Trojaner-Board - Backdoor.Win32.Shark und Trojan.Agent.IRC

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Backdoor.Win32.Shark und Trojan.Agent.IRC (https://www.trojaner-board.de/77837-backdoor-win32-shark-trojan-agent-irc.html)

Backdoor.Win32.Shark und Trojan.Agent.IRC

Hallo Leute,

Ich hab gestern 2 zweifelhafte Dateien einfach mal so bei h**p://virusscan.jotti.org/de
und
h**p://www.virustotal.com/de/ hochgeladen und gescannt.

Datei 1:
-virustotal
Hier haben 8 von 41 Scannern was gefunden. Laut CAT-QuickHeal ist es: Trojan.Agent.IRC
-Bei jotti gab es keine Ergebnisse!

Datei 2:
-jotti
2 Scanner sagen es ist: Backdoor.Win32.Shark bzw. Backdoor.Win32.Shark!IK
-virustotal
Hier wird es von 3 Scannern bestätigt.

Die erste Datei hab ich gelöscht, da ich sie nicht wirklich brauchte.
Bei der zweiten Datei ist es halt so, dass ich sie schon gerne behalten würde. Aber da sie verseucht ist, weiss ich nicht was ich machen soll :confused:
Könnte ich die Datei vlt behalten und sie evt unschädlich machen?

Habe dann mein System mit CCleaner gescannt, dann mit Malwarebytes-Anti-Malware und zuletzt RSIT durchgeführt!

Log von Anti-Malware:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2862
Windows 6.0.6002 Service Pack 2

26.09.2009 17:31:12
mbam-log-2009-09-26 (17-31-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 304929
Laufzeit: 30 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\Desktop\super_pi_mod-1.5\super_pi_mod.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.

Hier der Log von RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Medved at 2009-09-26 18:20:18
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 179 GB (60%) free of 300 GB
Total RAM: 4094 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:19, on 26.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\LG Soft India\forteManager\bin\Monitor.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe
C:\Program Files (x86)\Razer\DeathAdder\razertra.exe
C:\Program Files (x86)\Razer\DeathAdder\razerofa.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Medved\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\Medved.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {8a194578-81ea-4850-9911-13ba2d71efbd} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DeathAdder] "C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe"
O4 - HKLM\..\Run: [EVGAPrecision] "C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: forteManager.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9f312f1eca762) (gupdate1c9f312f1eca762) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6880 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8a194578-81ea-4850-9911-13ba2d71efbd} ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"DeathAdder"=C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe [2007-09-07 159744]
"EVGAPrecision"=C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe [2009-04-28 44048]
"ISUSScheduler"=C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [2004-04-13 69632]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1555968]
"ISUSPM Startup"=C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [2004-04-17 196608]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
forteManager.lnk - C:\Program Files (x86)\LG Soft India\forteManager\bin\Monitor.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"BindDirectlyToPropertySetStorage"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a875614-2f2e-11de-bdb7-00248c01f889}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b4ad5d-a62a-11de-8643-00248c01f889}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da91eb12-3e27-11de-a8dd-00248c01f889}]
shell\Auto\command - F:\tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\tbytfyhgv.exe

======List of files/folders created in the last 1 months======

2009-09-26 17:36:38 ----D---- C:\Program Files (x86)\trend micro
2009-09-26 17:36:37 ----D---- C:\rsit
2009-09-26 16:52:43 ----D---- C:\Users\Medved\AppData\Roaming\Malwarebytes
2009-09-26 16:52:39 ----D---- C:\ProgramData\Malwarebytes
2009-09-26 16:52:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2009-09-26 16:46:08 ----D---- C:\Program Files (x86)\CCleaner
2009-09-26 11:34:23 ----SHD---- C:\Config.Msi
2009-09-26 00:26:51 ----D---- C:\ProgramData\Kaspersky Lab
2009-09-26 00:26:05 ----D---- C:\ProgramData\Kaspersky Lab Setup Files
2009-09-17 17:12:34 ----D---- C:\Program Files (x86)\NVIDIA Corporation
2009-09-16 13:49:16 ----A---- C:\Program Files (x86)\uninstall.exe
2009-09-16 13:49:15 ----D---- C:\Program Files (x86)\HELP
2009-09-16 12:28:48 ----D---- C:\Windows\PLAYXPERT In-Game Platform
2009-08-29 13:26:30 ----A---- C:\Program Files (x86)\fraps64.dll
2009-08-29 13:25:52 ----A---- C:\Program Files (x86)\fraps.dll
2009-08-29 13:24:48 ----A---- C:\Program Files (x86)\fraps.exe
2009-08-29 13:19:36 ----A---- C:\Windows\system32\frapsvid.dll
2009-08-29 13:19:04 ----A---- C:\Program Files (x86)\frapslcd.dll
2009-08-29 07:15:26 ----A---- C:\Program Files (x86)\changes.txt

