Trojaner-Board - WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover (https://www.trojaner-board.de/79528-winxp-infektion-adware-vundo-variant-msfake-rogue-advancedvirusremover.html)

WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover

Hallo zusammen,

ich habe folgendes Problem.
Gestern kamen beim Besuch eines externen links einer (bis dato vetrauenswürdigen) Seite - noch während des Seitenaufbaus - Update-Meldungen meines Computers (wie schon 1000mal zuvor). Ich weiß nur noch, dass Java sich gemeldet hat und nachdem NortonAV alles als vertrauenswürdig eingestuft hat, habe ich "dummerweise" ohne genaueres Hinsehen auf akzeptieren gedrückt.
Danach ging alles recht schnell. Die Seite stockt im Aufbau, im Hintergrund arbeitet der Rechner und aus der Taskleiste poppt ein recht professionell aussehendes Fenster hoch (in der Taskleiste war ein Symbol, das dem Sicherheitcenter sehr ähnlich sah): Ihr Rechner ist potenziellen Gefährdungen ausgessetzt oder so ähnlich...
Reaktion von Norton gleich null. Dann ist ein Fenster (Advanced Virus Remover aufgegangen) und hat mich mit Meldungen bombardiert und zugegebenermaßen etwas theadralisch meinen Dekstophintergrund durch ein: "your computer is infected" in roten Lettern ersetzt. Da war trotz profesioneller Hülle schnell klar, dass etwas faul sein muss.
Für jedes geschlossene Fenster sind 2 aufgegangen und der Taskmanager war deaktiviert. Habe den Rechner sofort vom Netz genommen und SuperAntiSpyware starten können und nach 2maligen Neustarten hat es folgende Elemente erkannt und unter Quarantäne gesetzt:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 11/17/2009 at 03:37 PM
 

Application Version : 4.29.1004
 

Core Rules Database Version : 4179

Trace Rules Database Version: 2075
 

Scan type       : Quick Scan

Total Scan Time : 00:21:20
 

Memory items scanned      : 799

Memory threats detected   : 1

Registry items scanned    : 204

Registry threats detected : 0

File items scanned        : 0

File threats detected     : 1
 

Adware.Vundo/Variant-MSFake

        C:\WINDOWS\SYSTEM32\WINUPDATE86.EXE

        C:\WINDOWS\SYSTEM32\WINUPDATE86.EXE

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 11/17/2009 at 05:10 PM
 

Application Version : 4.29.1004
 

Core Rules Database Version : 4179

Trace Rules Database Version: 2075
 

Scan type       : Complete Scan

Total Scan Time : 01:16:56
 

Memory items scanned      : 703

Memory threats detected   : 0

Registry items scanned    : 7381

Registry threats detected : 6

File items scanned        : 27157

File threats detected     : 4
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[3].txt
 

Rogue.AdvancedVirusRemover

        HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run#Advanced Virus Remover [ C:\Program Files\AdvancedVirusRemover\AVR.exe ]

        C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Advanced Virus Remover.lnk

        C:\Dokumente und Einstellungen\Besitzer\Desktop\Advanced Virus Remover.lnk

        C:\Dokumente und Einstellungen\Besitzer\Startmenü\Advanced Virus Remover.lnk

        HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR

        HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastVFC

        HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#VirList

        HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastD

        HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastScan

Ich habe währenddesssen in meiner (dezent aufsteigenden) Panik noch meinen USB-Stick angeschlossen, um die aktuellste Version meiner Abschlussarbeit und einige Daten zu sichern (selbstverständlich war der Stick dann auch infiziert...).

Erste Bilanz waren ein ausgetauschter Desktophintergrund, ein deaktivierter Taskmanager und die Tatsache, dass Google-Suchen deaktiviert waren. Ein erster Hijackthis-scan hat dann auch komische Einträge angezeigt (s.u.)

