timounter Module Base: F82E3000 Module End: F8315000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\snapman.sys Service Name: snapman Module Base: F82CF000 Module End: F82E3000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\nv_agp.sys Service Name: nv_agp Module Base: F88F5000 Module End: F88FB000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\Mup.sys Service Name: Mup Module Base: F82B5000 Module End: F82CF000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\nic1394.sys Service Name: NIC1394 Module Base: F8705000 Module End: F8715000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\AmdK8.sys Service Name: AmdK8 Module Base: F8785000 Module End: F8793000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\usbohci.sys Service Name: usbohci Module Base: F896D000 Module End: F8972000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\USBPORT.SYS Service Name: --- Module Base: F7BC5000 Module End: F7BE9000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\usbehci.sys Service Name: usbehci Module Base: F8975000 Module End: F897D000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\nvnetbus.sys Service Name: nvnetbus Module Base: F8259000 Module End: F825D000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\NVNRM.SYS Service Name: --- Module Base: F8795000 Module End: F87A3000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\NVSNPU.SYS Service Name: --- Module Base: F7B96000 Module End: F7BC5000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\ALCXWDM.SYS Service Name: ALCXWDM Module Base: F77EB000 Module End: F7B96000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\portcls.sys Service Name: --- Module Base: F77C7000 Module End: F77EB000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\drmk.sys Service Name: --- Module Base: F87A5000 Module End: F87B4000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\ks.sys Service Name: --- Module Base: F77A4000 Module End: F77C7000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\ElbyCDFL.sys Service Name: ElbyCDFL Module Base: F897D000 Module End: F8984000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\ElbyDelay.sys Service Name: ElbyDelay Module Base: F8B99000 Module End: F8B9B000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\cdrom.sys Service Name: Cdrom Module Base: F87B5000 Module End: F87C5000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\redbook.sys Service Name: redbook Module Base: F87C5000 Module End: F87D4000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\imapi.sys Service Name: Imapi Module Base: F87D5000 Module End: F87E0000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys Service Name: nv Module Base: F7506000 Module End: F77A4000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS Service Name: --- Module Base: F74F2000 Module End: F7506000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\serial.sys Service Name: Serial Module Base: F87E5000 Module End: F87F5000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\serenum.sys Service Name: serenum Module Base: F824D000 Module End: F8251000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\parport.sys Service Name: Parport Module Base: F74DE000 Module End: F74F2000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\windrvr6.sys Service Name: WinDriver6 Module Base: F74B0000 Module End: F74DE000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\USBD.SYS Service Name: --- Module Base: F8B9B000 Module End: F8B9D000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\audstub.sys Service Name: audstub Module Base: F8D30000 Module End: F8D31000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\rasl2tp.sys Service Name: Rasl2tp Module Base: F7C79000 Module End: F7C86000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\ndistapi.sys Service Name: NdisTapi Module Base: F8249000 Module End: F824C000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\ndiswan.sys Service Name: NdisWan Module Base: F7453000 Module End: F746A000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\raspppoe.sys Service Name: RasPppoe Module Base: F7C69000 Module End: F7C74000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\raspptp.sys Service Name: PptpMiniport Module Base: F7C59000 Module End: F7C65000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\TDI.SYS Service Name: --- Module Base: F898D000 Module End: F8992000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\psched.sys Service Name: PSched Module Base: F741A000 Module End: F742B000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\msgpc.sys Service Name: Gpc Module Base: F7C49000 Module End: F7C52000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\ptilink.sys Service Name: Ptilink Module Base: F8995000 Module End: F899A000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\raspti.sys Service Name: Raspti Module Base: F899D000 Module End: F89A2000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\termdd.sys Service Name: TermDD Module Base: F7C39000 Module End: F7C43000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\kbdclass.sys Service Name: Kbdclass Module Base: F89A5000 Module End: F89AC000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\mouclass.sys Service Name: Mouclass Module Base: F89AD000 Module End: F89B3000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\swenum.sys Service Name: swenum Module Base: F8B9D000 Module End: F8B9F000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\update.sys Service Name: Update Module Base: F73BC000 Module End: F741A000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\mssmbios.sys Service Name: mssmbios Module Base: F8B29000 Module End: F8B2D000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\usbhub.sys Service Name: usbhub Module Base: F7C29000 Module End: F7C38000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\NDProxy.SYS Service Name: NDProxy Module Base: F8855000 Module End: F885F000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\NVENETFD.sys Service Name: NVENETFD Module Base: F8875000 Module End: F887E000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\flpydisk.sys Service Name: Flpydisk Module Base: F8A25000 Module End: F8A2A000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS Service Name: Fs_Rec Module Base: F8BAB000 Module End: F8BAD000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Null.SYS Service Name: Null