======List of files/folders modified in the last 1 months======

2009-09-26 18:15:43 ----D---- C:\Windows\Temp
2009-09-26 17:39:36 ----D---- C:\Windows\System32
2009-09-26 17:39:36 ----D---- C:\Windows\inf
2009-09-26 17:38:17 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-09-26 17:36:43 ----D---- C:\Windows\Prefetch
2009-09-26 17:36:38 ----D---- C:\Program Files (x86)
2009-09-26 17:34:32 ----D---- C:\ProgramData\NVIDIA
2009-09-26 16:52:40 ----D---- C:\Windows\system32\drivers
2009-09-26 16:52:39 ----HD---- C:\ProgramData
2009-09-26 16:47:49 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-09-26 16:47:44 ----D---- C:\Windows\Minidump
2009-09-26 16:47:44 ----D---- C:\Windows\Debug
2009-09-26 16:47:44 ----D---- C:\Windows
2009-09-26 11:35:29 ----SHD---- C:\Windows\Installer
2009-09-26 00:26:30 ----SHD---- C:\System Volume Information
2009-09-20 19:02:22 ----D---- C:\Users\Medved\AppData\Roaming\dvdcss
2009-09-20 12:25:46 ----SD---- C:\Users\Medved\AppData\Roaming\Microsoft
2009-09-19 21:45:23 ----D---- C:\Program Files (x86)\Electronic Arts
2009-09-19 21:36:04 ----RSD---- C:\Windows\assembly
2009-09-18 17:55:50 ----RD---- C:\Program Files
2009-09-17 21:10:05 ----D---- C:\Users\Medved\AppData\Roaming\Folding@home-gpu
2009-09-17 17:12:11 ----D---- C:\Windows\Help
2009-09-17 17:11:53 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2009-09-17 17:11:45 ----D---- C:\Program Files (x86)\AGEIA Technologies
2009-09-17 17:11:43 ----D---- C:\Windows\SysWOW64
2009-09-16 22:06:15 ----D---- C:\Users\Medved\AppData\Roaming\vlc
2009-09-16 20:25:18 ----D---- C:\Windows\Microsoft.NET
2009-09-16 12:46:52 ----D---- C:\Windows\Tasks
2009-09-16 12:46:50 ----D---- C:\Windows\registration
2009-09-16 12:09:38 ----D---- C:\Windows\winsxs

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [2007-12-17 14392]
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 DAdderFltr;DeathAdder Mouse; C:\Windows\system32\drivers\dadder.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x64.sys []
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
S3 cpuz132;cpuz132; \??\C:\Windows\system32\drivers\cpuz132_x64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys [2007-09-07 12744]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 LGDDCDevice;LGDDCDevice; \??\C:\Program Files (x86)\LG Soft India\forteManager\bin\I2CDriver.sys [2008-03-27 14336]
S3 LGII2CDevice;LGII2CDevice; \??\C:\Program Files (x86)\LG Soft India\forteManager\bin\PII2CDriver.sys [2008-03-27 13312]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 SANDRA;SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3a\WNt500x64\Sandra.sys []
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2009-09-15 185089]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-08-17 239648]
S2 gupdate1c9f312f1eca762;Google Update Service (gupdate1c9f312f1eca762); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-06-22 133104]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2009-03-29 89920]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]

-----------------EOF-----------------

Dein System ist fest in fremder Hand.
Aus diesem Grund sollte es erst mal umgehend (!) vom Netz genommen werden.
Weiteres folgt....

Hallo und :hallo:

Da kann ich mich fast nur noch anschließen. Du hast dich sehr wahrscheinlich über dein Laufwerk F: infiziert. Sollte es sich um einen externen Datenträger handeln, dann solltest du vor der Neuinstallation unbedingt den Datenträger säubern, denn andernfalls kann auch nach Neuinstallation eine sofortige Neuinfizierung anstehen.

Das Problem ist jedoch, dass du zusätzlich noch Vista 64bit hast, da versagen fast alle unsere Tools. :(

Die Funde von VT lesen sich wie RAT's. Wenn das keine Falschmeldungen sind, dann ist da nichts mehr zu retten. Falls du die Daten noch hast, dann lade sie bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

Hey

Erstmal Danke für eure Antworten :daumenhoc

Also es stimmt, F is meine usb Festplatte. Wie kann ich sie säubern, wenn ich sie als backup Festplatte benutzt hab? Irgenwelche Tools?

Ich will win 7 installieren, wens es rauskommt. Stellt sich die frage ob ich jetzt alles platt machen soll, oder warten bis zum Release, da Vista sowieso weg kommt.
Was stellen die Schadprogramme an?
Ich mein, wenns nix Schlimmes ist würd ich halt noch warten.
Was denkt ihr dazu?:confused:

Dazu müsste ich wissen, was

Zitat:

c:\windows\system32\wcxvcfcaz.exe
F:\tbytfyhgv.exe

genau ist und macht. Sieht zumindest ziemlich ungesund aus. Entweder bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html oder bei VT auswerten lassen. Lies dir das hier vorher als Warnung durch => http://www.trojaner-board.de/77802-p...tzt-wurde.html

ciao, andreas

Hey

Also kann keine von den beiden Dateien finden????

Mit diesem Rechner gehst du keine Sekunde mehr ans Netz.
Entweder jetzt sofort platt machen oder bis Ende Oktober ohne Internet leben.

Das mit Polizeibekanntschaft ist kein Horrorszenario.
.
Ich bekam erst vorletzte Woche nen Rechner rein auf dem 1,5 GB Fremddaten drauf waren. Manche Dateinamen ließen nichts gutes Vermuten.
Auf mein Anraten macht die Polizei davon grad ein Image zur Beweissicherung- vor dem Plätten.

Daß du diese Dateien jetzt nicht so einfach findest ist mir auch klar.... sie sind aber wirklich da.

OK
Bin jetz am PC von meinen Eltern.
Was soll ich machen?
Warten bis win 7 rauskommt und dann PC neumachen, solange off line bleiben?

Kann ich vlt auch kurz hijack log file von dem PC machen, weil ich habe ne schlimme vermutung..