Module Base: F8C34000 Module End: F8C35000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Beep.SYS Service Name: Beep Module Base: F8BAD000 Module End: F8BAF000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\HIDPARSE.SYS Service Name: --- Module Base: F8A3D000 Module End: F8A44000 Hidden: No Module Name: C:\WINDOWS\System32\drivers\vga.sys Service Name: VgaSave Module Base: F8A45000 Module End: F8A4B000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\mnmdd.SYS Service Name: mnmdd Module Base: F8BAF000 Module End: F8BB1000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys Service Name: RDPCDD Module Base: F8BB1000 Module End: F8BB3000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Ext2Fsd.SYS Service Name: Ext2Fsd Module Base: F59CB000 Module End: F5A68000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Msfs.SYS Service Name: Msfs Module Base: F8A4D000 Module End: F8A52000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Npfs.SYS Service Name: Npfs Module Base: F8A55000 Module End: F8A5D000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\usbccgp.sys Service Name: usbccgp Module Base: F8A5D000 Module End: F8A65000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\hidusb.sys Service Name: hidusb Module Base: F8279000 Module End: F827C000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\HIDCLASS.SYS Service Name: --- Module Base: F88B5000 Module End: F88BE000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\kbdhid.sys Service Name: kbdhid Module Base: F8B49000 Module End: F8B4D000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\rasacd.sys Service Name: RasAcd Module Base: F8281000 Module End: F8284000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\mouhid.sys Service Name: mouhid Module Base: F8B45000 Module End: F8B48000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\ipsec.sys Service Name: IPSec Module Base: F131C000 Module End: F132F000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\tcpip.sys Service Name: Tcpip Module Base: F12C3000 Module End: F131C000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\netbt.sys Service Name: NetBT Module Base: F129B000 Module End: F12C3000 Hidden: No Module Name: C:\WINDOWS\System32\drivers\ws2ifsl.sys Service Name: WS2IFSL Module Base: F8B5D000 Module End: F8B60000 Hidden: No Module Name: C:\WINDOWS\System32\drivers\afd.sys Service Name: AFD Module Base: F1279000 Module End: F129B000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\netbios.sys Service Name: NetBIOS Module Base: F41F7000 Module End: F4200000 Hidden: No Module Name: \??\C:\WINDOWS\system32\drivers\Sleen14.sys Service Name: SLEE_14_DRIVER Module Base: F1267000 Module End: F1279000 Hidden: No Module Name: \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys Service Name: SASKUTIL Module Base: F1242000 Module End: F1267000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\ipnat.sys Service Name: IpNat Module Base: F121C000 Module End: F1242000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\wanarp.sys Service Name: Wanarp Module Base: F5927000 Module End: F5930000 Hidden: No Module Name: \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS Service Name: SASDIFSV Module Base: F3B0A000 Module End: F3B10000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\arp1394.sys Service Name: Arp1394 Module Base: F5917000 Module End: F5926000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\rdbss.sys Service Name: Rdbss Module Base: F11F1000 Module End: F121C000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\mrxsmb.sys Service Name: MRxSmb Module Base: F1181000 Module End: F11F1000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Fips.SYS Service Name: Fips Module Base: F5907000 Module End: F5912000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\ElbyCDIO.sys Service Name: ElbyCDIO Module Base: F3B02000 Module End: F3B07000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\avipbb.sys Service Name: avipbb Module Base: F1170000 Module End: F1181000 Hidden: No Module Name: \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys Service Name: avgio Module Base: F8BBD000 Module End: F8BBF000 Hidden: No Module Name: \SystemRoot\System32\Drivers\dump_nvatabus.sys Service Name: --- Module Base: F115C000 Module End: F1170000 Hidden: Yes Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS Service Name: --- Module Base: F8BC1000 Module End: F8BC3000 Hidden: Yes Module Name: C:\WINDOWS\System32\drivers\Dxapi.sys Service Name: --- Module Base: F34A1000 Module End: F34A4000 Hidden: No Module Name: C:\WINDOWS\System32\watchdog.sys Service Name: --- Module Base: F3AF2000 Module End: F3AF7000 Hidden: No Module Name: C:\WINDOWS\System32\drivers\dxgthk.sys Service Name: --- Module Base: F8C50000 Module End: F8C51000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\nvcap.sys Service Name: nvcap Module Base: F02DD000 Module End: F02F9000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\STREAM.SYS Service Name: --- Module Base: F4207000 Module End: F4214000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys Service Name: nvtvSND Module Base: F3AEA000 Module End: F3AF0000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\NVxbar.sys Service Name: NVXBAR Module Base: F349D000 Module End: F34A1000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\nvtunep.sys Service Name: nvTUNEP Module Base: F3AE2000 Module End: F3AE7000 Hidden: No Module Name: C:\WINDOWS\system32\DRIVERS\tifsfilt.sys Service Name: tifsfilter Module Base: F19DD000 Module End: F19E4000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\ndisuio.sys Service Name: Ndisuio Module Base: EFC3C000 Module End: EFC40000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\wdmaud.sys Service Name: wdmaud Module Base: EF8DD000 Module End: EF8F2000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\sysaudio.sys Service Name: sysaudio Module Base: F72E3000 Module End: F72F2000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\ParVdm.SYS Service Name: ParVdm Module Base: F8C05000 Module End: F8C07000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Cdfs.SYS Service Name: Cdfs Module Base: EF63D000 Module End: EF64D000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\Fastfat.SYS Service Name: Fastfat Module Base: EF4F9000 Module End: EF51D000 Hidden: No Module Name: \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys Service Name: avgntflt Module Base: EF32D000 Module End: EF341000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\srv.sys Service Name: Srv Module Base: EF2B3000 Module End: EF305000 Hidden: No Module Name: \??