Falls dein Rechner jetzt erledigt ist, dann ja, ansonsten gibt es Konfusionen. Im HJT-Log sind mittlerweile nur noch "ungefährliche" Schädlinge zu entdecken, besser sind RSIT- und Gmer-Logs.

ciao, andreas

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-26 23:26:40
Windows 6.0.6001 Service Pack 1
Running: vncj0xyj.exe; Driver: C:\Users\***\AppData\Local\Temp\kwddypog.sys

---- System - GMER 1.0.15 ----

SSDT 8B40F284 ZwCreateThread
SSDT 8B40F270 ZwOpenProcess
SSDT 8B40F275 ZwOpenThread
SSDT 8B40F27F ZwTerminateProcess
SSDT 8B40F27A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInsertQueue + 411 820A69C8 4 Bytes [84, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 5E1 820A6B98 4 Bytes [70, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 5FD 820A6BB4 4 Bytes [75, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 811 820A6DC8 4 Bytes [7F, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 871 820A6E28 4 Bytes [7A, F2, 40, 8B]

---- EOF - GMER 1.0.15 ----

+

Logfile of random's system information tool 1.06 (written by random/random)
Run by miro at 2009-09-26 23:34:59
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 18 GB (23%) free of 78 GB
Total RAM: 3071 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:00, on 26.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\mobsync.exe
C:\Users\miro\Downloads\RSIT.exe
C:\Program Files\trend micro\miro.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4127 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0124123D-61B4-456f-AF86-78C53A0790C5}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-07-08 13535776]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-08-27 6281760]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google EULA Launcher]
c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe [2008-05-28 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [2005-05-11 200069]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\Windows\system32\NvMcTray.dll [2008-07-08 92704]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e52bc5ea-b4df-11dd-89d4-0021859b276c}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2d50d7f-454d-11de-b55e-0021859b276c}]
shell\Auto\command - tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tbytfyhgv.exe

======List of files/folders created in the last 1 months======

2009-09-26 23:32:46 ----D---- C:\rsit
2009-09-26 23:32:46 ----D---- C:\Program Files\trend micro

======List of files/folders modified in the last 1 months======

2009-09-26 23:34:55 ----D---- C:\Windows\Temp
2009-09-26 23:34:47 ----D---- C:\Windows\System32
2009-09-26 23:34:47 ----D---- C:\Windows\inf
2009-09-26 23:34:47 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-09-26 23:32:58 ----D---- C:\Windows\Prefetch
2009-09-26 23:32:46 ----RD---- C:\Program Files
2009-09-26 22:09:22 ----SHD---- C:\System Volume Information
2009-09-14 21:12:03 ----D---- C:\Program Files\Mozilla Firefox

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2009-05-28 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2009-05-28 52056]
R3 CLEDX;Team H2O CLEDX service; C:\Windows\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-08-27 2163032]
R3 NVENETFD;NVIDIA nForce 10/100/1000 Mbps Ethernet ; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2008-07-08 1050656]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-07-08 7468672]
R3 nvsmu;nvsmu; C:\Windows\system32\DRIVERS\nvsmu.sys [2008-07-22 15872]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S2 Nsynas32;Nsynas32; C:\Windows\system32\drivers\Nsynas32.sys [2001-04-09 17784]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 EagleNT;EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys []
S3 ENTECH;ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.sys [2008-04-22 27672]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S4 ahcix86s;ahcix86s; C:\Windows\system32\drivers\ahcix86s.sys [2008-05-27 173576]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 iaStor;Intel AHCI Controller; C:\Windows\system32\drivers\iastor.sys [2007-09-30 308248]
S4 JRAID;JRAID; C:\Windows\system32\drivers\jraid.sys [2008-04-03 76688]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-07-08 118784]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler; C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe [2008-04-25 303104]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 UPnPService;UPnPService; C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]

-----------------EOF-----------------

Hm, da gibt es haufenweise Anzeichen für Schädlinge, obwohl die Logs wesentlich kürzer als deine sind.

Zitat:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [2005-05-11 200069]

Lies die Userbewertungen, vor allem die Roten => cledx.exe Windows Prozess - Was ist das?

Zitat:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E 1~1.DLL [2006-10-27 2210608]

Gefällt mir nicht!

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e52bc5ea-b4df-11dd-89d4-0021859b276c}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

Eindeutig Schädling.

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{f2d50d7f-454d-11de-b55e-0021859b276c}]
shell\Auto\command - tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tbytfyhgv.exe

Der auch. :(

Zitat:

S3 EagleNT;EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys []

Ich habe bis heute nicht herausgefunden, wozu der eigentlich gut ist, deshalb halte ich den für einen Schädling! Ich lösche den ungefragt weg, also wenn du Bereinigung möchtest, dann würde ich sehr viel Löschen. Die Entscheidung liegt bei dir.

ciao, andreas

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

hey
vielen dank für deine schnellen antworten. :daumenhoc
bin jetzt müde, muss schlafen gehen!

echt klasse hier :daumenhoc:daumenhoc

hallo

1.also hab erstmal ccleaner ausgeführt, jedoch konnte ich einen wert nich löschen. (bei registry) steht zwar da gelöscht, doch wenn ich wieder analysieren mach kommt er wieder. manuell gehts auch net.
es geht um das hier:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

2.hab dann combofix ausgeführt. keine ahnung obs normal ist, aber ich konnte danach (als der scan fertig war und log file auch) mozilla nicht öffnen. textdateien öffnen ging auch net.

nach einem neustart gehts wieder.

hier der log:

ComboFix 09-09-25.01 - miro 27.09.2009 20:00.1.4 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3071.2128 [GMT 2:00]
ausgeführt von:: c:\users\miro\Desktop\cofi.exe.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3799233008-322220570-2943533575-500

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 18:03 . 2009-09-27 18:03 -------- d-----w- c:\users\miro\AppData\Local\temp
2009-09-27 18:03 . 2009-09-27 18:03 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-27 17:48 . 2009-09-27 17:48 -------- d-----w- c:\program files\CCleaner
2009-09-27 17:37 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-27 17:37 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\programdata\Avira
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\program files\Avira
2009-09-26 22:29 . 2008-06-20 01:14 43544 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2009-09-26 22:29 . 2008-06-20 01:14 105016 ----a-w- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 97800 ----a-w- c:\windows\system32\infocardapi.dll
2009-09-26 22:29 . 2008-06-20 01:14 11264 ----a-w- c:\windows\system32\icardres.dll
2009-09-26 22:29 . 2008-06-20 01:14 622080 ----a-w- c:\windows\system32\icardagt.exe
2009-09-26 22:29 . 2008-06-20 01:14 781344 ----a-w- c:\windows\system32\PresentationNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 326160 ----a-w- c:\windows\system32\PresentationHost.exe
2009-09-26 22:24 . 2008-07-27 18:03 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-09-26 22:24 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-09-26 22:24 . 2008-07-27 18:03 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-09-26 22:24 . 2008-07-27 18:03 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-09-26 22:24 . 2008-07-27 18:03 83968 ----a-w- c:\windows\system32\mscories.dll
2009-09-26 22:22 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-09-26 22:22 . 2008-09-05 05:14 1191936 ----a-w- c:\windows\system32\msxml3.dll
2009-09-26 22:22 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-09-26 22:22 . 2008-10-29 06:29 2927104 ----a-w- c:\windows\explorer.exe
2009-09-26 22:22 . 2008-08-12 03:39 443392 ----a-w- c:\windows\system32\win32spl.dll
2009-09-26 22:22 . 2008-12-16 02:42 288768 ----a-w- c:\windows\system32\drivers\srv.sys
2009-09-26 22:22 . 2008-08-02 03:26 36864 ----a-w- c:\windows\system32\cdd.dll
2009-09-26 22:22 . 2008-08-02 01:01 625152 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2009-09-26 22:22 . 2008-06-26 03:29 565248 ----a-w- c:\windows\system32\emdmgmt.dll
2009-09-26 22:22 . 2008-06-26 03:29 45056 ----a-w- c:\windows\system32\dataclen.dll
2009-09-26 22:22 . 2008-06-23 01:59 996352 ----a-w- c:\windows\system32\WMNetMgr.dll
2009-09-26 22:22 . 2008-06-23 01:58 94720 ----a-w- c:\windows\system32\logagent.exe
2009-09-26 22:19 . 2008-09-10 03:40 1334272 ----a-w- c:\windows\system32\msxml6.dll
2009-09-26 22:10 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll
2009-09-26 22:08 . 2009-09-26 22:08 -------- d-----w- c:\program files\MSXML 4.0
2009-09-26 22:06 . 2009-07-11 19:32 513024 ----a-w- c:\windows\system32\wlansvc.dll
2009-09-26 22:05 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-09-26 21:53 . 2008-10-16 21:13 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-09-26 21:53 . 2008-10-16 21:09 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-09-26 21:53 . 2008-10-16 21:09 43544 ----a-w- c:\windows\system32\wups2.dll
2009-09-26 21:53 . 2008-10-16 20:56 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-09-26 21:53 . 2008-10-16 21:12 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-09-26 21:53 . 2008-10-16 21:08 34328 ----a-w- c:\windows\system32\wups.dll
2009-09-26 21:53 . 2008-10-16 20:55 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-09-26 21:53 . 2008-10-16 12:08 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-09-26 21:53 . 2008-10-16 11:56 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-09-26 21:32 . 2009-09-26 21:34 -------- d-----w- c:\program files\trend micro
2009-09-26 21:32 . 2009-09-26 21:33 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-27 17:58 . 2008-01-21 07:15 618204 ----a-w- c:\windows\system32\perfh007.dat
2009-09-27 17:58 . 2008-01-21 07:15 122636 ----a-w- c:\windows\system32\perfc007.dat
2009-08-14 17:01 . 2009-09-26 22:07 900168 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-08-14 17:01 . 2009-09-26 22:07 220232 ----a-w- c:\windows\system32\drivers\netio.sys
2009-08-14 17:01 . 2009-09-26 22:07 98376 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2009-08-14 16:29 . 2009-09-26 22:07 104960 ----a-w- c:\windows\system32\netiohlp.dll
2009-08-14 16:29 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\netevent.dll
2009-08-14 16:23 . 2009-09-26 22:07 438272 ----a-w- c:\windows\system32\IKEEXT.DLL
2009-08-14 16:22 . 2009-09-26 22:07 595456 ----a-w- c:\windows\system32\FWPUCLNT.DLL
2009-08-14 16:21 . 2009-09-26 22:07 328704 ----a-w- c:\windows\system32\BFE.DLL
2009-08-14 14:16 . 2009-09-26 22:07 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:16 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-08-14 14:16 . 2009-09-26 22:07 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-08-14 14:16 . 2009-09-26 22:07 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-08-14 14:16 . 2009-09-26 22:07 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-08-14 14:16 . 2009-09-26 22:07 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:16 . 2009-09-26 22:07 10240 ----a-w- c:\windows\system32\finger.exe
2009-07-18 16:06 . 2009-09-26 22:23 827904 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 16:01 . 2009-09-26 22:23 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 09:46 . 2009-09-26 22:23 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-14 13:00 . 2009-09-26 22:23 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-14 12:59 . 2009-09-26 22:23 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-07-14 12:58 . 2009-09-26 22:23 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-07-14 10:59 . 2009-09-26 22:23 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-07-11 19:32 . 2009-09-26 22:06 302592 ----a-w- c:\windows\system32\wlansec.dll
2009-07-11 19:32 . 2009-09-26 22:06 293376 ----a-w- c:\windows\system32\wlanmsm.dll
2009-07-11 19:29 . 2009-09-26 22:06 127488 ----a-w- c:\windows\system32\L2SecHC.dll
2008-01-21 02:23 . 2008-01-21 02:23 397312 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6001.18000_none_f1582d884fb532fb\WinMail.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-08 13535776]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-08-27 6281760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-702522488-2701614414-2124737649-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F249D3F9-6227-4A94-BA5E-E7E5C5227FBF}"= UDP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{E7AE5B6E-4C34-4B79-B2C3-A93D251CFF47}"= TCP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{D495D6BD-0262-4FA6-AEFA-C9AAF62E5A7F}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{8FA11A77-22E6-415B-A3AC-6997309DEE60}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F6A995D6-2A37-46F4-AE71-EFDEBC2E5A50}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F825675E-2CFE-4647-95F4-46CB287B6185}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A903B04E-C3CA-4012-BD6A-503BF634FA7B}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [27.09.2009 19:37 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\System32\drivers\cledx.sys [13.11.2008 18:23 33792]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [30.09.2008 12:28 544768]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\miro\AppData\Roaming\Mozilla\Firefox\Profiles\xq36ed1h.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
HKU-Default-Run-fsc-reg - c:\fsc-reg\fscreg.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 20:03
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-09-27 20:04
ComboFix-quarantined-files.txt 2009-09-27 18:04