\C:\WINDOWS\system32\drivers\tmcomm.sys Service Name: tmcomm Module Base: EF1B1000 Module End: EF1C3000 Hidden: No Module Name: C:\WINDOWS\System32\Drivers\HTTP.sys Service Name: HTTP Module Base: EF008000 Module End: EF049000 Hidden: No Module Name: \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS Service Name: SASENUM Module Base: F8A65000 Module End: F8A6A000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\asyncmac.sys Service Name: AsyncMac Module Base: EEF00000 Module End: EEF04000 Hidden: No Module Name: C:\WINDOWS\system32\drivers\kmixer.sys Service Name: kmixer Module Base: EEC45000 Module End: EEC70000 Hidden: No Module Name: C:\WINDOWS\System32\DRIVERS\fdc.sys Service Name: Fdc Module Base: F8985000 Module End: F898C000 Hidden: No ****************************************************************************************** ****************************************************************************************** |
ComboFix schlägt mir jetzt vor die instalierte Version zu löschen und eine frische von download.bleebing computer runterzuladen???? |
Auf Ja klicken, er aktualisiert das manchmal mehrmals am Tag. Das ist schon richtig so. ciao, andreas |
Backdoor Virus öffnet Seiten auf IE und verschickt sich selbst weiter auf MSN ^ hi hier die Logfile, hoffe ich hab alle Adressen editiert Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:07:13, on 18.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe C:\Programme\SweetIM\Messenger\SweetIM.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Gemeinsame Dateien\Siemens\Sqlany\dbsrv9.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Siemens\Step7\S7BIN\s7asysvx.exe C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe C:\Programme\Gemeinsame Dateien\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe C:\DOKUME~1\Andreas\LOKALE~1\Temp\RtkBtMnt.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\advhost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\advhost.exe C:\WINDOWS\System32\TuneUpDefragService.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\++++++\Eigene Dateien\Downloads\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.explorerstartpage.com/wspage.php?ver=v8notr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.explorerstartpage.com/wspage.php?ver=v8notr R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [S7UB Start] "C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acer Empowering Technology.lnk = ? O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O13 - DefaultPrefix: h++p://www.myhottersearchbox.com/not_found_de/?url= O13 - WWW Prefix: h++p://www.myhottersearchbox.com/not_found_de/?url= O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1238363755655&h=632077ef397b2274e52b7b69ce5fc026/&filename=jinstall-6u13-windows-i586-jc.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll,C:\WINDOWS\system32\adlaunch32.dll O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: S7 Global Services (s7asysvx) - SIEMENS AG - C:\Programme\Siemens\Step7\S7BIN\s7asysvx.exe O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe O23 - Service: S7TraceServiceX - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 11308 bytes das was rot ist, ist zum Beispiel eine Seite die aufgerufen wird vom IE. Hoffe ihr könnt mir helfen Mfg |
[QUOTE=Schrambo;449132]hi hier die Logfile, hoffe ich hab alle Adressen editiert Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:07:13, on 18.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe C:\Programme\SweetIM\Messenger\SweetIM.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Gemeinsame Dateien\Siemens\Sqlany\dbsrv9.exe C:\WINDOWS\system32\igfxext.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Siemens\Step7\S7BIN\s7asysvx.exe C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe C:\Programme\Gemeinsame Dateien\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe C:\DOKUME~1\Andreas\LOKALE~1\Temp\RtkBtMnt.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\advhost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\advhost.exe C:\WINDOWS\System32\TuneUpDefragService.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\++++++\Eigene Dateien\Downloads\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.explorerstartpage.com/wspage.php?ver=v8notr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.explorerstartpage.com/wspage.php?ver=v8notr R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [S7UB Start] "C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acer Empowering Technology.lnk = ? O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O13 - DefaultPrefix: h++p://www.myhottersearchbox.com/not_found_de/?url= O13 - WWW Prefix: h++p://www.myhottersearchbox.com/not_found_de/?url= O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1238363755655&h=632077ef397b2274e52b7b69ce5fc026/&filename=jinstall-6u13-windows-i586-jc.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll,C:\WINDOWS\system32\adlaunch32.dll O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: S7 Global Services (s7asysvx) - SIEMENS AG - C:\Programme\Siemens\Step7\S7BIN\s7asysvx.exe O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\S7IEPG\s7oiehsx.exe O23 - Service: S7TraceServiceX - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\Automation\TraceEngine\bin\S7TraceServiceX.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 11308 bytes das was rot ist, ist zum Beispiel eine Seite die aufgerufen wird vom IE. Hoffe ihr könnt mir helfen Mfg[/QUOTE HEY DU BIST HIER IM FALSCHEN BEITRAG |