Vor Suchlauf: 13 Verzeichnis(se), 17.775.009.792 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 17.614.774.272 Bytes frei

147 --- E O F --- 2009-09-26 22:52

Sieht nicht so schlimm aus, wie befürchtet.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

EagleNT
 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e52bc5ea-b4df-11dd-89d4-0021859b276c}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2d50d7f-454d-11de-b55e-0021859b276c}]
 

Folder::

C:\rsit
 

File::

c:\windows\system32\perfh007.dat

c:\windows\system32\perfc007.dat

C:\WINDOWS\system32\wcxvcfcaz.exe

C:\WINDOWS\wcxvcfcaz.exe

C:\WINDOWS\system32\tbytfyhgv.exe

C:\WINDOWS\tbytfyhgv.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hab leider vergessen meine hdd anzuschliesssen:headbang:
hab dann scan unterbrochen.

jetzt einfach nochmal des mitm editor und dann aufs icon schieben?

Zitat:

jetzt einfach nochmal des mitm editor und dann aufs icon schieben?

Ja.

ciao, andreas

hier der log: :)

ComboFix 09-09-25.01 - miro 27.09.2009 21:30.3.4 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3071.2177 [GMT 2:00]
ausgeführt von:: c:\users\miro\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\users\miro\Desktop\cfscript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\perfc007.dat"
"c:\windows\system32\perfh007.dat"
"c:\windows\system32\tbytfyhgv.exe"
"c:\windows\system32\wcxvcfcaz.exe"
"c:\windows\tbytfyhgv.exe"
"c:\windows\wcxvcfcaz.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EAGLENT
-------\Service_EagleNT