Hey John.doe Ich bin jetzt an nem andern Rechner das Combofix hat wohl fälschlicherweise paar Sachen gelöscht.Ich komme mit dem infizierten Rechner nicht mehr ins Internet und meine Ashampo Firewall scheint auch beschädigt zu sein.Lässt sich nicht mehr starten.Hier das Logfile von Combofix: ComboFix 09-07-14.08 - Claudi&Jens 18.07.2009 17:14.1.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.253 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Claudi&Jens\Desktop\ComboFix.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\drivers\SKYNETksrqxenb.sys c:\windows\system32\drivers\str.sys c:\windows\system32\SKYNETgrkdaiyq.dll c:\windows\system32\SKYNETomlwspbi.dat c:\windows\system32\SKYNETqjmdjuxj.dll c:\windows\system32\SKYNETrmsvvqqo.dat ----- BITS: Eventuell infizierte Webseiten ----- hxxp://binuser.fileave.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_SKYNETxvamixuw ((((((((((((((((((((((( Dateien erstellt von 2009-06-18 bis 2009-07-18 )))))))))))))))))))))))))))))) . 2009-07-18 09:39 . 2009-07-18 15:30 117760 ----a-w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-07-18 09:39 . 2009-07-18 09:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-18 09:38 . 2009-07-18 09:39 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-07-18 09:38 . 2009-07-18 09:38 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-18 09:28 . 2009-07-18 09:28 -------- d-----w- C:\rsit 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\Malwarebytes 2009-07-12 13:19 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-12 13:19 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-12 13:13 . 2009-07-12 13:13 -------- d-----w- c:\programme\CCleaner 2009-07-12 13:06 . 2009-07-18 15:32 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-18 14:37 . 2008-03-08 06:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-18 09:38 . 2006-04-29 10:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-07-18 09:21 . 2006-12-24 11:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-07-11 17:41 . 2006-04-28 23:03 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-11 16:07 . 2007-05-28 17:06 -------- d-----w- c:\programme\DriveCrypt Plus Pack 2009-07-06 19:10 . 2008-03-08 06:40 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-06-12 14:04 . 2006-04-29 07:50 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-06-11 16:11 . 2007-04-09 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft 2009-06-11 07:42 . 2008-07-14 18:56 -------- d-----w- c:\programme\DivX 2009-06-11 07:41 . 2009-06-11 07:41 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-06-01 09:04 . 2007-04-22 12:54 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-25 12:01 . 2009-05-25 12:01 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll 2009-05-21 22:55 . 2009-02-12 17:31 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\U3 2009-05-09 17:32 . 2009-03-07 19:14 1 ----a-w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll 2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll 2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll 2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll 2009-07-18 13:56 . 2009-07-11 17:36 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2006-05-03 10:06 . 2008-08-13 08:04 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2008-08-13 08:04 31232 --sh--r- c:\windows\system32\msfDX.dll 2007-12-17 13:43 . 2008-08-13 08:04 27648 --sh--w- c:\windows\system32\Smab0.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-01-04 1937408] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "RegistryMechanic"="c:\programme\Registry Mechanic\RegMech.exe" [2009-06-30 2836376] "SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-06-23 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RegisterDropHandler"="c:\programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE" [1998-07-08 22528] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-30 4603904] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "LiveMonitor"="c:\programme\MSI\Live Update 3\LMonitor.exe" [2005-07-11 482816] "InstantAccess"="c:\programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE" [1998-07-08 37376] "Ext2 Volume Manager"="c:\programme\Ext2Fsd\Ext2Mgr.exe" [2007-12-21 1178768] "EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2006-04-29 505319] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-04-29 65536] "Ashampoo FireWall"="c:\programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800] "UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-01 148888] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-09-30 921600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ abylonsoft Module aktivieren.lnk - c:\programme\abylonsoft\SAWipe\SAWipe.EXE [2007-9-25 1248080] Action Manager 32.lnk - c:\programme\ScannerU\AM32.exe [2003-1-1 57344] InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-4-29 126976] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 10:05 356352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadza.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "WinampAgent"=c:\programme\Winamp\winampa.exe "SAFEHOME HotKeys"=c:\programme\Steganos Safe Home\SteganosHotKeyService.exe "SAFEHOME Agent"=c:\programme\Steganos Safe Home\SteganosAgent.exe "SoundMan"=SOUNDMAN.EXE "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\aEton CommunicaEor\\CommunicaEtor.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"= "c:\\Programme\\FileZilla FTP Client\\filezilla.exe"= "c:\\Programme\\Ahead\\Nero ShowTime\\ShowTime.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1900:TCP"= 1900:TCP:Home Media Server R0 dcpp2k;dcpp2k;c:\windows\system32\drivers\dcpp2k.sys [29.07.2007 08:28 770496] R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [08.02.2008 17:34 628224] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.06.2009 11:01 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.06.2009 11:01 72944] R1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver];c:\windows\system32\drivers\sleen14.sys [08.11.2006 15:19 72480] R2 apmSAWCtrl;apm - SAW control service;c:\programme\abylonsoft\SAWipe\SAWCtrlSer.EXE [25.09.2007 17:28 217424] R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;c:\programme\DriveCrypt Plus Pack\DCPP2Svc.exe [29.07.2007 08:28 150976] R2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [29.04.2006 12:12 21906] R2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [29.04.2006 12:12 25442] R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.06.2009 11:01 7408] S1 DCR;DCR;\??\c:\programme\DriveCrypt Plus Pack\DCR.Sys --> c:\programme\DriveCrypt Plus Pack\DCR.Sys [?] S1 rbadza;RAMDAC GPU Controller;c:\windows\system32\rbadza.sys --> c:\windows\system32\rbadza.sys [?] S2 BulkUsb;Plustek USB Scanner;c:\windows\system32\drivers\usbscan.sys [01.01.2003 01:18 15104] S2 kmvjg;kmvjg;\??\c:\windows\system32\drivers\irnxyogc.sys --> c:\windows\system32\drivers\irnxyogc.sys [?] S3 MPCSYS;MPCSYS;c:\windows\system32\drivers\mpcsys.SYS [29.04.2006 11:27 15360] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-07-18 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 11:03] . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-rbadzm - rbadzm.dll . ------- Zusätzlicher Suchlauf ------- . uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 LSP: c:\programme\Ashampoo\Ashampoo FireWall\spi.dll FF - ProfilePath - c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Mozilla Firefox\plugins\NPMCult3DP.dll FF - plugin: c:\windows\system32\Cult3D\NPMCult3DP.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-18 17:28 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ASFWHide] "ImagePath"="\??\c:\dokume~1\CLAUDI~1\LOKALE~1\Temp\ASFWHide" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1988) c:\programme\SUPERAntiSpyware\SASWINLO.dll - - - - - - - > 'lsass.exe'(236) c:\programme\Ashampoo\Ashampoo FireWall\spi.dll - - - - - - - > 'explorer.exe'(3932) c:\programme\Ashampoo\Ashampoo FireWall\spi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\BRSS01A.EXE c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\TUProgSt.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-07-18 17:44 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-07-18 15:44 Vor Suchlauf: 11 Verzeichnis(se), 33.776.033.792 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 33.769.914.368 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 262 --- E O F --- 2009-02-03 02:00 |
Genau. :) Dieser Thread gehört mohhadieb, kauf dir deinen eigenen Thread, Schrambo. :D ciao, andreas |
Hehe.Der War gut:daumenhoc |
Zitat:
Zitat:
Wie gehst du überhaupt ins Internet? WLAN? Über die Firewall mache dir keine Sorgen, die hätte ich dich sowieso deinstallieren lassen. :) ciao, andreas |
Also ich hab combofix durchlaufen lassen bis das fenster mit der logdatei aufging.Dann hat sich Combofix automatisch geschlossen.Sonst habe ich nichts gemacht. Die Firewall ist zwar unter Windows/Software noch zu sehen aber anscheinend nicht mehr lauffähig.Ich denke deshalb komme ich auch nicht mehr ins Netz. Ich gehe über einen Router ins Net aber Lan kein WLan |
Dann deinstalliere die Firewall, der Router hat eine Hardwarefirewall, PFWs sind völlig sinnfrei und stellen nur ein zusätzliches Sicherheitsrisiko dar. Zitat:
|
Ok ich deinstalliere jetzt die Firewall. Die Reparartur habe ich durchgeführt erbrachte aber kein Erfolg.Bekomme die Meldung Reparatur nicht möglich. |
Starte nach der Deinstallation den Rechner neu. Dann sollte es wieder funktionieren. ciao, andreas |
Genau.Funktioniert wieder.Bin jetzt mit dem infizierten Rechner online. |
Der rechner ist definitiv schneller.Watt nun? |
1.) Deinstalliere:
3.)Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
wenn ich die datei auf combofix ziehe passiert nix |
Versuche es mal mit der rechten Maustaste. ciao, andreas |
Also ich hab jetzt die Textdatei auf Combofix gezogen und dann Combofix mit Doppelklick gestartet,weiß nich b das jetzt so richtig war.Abe hier die Logdatei: ComboFix 09-07-14.08 - Claudi&Jens 18.07.2009 20:47.2.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.217 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Claudi&Jens\Desktop\ComboFix.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2009-06-18 bis 2009-07-18 )))))))))))))))))))))))))))))) . 2009-07-18 09:39 . 2009-07-18 09:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-18 09:38 . 2009-07-18 18:13 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-07-18 09:38 . 2009-07-18 18:13 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-18 09:28 . 2009-07-18 09:28 -------- d-----w- C:\rsit 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\Malwarebytes 2009-07-12 13:19 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-12 13:19 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-12 13:13 . 2009-07-12 13:13 -------- d-----w- c:\programme\CCleaner 2009-07-12 13:06 . 2009-07-18 18:11 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-18 18:13 . 2006-04-29 10:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-07-18 14:37 . 2008-03-08 06:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-18 09:21 . 2006-12-24 11:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-07-11 17:41 . 2006-04-28 23:03 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-11 16:07 . 2007-05-28 17:06 -------- d-----w- c:\programme\DriveCrypt Plus Pack 2009-07-06 19:10 . 2008-03-08 06:40 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-06-12 14:04 . 2006-04-29 07:50 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-06-11 16:11 . 2007-04-09 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft 2009-06-11 07:42 . 2008-07-14 18:56 -------- d-----w- c:\programme\DivX 2009-06-11 07:41 . 2009-06-11 07:41 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-06-01 09:04 . 2007-04-22 12:54 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-25 12:01 . 2009-05-25 12:01 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll 2009-05-21 22:55 . 2009-02-12 17:31 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\U3 2009-05-09 17:32 . 2009-03-07 19:14 1 ----a-w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll 2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll 2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll 2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll 2009-07-18 13:56 . 2009-07-11 17:36 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2006-05-03 10:06 . 2008-08-13 08:04 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2008-08-13 08:04 31232 --sh--r- c:\windows\system32\msfDX.dll 2007-12-17 13:43 . 2008-08-13 08:04 27648 --sh--w- c:\windows\system32\Smab0.dll . ((((((((((((((((((((((((((((( SnapShot@2009-07-18_15.33.12 ))))))))))))))))))))))))))))))))))))))))) . + 2009-07-18 18:31 . 2009-07-18 18:31 16384 c:\windows\Temp\Perflib_Perfdata_2c0.