((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 19:33 . 2009-09-27 19:35 -------- d-----w- c:\users\miro\AppData\Local\temp
2009-09-27 19:33 . 2009-09-27 19:33 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-09-27 19:33 . 2009-09-27 19:33 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-27 17:48 . 2009-09-27 17:48 -------- d-----w- c:\program files\CCleaner
2009-09-27 17:37 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-27 17:37 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\programdata\Avira
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\program files\Avira
2009-09-26 22:29 . 2008-06-20 01:14 43544 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2009-09-26 22:29 . 2008-06-20 01:14 105016 ----a-w- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 97800 ----a-w- c:\windows\system32\infocardapi.dll
2009-09-26 22:29 . 2008-06-20 01:14 11264 ----a-w- c:\windows\system32\icardres.dll
2009-09-26 22:29 . 2008-06-20 01:14 622080 ----a-w- c:\windows\system32\icardagt.exe
2009-09-26 22:29 . 2008-06-20 01:14 781344 ----a-w- c:\windows\system32\PresentationNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 326160 ----a-w- c:\windows\system32\PresentationHost.exe
2009-09-26 22:24 . 2008-07-27 18:03 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-09-26 22:24 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-09-26 22:24 . 2008-07-27 18:03 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-09-26 22:24 . 2008-07-27 18:03 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-09-26 22:24 . 2008-07-27 18:03 83968 ----a-w- c:\windows\system32\mscories.dll
2009-09-26 22:22 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-09-26 22:22 . 2008-09-05 05:14 1191936 ----a-w- c:\windows\system32\msxml3.dll
2009-09-26 22:22 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-09-26 22:22 . 2008-10-29 06:29 2927104 ----a-w- c:\windows\explorer.exe
2009-09-26 22:22 . 2008-08-12 03:39 443392 ----a-w- c:\windows\system32\win32spl.dll
2009-09-26 22:22 . 2008-12-16 02:42 288768 ----a-w- c:\windows\system32\drivers\srv.sys
2009-09-26 22:22 . 2008-08-02 03:26 36864 ----a-w- c:\windows\system32\cdd.dll
2009-09-26 22:22 . 2008-08-02 01:01 625152 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2009-09-26 22:22 . 2008-06-26 03:29 565248 ----a-w- c:\windows\system32\emdmgmt.dll
2009-09-26 22:22 . 2008-06-26 03:29 45056 ----a-w- c:\windows\system32\dataclen.dll
2009-09-26 22:22 . 2008-06-23 01:59 996352 ----a-w- c:\windows\system32\WMNetMgr.dll
2009-09-26 22:22 . 2008-06-23 01:58 94720 ----a-w- c:\windows\system32\logagent.exe
2009-09-26 22:19 . 2008-09-10 03:40 1334272 ----a-w- c:\windows\system32\msxml6.dll
2009-09-26 22:10 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll
2009-09-26 22:08 . 2009-09-26 22:08 -------- d-----w- c:\program files\MSXML 4.0
2009-09-26 22:06 . 2009-07-11 19:32 513024 ----a-w- c:\windows\system32\wlansvc.dll
2009-09-26 22:05 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-09-26 21:53 . 2008-10-16 21:13 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-09-26 21:53 . 2008-10-16 21:09 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-09-26 21:53 . 2008-10-16 21:09 43544 ----a-w- c:\windows\system32\wups2.dll
2009-09-26 21:53 . 2008-10-16 20:56 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-09-26 21:53 . 2008-10-16 21:12 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-09-26 21:53 . 2008-10-16 21:08 34328 ----a-w- c:\windows\system32\wups.dll
2009-09-26 21:53 . 2008-10-16 20:55 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-09-26 21:53 . 2008-10-16 12:08 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-09-26 21:53 . 2008-10-16 11:56 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-09-26 21:32 . 2009-09-26 21:34 -------- d-----w- c:\program files\trend micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-14 17:01 . 2009-09-26 22:07 900168 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-08-14 17:01 . 2009-09-26 22:07 220232 ----a-w- c:\windows\system32\drivers\netio.sys
2009-08-14 17:01 . 2009-09-26 22:07 98376 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2009-08-14 16:29 . 2009-09-26 22:07 104960 ----a-w- c:\windows\system32\netiohlp.dll
2009-08-14 16:29 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\netevent.dll
2009-08-14 16:23 . 2009-09-26 22:07 438272 ----a-w- c:\windows\system32\IKEEXT.DLL
2009-08-14 16:22 . 2009-09-26 22:07 595456 ----a-w- c:\windows\system32\FWPUCLNT.DLL
2009-08-14 16:21 . 2009-09-26 22:07 328704 ----a-w- c:\windows\system32\BFE.DLL
2009-08-14 14:16 . 2009-09-26 22:07 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:16 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-08-14 14:16 . 2009-09-26 22:07 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-08-14 14:16 . 2009-09-26 22:07 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-08-14 14:16 . 2009-09-26 22:07 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-08-14 14:16 . 2009-09-26 22:07 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:16 . 2009-09-26 22:07 10240 ----a-w- c:\windows\system32\finger.exe
2009-07-18 16:06 . 2009-09-26 22:23 827904 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 16:01 . 2009-09-26 22:23 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 09:46 . 2009-09-26 22:23 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-14 13:00 . 2009-09-26 22:23 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-14 12:59 . 2009-09-26 22:23 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-07-14 12:58 . 2009-09-26 22:23 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-07-14 10:59 . 2009-09-26 22:23 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-07-11 19:32 . 2009-09-26 22:06 302592 ----a-w- c:\windows\system32\wlansec.dll
2009-07-11 19:32 . 2009-09-26 22:06 293376 ----a-w- c:\windows\system32\wlanmsm.dll
2009-07-11 19:29 . 2009-09-26 22:06 127488 ----a-w- c:\windows\system32\L2SecHC.dll
2008-01-21 02:23 . 2008-01-21 02:23 397312 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6001.18000_none_f1582d884fb532fb\WinMail.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_18.03.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2009-09-27 18:50 31546 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-09-27 18:50 76878 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-11-07 13:50 . 2009-09-27 18:50 8738 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-702522488-2701614414-2124737649-1000_UserData.bin
- 2006-11-02 10:33 . 2009-09-27 17:58 586980 c:\windows\System32\perfh009.dat
+ 2006-11-02 10:33 . 2009-09-27 18:54 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-09-27 17:58 101052 c:\windows\System32\perfc009.dat
+ 2006-11-02 10:33 . 2009-09-27 18:54 101052 c:\windows\System32\perfc009.dat
- 2006-11-02 10:22 . 2009-09-27 17:36 6291456 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2006-11-02 10:22 . 2009-09-27 18:05 6291456 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-08 13535776]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-08-27 6281760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-702522488-2701614414-2124737649-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F249D3F9-6227-4A94-BA5E-E7E5C5227FBF}"= UDP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{E7AE5B6E-4C34-4B79-B2C3-A93D251CFF47}"= TCP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{D495D6BD-0262-4FA6-AEFA-C9AAF62E5A7F}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{8FA11A77-22E6-415B-A3AC-6997309DEE60}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F6A995D6-2A37-46F4-AE71-EFDEBC2E5A50}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F825675E-2CFE-4647-95F4-46CB287B6185}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A903B04E-C3CA-4012-BD6A-503BF634FA7B}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [27.09.2009 19:37 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\System32\drivers\cledx.sys [13.11.2008 18:23 33792]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [30.09.2008 12:28 544768]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\miro\AppData\Roaming\Mozilla\Firefox\Profiles\xq36ed1h.default\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 21:35
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-27 21:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-27 19:38
ComboFix2.txt 2009-09-27 18:04

Vor Suchlauf: 16 Verzeichnis(se), 17.520.676.864 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 18.040.553.472 Bytes frei

179 --- E O F --- 2009-09-26 22:52

Noch zwei Kontrollscans, dann sollten wir durch sein.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

zu 1:
PrevXCSI sagt system sei clean ....

zu 2:
Hab mich ausversehen doch registriert, zum glück aber mit meiner "wegwerf" email adresse :)
wer lesen kann ist im vorteil :uglyhammer:

scan gemacht, PC sei auch nicht infiziert.
dennoch 2 verdächtige dateien.

hier der log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-27 22:39:30
PROTECTIONS: 1
MALWARE: 0
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWorld\NV_o2o_Teilnehmer_DE.exe
No M:\games\FIFA 08\CommonEASO\EASOInstaller.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Das sieht gut aus. :daumenhoc

1.) Start => Ausführen => combofix /u => OK

2.) Deinstalliere/lösche alle Programme, die wir eingesetzt haben.

3.) Poste ein aktuelles HJT-Log.

ciao, andreas

1. ging nicht. oder was soll ich da auswählen?
2. erledigt
3.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:59, on 27.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 2953 bytes

Zitat:

1. ging nicht. oder was soll ich da auswählen?