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-01-04 1937408] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RegisterDropHandler"="c:\programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE" [1998-07-08 22528] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-30 4603904] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "LiveMonitor"="c:\programme\MSI\Live Update 3\LMonitor.exe" [2005-07-11 482816] "InstantAccess"="c:\programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE" [1998-07-08 37376] "Ext2 Volume Manager"="c:\programme\Ext2Fsd\Ext2Mgr.exe" [2007-12-21 1178768] "EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2006-04-29 505319] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-04-29 65536] "UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-01 148888] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-09-30 921600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ abylonsoft Module aktivieren.lnk - c:\programme\abylonsoft\SAWipe\SAWipe.EXE [2007-9-25 1248080] Action Manager 32.lnk - c:\programme\ScannerU\AM32.exe [2003-1-1 57344] InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-4-29 126976] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rbadzm] [BU] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadza.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "WinampAgent"=c:\programme\Winamp\winampa.exe "SAFEHOME HotKeys"=c:\programme\Steganos Safe Home\SteganosHotKeyService.exe "SAFEHOME Agent"=c:\programme\Steganos Safe Home\SteganosAgent.exe "SoundMan"=SOUNDMAN.EXE "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\aEton CommunicaEor\\CommunicaEtor.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"= "c:\\Programme\\FileZilla FTP Client\\filezilla.exe"= "c:\\Programme\\Ahead\\Nero ShowTime\\ShowTime.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1900:TCP"= 1900:TCP:Home Media Server R0 dcpp2k;dcpp2k;c:\windows\system32\drivers\dcpp2k.sys [29.07.2007 08:28 770496] R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [08.02.2008 17:34 628224] R1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver];c:\windows\system32\drivers\sleen14.sys [08.11.2006 15:19 72480] R2 apmSAWCtrl;apm - SAW control service;c:\programme\abylonsoft\SAWipe\SAWCtrlSer.EXE [25.09.2007 17:28 217424] R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;c:\programme\DriveCrypt Plus Pack\DCPP2Svc.exe [29.07.2007 08:28 150976] R2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [29.04.2006 12:12 21906] R2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [29.04.2006 12:12 25442] S1 DCR;DCR;\??\c:\programme\DriveCrypt Plus Pack\DCR.Sys --> c:\programme\DriveCrypt Plus Pack\DCR.Sys [?] S1 rbadza;RAMDAC GPU Controller;c:\windows\system32\rbadza.sys --> c:\windows\system32\rbadza.sys [?] S2 BulkUsb;Plustek USB Scanner;c:\windows\system32\drivers\usbscan.sys [01.01.2003 01:18 15104] S2 kmvjg;kmvjg;\??\c:\windows\system32\drivers\irnxyogc.sys --> c:\windows\system32\drivers\irnxyogc.sys [?] S3 MPCSYS;MPCSYS;c:\windows\system32\drivers\mpcsys.SYS [29.04.2006 11:27 15360] . . ------- Zusätzlicher Suchlauf ------- . uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Mozilla Firefox\plugins\NPMCult3DP.dll FF - plugin: c:\windows\system32\Cult3D\NPMCult3DP.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-18 20:55 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ASFWHide] "ImagePath"="\??\c:\dokume~1\CLAUDI~1\LOKALE~1\Temp\ASFWHide" . Zeit der Fertigstellung: 2009-07-18 21:02 ComboFix-quarantined-files.txt 2009-07-18 19:02 ComboFix2.txt 2009-07-18 15:44 Vor Suchlauf: 11 Verzeichnis(se), 33.777.360.896 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 33.768.927.232 Bytes frei 204 --- E O F --- 2009-02-03 02:00 |
Nein, irgendetwas ist falsch. Hat die Datei den richtigen Namen? Sie muss das Symbol einer Textdatei haben und den Namen cfscript. Falls du alle Dateiendungen angezeigt bekommst, dann muss sie cfscript.txt heißen. Mausklick rechts auf cfscript => Eigenschaften => Was steht oben im weißen Feld? ciao, andreas |
Ist schon richtig da steht:cfscript.txt Ich hab jetzt die Textdaei nochmal neu erstellt.Funzt trotzdem nich |
Lösche die Datei und kopiere dir die von mir im Anhang auf den Desktop und versuche es nochmal. ciao, andreas |
Geht auch nicht.Aber warte mal ich sehe gerade das Spybot noch da ist.Ich deinstalliere mal.Komisch bin mir sicher das ich es runtergeschmissen hab. Keine Änderung. |
:heulen: Lies hier => http://www.trojaner-board.de/408463-post8.html (1. Absatz) ciao, andreas Edit: Mache einen Neustart => Nochmal probieren |
Das gibts doch net.Warum geht das nicht. Ich habe alles gelesen bin aber jetzt etwas verunsichert was du mir damit sagen willst? |
Zitat:
1.) Deaktiviere den Wächter von Avira. 2.) Packe den Ordner c:\qoobox mit Rar oder Zip, lade das Archiv bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als Private Nachricht. 3.) Aktiviere den Wächter von Avira. 4.) Start => Ausführen => combofix /u => OK 5.) Lade dir ein neues Combofix auf deinen Desktop und versuche es noch einmal. ciao, andreas |
Geht einfach net.Ich glaub ich bin zu blöd ne Datei von A nach B zu :kloppen: |
Letzter Versuch, ansonsten machen wir das mit Avenger. 1.) Markiere den Text in der Box. Code: combofix "%userprofile%\desktop\cfscript.txt"3.) Start => Ausführen => [Strg]v => OK ciao, andreas |
Er sucht jetzt wieder nach infizierten Dateien macht es sinn avira zu deinstallieren? Wenn ich combofix starte sagt er mir immer das der guard und avira aktiv sind obwohl ich deaktiviert habe. |
Laufenlassen. ciao, andreas |
Fedisch:ComboFix 09-07-14.08 - Claudi&Jens 18.07.2009 22:40.4.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.172 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Claudi&Jens\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Claudi&Jens\desktop\cfscript.txt AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\windows\Tasks\1-Klick-Wartung.job" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinBredolabB.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk1.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk10.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk11.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk12.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk13.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk14.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk15.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk16.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk17.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk18.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk19.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk2.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk20.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk21.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk22.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk23.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk24.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk25.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk26.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk27.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk28.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk29.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk3.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk30.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk31.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk32.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk33.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk34.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk35.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk36.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk37.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk38.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk39.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk4.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk40.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk41.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk42.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk43.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk44.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk45.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk46.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk47.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk48.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk49.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk5.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk50.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk51.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk52.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk53.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk54.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk55.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk56.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk57.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk58.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk59.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk6.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk7.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk8.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk9.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\SUPERAntiSpyware.com c:\programme\Gemeinsame Dateien\Wise Installation Wizard c:\programme\Gemeinsame Dateien\Wise Installation Wizard\WISDED53B0BB67C4244AE6AD6FD3C28D1EF_7_1_0_10.MSI c:\programme\Gemeinsame Dateien\Wise Installation Wizard\WISF34D9A5F484A4E31A9D3908CB265B289_5_6_2808.MSI c:\programme\Spybot - Search & Destroy c:\programme\Spybot - Search & Destroy\Help\Deutsch.chm c:\programme\SUPERAntiSpyware C:\rsit c:\rsit\info.txt c:\rsit\log.txt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_KMVJG -------\Legacy_RBADZA -------\Legacy_SASDIFSV -------\Legacy_SASENUM -------\Legacy_SASKUTIL -------\Service_kmvjg -------\Service_rbadza ((((((((((((((((((((((( Dateien erstellt von 2009-06-18 bis 2009-07-18 )))))))))))))))))))))))))))))) . 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\Malwarebytes 2009-07-12 13:19 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-12 13:19 . 2009-07-12 13:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-12 13:19 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-12 13:13 . 2009-07-12 13:13 -------- d-----w- c:\programme\CCleaner 2009-07-12 13:06 . 2009-07-18 18:11 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-18 09:21 . 2006-12-24 11:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-07-11 17:41 . 2006-04-28 23:03 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-11 16:07 . 2007-05-28 17:06 -------- d-----w- c:\programme\DriveCrypt Plus Pack 2009-06-12 14:04 . 2006-04-29 07:50 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-06-11 16:11 . 2007-04-09 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft 2009-06-11 07:42 . 2008-07-14 18:56 -------- d-----w- c:\programme\DivX 2009-06-11 07:41 . 2009-06-11 07:41 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-06-01 09:04 . 2007-04-22 12:54 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-25 12:01 . 2009-05-25 12:01 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll 2009-05-21 22:55 . 2009-02-12 17:31 -------- d-----w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\U3 2009-05-09 17:32 . 2009-03-07 19:14 1 ----a-w- c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll 2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll 2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll 2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll 2009-07-18 13:56 . 2009-07-11 17:36 137208 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2006-05-03 10:06 . 2008-08-13 08:04 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2008-08-13 08:04 31232 --sh--r- c:\windows\system32\msfDX.dll 2007-12-17 13:43 . 2008-08-13 08:04 27648 --sh--w- c:\windows\system32\Smab0.dll . ((((((((((((((((((((((((((((( SnapShot@2009-07-18_20.18.58 ))))))))))))))))))))))))))))))))))))))))) . + 2009-07-18 20:49 . 2009-07-18 20:49 16384 c:\windows\temp\Perflib_Perfdata_508.dat . ((((((((((((((((((((((((((((((((((((((( System Restore ))))))))))))))))))))))))))))))))))))))))))))))))))) . 29.04.2006 09:55 110592 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\ComponentLauncher.exe 29.04.2006 09:55 110592 \RP360\A0052230.exe 29.04.2006 10:10 2457600 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\Photoshop Album Starter Edition.exe 29.04.2006 10:10 2457600 \RP360\A0052229.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-01-04 1937408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RegisterDropHandler"="c:\programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE" [1998-07-08 22528] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-30 4603904] "LiveMonitor"="c:\programme\MSI\Live Update 3\LMonitor.exe" [2005-07-11 482816] "InstantAccess"="c:\programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE" [1998-07-08 37376] "Ext2 Volume Manager"="c:\programme\Ext2Fsd\Ext2Mgr.exe" [2007-12-21 1178768] "EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2006-04-29 505319] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-04-29 65536] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ abylonsoft Module aktivieren.lnk - c:\programme\abylonsoft\SAWipe\SAWipe.EXE [2007-9-25 1248080] Action Manager 32.lnk - c:\programme\ScannerU\AM32.exe [2003-1-1 57344] InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-4-29 126976] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\aEton CommunicaEor\\CommunicaEtor.