Wenn du es genau so machst, dann wird ComboFix deinstalliert. Falls es kein Ausführen gibt, dann führe hier die ersten Schritte aus => http://www.trojaner-board.de/72647-b...ktivieren.html

Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere:

Code:

Alle R0, R1, O2, O3, O8 und O9-Einträge

=> Fix checked

Da gehört noch SP2 und MSIE8 installiert.

Du bist entlassen. :)

ciao, andreas

hey
habs raus, combofix is gelöscht :singsing:

fix checked hab ich auch gemacht.

sp2 installier ich die tage noch!
aber warum MSIE8? FF is doch standard.

und ehh, meinst du das system ist jetzt wieder in ordnung? alles bösewichte weg?

und noch was:
bei running processe steht ja C:\Program Files\Windows Media Player\wmplayer.exe
ist aber deinstaliert und wird eh nicht benutzt?

und was ist das:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

Zitat:

aber warum MSIE8?

Weil er nunmal dazugehört und auch dann aktuell gehalten werden muss, wenn du ihn nicht benutzt.

Zitat:

und ehh, meinst du das system ist jetzt wieder in ordnung? alles bösewichte weg?

Ja.

Zitat:

ist aber deinstaliert

Sachen von MS richtig zu deinstallieren ist nicht so einfach. :)

Zitat:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

Irgendein Programm für deine Nvidia-Grafikkarte. Kannst es ja testweise fixen, neustarten und gucken, was sich geändert hat.

ciao, andreas

hey
vielen dank für deine arbeit :daumenhoc
jetz is der PC meiner eltern zumindest sauber :Boogie:
echt super von dir!!!!

:dankeschoen:

hab aber noch fragen:
1. IE8 soll ich installieren. Aber wenn ich ihn nicht will und nicht benutze..trotzdem pflicht?
2. warum kann ich nicht "meinen" PC säubern wie es bei diesem gemacht worden ist?
etwa weil die progs nicht 64-bit sind?

Zitat:

trotzdem pflicht?

Ja. Die Software aktuell zu halten gilt für alle installierte Software. Ganz besonders für Betriebssystemdateien.

Zitat:

warum kann ich nicht "meinen" PC säubern wie es bei diesem gemacht worden ist?

Falls du ComboFix zum Laufen bekommst, dann können wir es versuchen. :) Empfehlen würde ich dir das aber nicht.

ciao, andreas

kann ich ihn den IE auch restlos entfernen?

wenn jetzt eig. alles sauber ausser meinem computer ist, frag ich mich wie ich vor dem formatieren (was ja die einzige vernünftige möglichkeit ist? ) die paar daten sichern kann. ich mein wenn ich meine usb hdd anschliess kanns doch sein das sie gleich wieder verseucht wird, oder? davon hätte ich dann nix :(

Zitat:

kann ich ihn den IE auch restlos entfernen?

Möglich ist das schon, aber ganz sicher nicht zu Empfehlen. Bspw. funktioniert dann die Windowshilfe nicht mehr oder Programme bekommst du nicht mehr installiert, weil einige Programme sich darauf verlassen, dass er da ist. :)

Zitat:

was ja die einzige vernünftige möglichkeit ist?

Es ist die schnellste und sicherste Lösung. :daumenhoc

Zitat:

kanns doch sein das sie gleich wieder verseucht wird

Das kannst du vermeiden, wenn du

a) Beim Anschließen des externen Laufwerks die Shift-Taste festhältst (das vermeidet das Autoplay) oder grundsätzlich die Autoplayfunktion deaktivierst.

b) Alle gesicherten Daten von einem sauberen Rechner aus scannst. Mit mehreren aktuellen Scannern! Geeignete findest du, wenn du in meiner Signatur auf Anleitungen klickst.

ciao, andreas

ok dann werds ich es wohl machen :heulen:
wo kann ich denn die autoplayfunktion deaktivieren?

kann es eigentlich passieren das mein infizierter rechner iwie diesen hier durch den router wieder infiziert oder so was? also beide PCs hängen am router.

Zitat:

wo kann ich denn die autoplayfunktion deaktivieren?

Standard Autoplay Aufruf zurücksetzen
oder
Klicke mir. :)

Zitat:

kann es eigentlich passieren das mein infizierter rechner iwie diesen hier durch den router wieder infiziert oder so was?

Ja. Möglich ist das, aber dann hätte beide Rechner die gleichen Symptome und dem ist ja nicht so.

ciao, andreas

dankeschön
lmgtfy hehe

kann man das generell irgendwie verhindern?

Zitat:

kann man das generell irgendwie verhindern?

Ja. Klicke auf die letzten beiden Links in meiner Signatur und lerne das auswendig und vor Allem, halte dich daran. :)

ciao, andreas

sorry meine frage war schlecht formuliert bzw da fehlte was.

ich mein ob man verhindern kann das viren und co sich per netzwerk verbreiten.

Zitat:

ich mein ob man verhindern kann das viren und co per sich per netzwerk verbreiten.

Du hast es entweder nicht gelesen oder nicht verstanden. :(

Nein, wenn man das Rattengift erstmal gegessen hat, dann ist alles zu spät. Der Trick lautet, kein Rattengift essen!

ciao, andreas

ja schon, aber es geht um was anderes.
also, als ob ich das rattengift essen muss.

Nein.

ciao, andreas

danke nochmal für deine hilfe!!

ich bins nochmal

hab hier nen logfile:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Medved at 2009-09-29 17:31:30
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 182 GB (61%) free of 300 GB
Total RAM: 4094 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:32, on 29.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\LG Soft India\forteManager\bin\Monitor.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe
C:\Program Files (x86)\Razer\DeathAdder\razertra.exe
C:\Program Files (x86)\Razer\DeathAdder\razerofa.exe
C:\Users\Medved\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\Medved.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {8a194578-81ea-4850-9911-13ba2d71efbd} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DeathAdder] "C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe"
O4 - HKLM\..\Run: [EVGAPrecision] "C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: forteManager.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9f312f1eca762) (gupdate1c9f312f1eca762) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6828 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8a194578-81ea-4850-9911-13ba2d71efbd} ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"DeathAdder"=C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe [2007-09-07 159744]
"EVGAPrecision"=C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe [2009-04-28 44048]
"ISUSScheduler"=C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [2004-04-13 69632]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1555968]
"ISUSPM Startup"=C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [2004-04-17 196608]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
forteManager.lnk - C:\Program Files (x86)\LG Soft India\forteManager\bin\Monitor.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"BindDirectlyToPropertySetStorage"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a875614-2f2e-11de-bdb7-00248c01f889}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b4ad5d-a62a-11de-8643-00248c01f889}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da91eb12-3e27-11de-a8dd-00248c01f889}]
shell\Auto\command - F:\tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\tbytfyhgv.exe

======List of files/folders created in the last 1 months======

2009-09-26 17:36:38 ----D---- C:\Program Files (x86)\trend micro
2009-09-26 17:36:37 ----D---- C:\rsit
2009-09-26 16:52:43 ----D---- C:\Users\Medved\AppData\Roaming\Malwarebytes
2009-09-26 16:52:39 ----D---- C:\ProgramData\Malwarebytes
2009-09-26 16:52:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2009-09-26 16:46:08 ----D---- C:\Program Files (x86)\CCleaner
2009-09-26 11:34:23 ----SHD---- C:\Config.Msi
2009-09-26 00:26:51 ----D---- C:\ProgramData\Kaspersky Lab
2009-09-26 00:26:05 ----D---- C:\ProgramData\Kaspersky Lab Setup Files
2009-09-17 17:12:34 ----D---- C:\Program Files (x86)\NVIDIA Corporation
2009-09-16 13:49:16 ----A---- C:\Program Files (x86)\uninstall.exe
2009-09-16 13:49:15 ----D---- C:\Program Files (x86)\HELP
2009-09-16 12:28:48 ----D---- C:\Windows\PLAYXPERT In-Game Platform

======List of files/folders modified in the last 1 months======

2009-09-29 17:31:30 ----D---- C:\Windows\Temp
2009-09-29 17:29:10 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-09-29 17:19:46 ----D---- C:\Windows\Prefetch
2009-09-29 17:00:15 ----D---- C:\Windows\System32
2009-09-29 17:00:14 ----D---- C:\Windows\inf
2009-09-29 16:40:55 ----D---- C:\ProgramData\NVIDIA
2009-09-29 14:03:26 ----SHD---- C:\System Volume Information
2009-09-28 20:00:06 ----D---- C:\Program Files (x86)
2009-09-26 21:50:56 ----D---- C:\Windows
2009-09-26 16:52:40 ----D---- C:\Windows\system32\drivers
2009-09-26 16:52:39 ----HD---- C:\ProgramData
2009-09-26 16:47:49 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-09-26 16:47:44 ----D---- C:\Windows\Minidump
2009-09-26 16:47:44 ----D---- C:\Windows\Debug
2009-09-26 11:35:29 ----SHD---- C:\Windows\Installer
2009-09-20 19:02:22 ----D---- C:\Users\Medved\AppData\Roaming\dvdcss
2009-09-20 12:25:46 ----SD---- C:\Users\Medved\AppData\Roaming\Microsoft
2009-09-19 21:45:23 ----D---- C:\Program Files (x86)\Electronic Arts
2009-09-19 21:36:04 ----RSD---- C:\Windows\assembly
2009-09-18 17:55:50 ----RD---- C:\Program Files
2009-09-17 21:10:05 ----D---- C:\Users\Medved\AppData\Roaming\Folding@home-gpu
2009-09-17 17:12:11 ----D---- C:\Windows\Help
2009-09-17 17:11:53 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2009-09-17 17:11:45 ----D---- C:\Program Files (x86)\AGEIA Technologies
2009-09-17 17:11:43 ----D---- C:\Windows\SysWOW64
2009-09-16 22:06:15 ----D---- C:\Users\Medved\AppData\Roaming\vlc
2009-09-16 20:25:18 ----D---- C:\Windows\Microsoft.NET
2009-09-16 12:46:52 ----D---- C:\Windows\Tasks
2009-09-16 12:46:50 ----D---- C:\Windows\registration
2009-09-16 12:09:38 ----D---- C:\Windows\winsxs

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [2007-12-17 14392]
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 DAdderFltr;DeathAdder Mouse; C:\Windows\system32\drivers\dadder.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x64.sys []
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 cpuz132;cpuz132; \??\C:\Windows\system32\drivers\cpuz132_x64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys [2007-09-07 12744]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 LGDDCDevice;LGDDCDevice; \??\C:\Program Files (x86)\LG Soft India\forteManager\bin\I2CDriver.sys [2008-03-27 14336]
S3 LGII2CDevice;LGII2CDevice; \??\C:\Program Files (x86)\LG Soft India\forteManager\bin\PII2CDriver.sys [2008-03-27 13312]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 SANDRA;SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3a\WNt500x64\Sandra.sys []
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2009-09-15 185089]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-08-17 239648]
S2 gupdate1c9f312f1eca762;Google Update Service (gupdate1c9f312f1eca762); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-06-22 133104]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2009-03-29 89920]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]

-----------------EOF-----------------

hab gestern halt probiert, was zu löschen mit euren programmen da.
will nur wissen ob irgenwas besser ist, oder kein weg an das formatieren vorbeiführt :(