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"= "c:\\Programme\\FileZilla FTP Client\\filezilla.exe"= "c:\\Programme\\Ahead\\Nero ShowTime\\ShowTime.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1900:TCP"= 1900:TCP:Home Media Server R0 dcpp2k;dcpp2k;c:\windows\system32\drivers\dcpp2k.sys [29.07.2007 08:28 770496] R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [08.02.2008 17:34 628224] R1 SLEE_14_DRIVER;Steganos Live Encryption Engine 14 [Driver];c:\windows\system32\drivers\sleen14.sys [08.11.2006 15:19 72480] R2 apmSAWCtrl;apm - SAW control service;c:\programme\abylonsoft\SAWipe\SAWCtrlSer.EXE [25.09.2007 17:28 217424] R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;c:\programme\DriveCrypt Plus Pack\DCPP2Svc.exe [29.07.2007 08:28 150976] R2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [29.04.2006 12:12 21906] R2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [29.04.2006 12:12 25442] S1 DCR;DCR;\??\c:\programme\DriveCrypt Plus Pack\DCR.Sys --> c:\programme\DriveCrypt Plus Pack\DCR.Sys [?] S2 BulkUsb;Plustek USB Scanner;c:\windows\system32\drivers\usbscan.sys [01.01.2003 01:18 15104] S3 MPCSYS;MPCSYS;c:\windows\system32\drivers\mpcsys.SYS [29.04.2006 11:27 15360] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - WEBNTACCESS *Deregistered* - WEBNTACCESS . . ------- Zusätzlicher Suchlauf ------- . uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Mozilla Firefox\plugins\NPMCult3DP.dll FF - plugin: c:\windows\system32\Cult3D\NPMCult3DP.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-18 22:50 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\BRSS01A.EXE c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-07-18 23:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-07-18 21:01 ComboFix2.txt 2009-07-18 20:23 Vor Suchlauf: 11 Verzeichnis(se), 34.000.666.624 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 33.905.704.960 Bytes frei 284 --- E O F --- 2009-02-03 02:00 |
Das sieht doch schon viel besser aus. :) 1.) Start => Ausführen => combofix /u => OK 2.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas |
Hier die Lg von Kaspersky: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Sonntag, 19. Juli 2009 02:19:02 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 18/07/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2489756 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ B:\ C:\ D:\ E:\ F:\ G:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 76412 Viren gefunden: 2 Infizierte Objekte gefunden: 2 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 02:18:22 Name des infizierten Objekts / Virusname / Letzte Aktion C:\BootAuth0.sys Das Objekt ist gesperrt übersprungen C:\BootAuth1.sys Das Objekt ist gesperrt übersprungen C:\BootAuth2.sys Das Objekt ist gesperrt übersprungen C:\BootAuth3.sys Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\signons.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpace.db.shadow Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\f2l0q0qb.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\temp\etilqs_suSPQsnpmPoRusY5AIx0 Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Claudi&Jens\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{59CCD03E-627C-42E0-8CE3-64353203CE39}\RP361\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WNK3GN0F\ed3[1].exe Infizierte Objekte: Trojan.Win32.Runner.fa übersprungen C:\WINDOWS\system32\config\TuneUp.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\temp\Perflib_Perfdata_508.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen F:\Nokia\Ngage\COD\system\libs\ECOM.DLL Infizierte Objekte: Trojan.SymbOS.Blocker.a übersprungen F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
Die Logdatei von Prevx ist viel zu lang.Kann ich Sie per PN schicken? |
Nein, aber du kannst sie bei einem Filehoster hochladen (z.B. www.materialordner.de) und hier den Link posten. 1.) Lade die Datei Code: F:\Nokia\Ngage\COD\system\libs\ECOM.DLL2.) Säubere dein System mit CCleaner. ciao, andreas |
Guten Morgen Andreas,Hier erst mal der Link zum Prevx Log: http://www.materialordner.de/24JEGv8...uvGZup2Mg.html Die Datei habe ich dir hochgeladen und ccleaner ausgeführt. |
Hast du gesehen? Prevx hat angeblich Teile/Dateien von meinem DriveCryptPlus Festplattenverschl. Proggi als Malware erkannt???? |
Ja. :D Da würde ich mir wirklich keine Gedanken machen. :) Prevx ist dafür bekannt, dass sie viele Dinge als gefährlich erkennen, die harmlos sind, dafür tatsächliche Schädlinge dann nicht. So gleicht sich das dann aus. :D Prevx ist aber häufig vorne mit dabei, wenn es um neue Schädlinge geht, deshalb setzen wir es ein, aber nehmen nicht jeden Fund wirklich ernst. Wenn ein Treiber, den du seit ca. 100 Jahren auf dem Rechner hast, plötzlich schädlich sein soll, dann kann das nur eine Falschmeldung sein. Genau wie der Fund von Kaspersky. Hier die VT-Auswertung: Code: Datei ECOM.DLL empfangen 2009.07.19 08:23:11 (UTC)Klicke auf den vorletzten Link in meiner Signatur und du findest: Zitat:
Habe ich schon erwähnt, dass ich kein Antivirenprogramm benutze? :D Einen noch, dann sind wir durch: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
So da bin ich wieder.War wirklich ne schwere Geburt mit ActiveScan. Hat ne ewigkeit gedauert.Hier nun der Log: Code: ;*********************************************************************************************************************************************************************************** |
Klicke auf Editieren und füge vor dem Pandabericht ein [ code] ein (ohne Leerzeichen) und nach dem Bericht ein [ /code] ein (auch ohne Leerzeichen). ciao, andreas Edit: Irgendwie bin ich jetzt stinkend sauer, nach all der Arbeit und dann das. :koch: Zitat:
Zitat:
Zitat:
Hier geht es weiter => http://www.trojaner-board.de/51262-a...sicherung.html Du bist entlassen und ich bin raus, andreas Edit: Ich wollte dich schon zu Anfang wegen deines Nicks fragen, ob damit Muadib (Held aus "Der Wüstenplanet") gemeint ist, aber jetzt ist es ja wohl eher mohhadieb |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board