Habe dann die Schritte, die hier im Forum empfohlen werden befolgt:

- CCleaner

- Malwarebytes-Komplettscan (inclusive USB-Stick):

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3189

Windows 5.1.2600 Service Pack 3
 

18.11.2009 00:35:25

mbam-log-2009-11-18 (00-35-06).txt
 

Scan-Methode: Vollständiger Scan (C:\|G:\|H:\|)

Durchsuchte Objekte: 248404

Laufzeit: 2 hour(s), 23 minute(s), 18 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 9

Infizierte Verzeichnisse: 2

Infizierte Dateien: 10
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK (Refog.Keylogger) -> No action taken.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1 (Refog.Keylogger) -> No action taken.
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\itOn.exe (Trojan.FakeAlert) -> No action taken.

C:\System Volume Information\_restore{B83D99E9-7680-465F-992B-EE7BF08FDE2C}\RP501\A0091020.exe (Rogue.Multiple) -> No action taken.

C:\WINDOWS\system32\winhelper86.dll (Trojan.Fakeinit) -> No action taken.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000 (Refog.Keylogger) -> No action taken.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\S0000 (Refog.Keylogger) -> No action taken.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\D0000 (Refog.Keylogger) -> No action taken.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\S0000 (Refog.Keylogger) -> No action taken.

C:\WINDOWS\system32\critical_warning.html (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.

Alle Elemente sind bisher unter Quarantäne gesetzt worden und der Taskmanager funktionniert wieder.

- RSIt.exe: Log-File ist angehängt

Scans heute morgen konnten keine infizierten Elemente mehr finden. Google-Suche funktionniert nach wie vor nicht, was mit den Einträgen zusammenhängt. Wollte vor dem Posting allerdings erstmal nichts manuell verändern.

Meine nächsten Schritte wären erstmal die Datensicherung (nach der Chip.de-Anleitung mit Ubuntu von nem nicht-infizierten System aus...).

Jeder normale Mensch würde mir sicher raten, das System komplett platt zu machen und neu aufzusetzen, allerdings ist jede Menge Software drauf, die ich für meine Abschlussarbeit benötige und an die ich in der Schnelle nicht wieder rankommen werde. Eventuell lässt sich ja kurzfristig doch noch was retten (auch wenn das sicher sehr naiv klingen muss).
Und falls ja, wie schütze ich bis dahin meinen Rechner einigermaßen effektiv ?
Norton hat abgelaufene Virendefinitionen und deinstallieren ist schlecht. Nachdem ich in meinem Institut hinter ner einigermaßen guten Firewall sitze, habe ich fahrlässigerweise keinen Gedanken daran verschwendet (bis gestern...).

Ich hoffe, ich habe alle Informationen gemäß den Forenregeln liefern können und wäre für Hilfe/Ratschläge sehr dankbar :dummguck: .

Grüße

Hallo und Herzlich Willkommen! :)

Zitat:

Zitat von Gonzo (Beitrag 481171)

Norton hat abgelaufene Virendefinitionen und deinstallieren ist schlecht.

Was heißt das genau? Lizenz abgelaufen oder nur Du ihn nicht mit die neueste Updates versorgt?

1.
Lade dir HostsXpert auf dem Desktop speichern & und entpacken

Ordner HostsXpert öffnen.
HostsXpert.exe doppelklicken.
klicke auf Restore Microsoft's Hosts File,dann OK.

2.
Falls noch vorhanden, fixe alle Einträge mit: "O1 - Hosts: "
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

4.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

5.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

7.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

kannst Du das Log von Gmer bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Hallo Coverflow =),

vielen herzlichen Dank für die Antwort erstmal. Meine kommt mit etwas Verspätung, da der Rechner bis auf weiteres erstmal vom Netz genommen wurde.

Also:

Die Norton-Lizenz war seit ca. 2 Monaten ausgelaufen und ich war am Zögern, ob ich sie verlängern soll oder doch lieber ein anderes AV installiere. Das wollte ich eigentlich mit dem Wiederaufsetzen des Systems in nem Monat oder so erledigen. Hätte ich es besser mal verlängert :headbang: .
Habe Norton jetzt erstmal mit dem offiziellen Removal-Tool entfernt und Avast (free edition) installiert. Natürlich alles offline und von externen Medien. Avast hat dann einen Scan im abgesicherten Modus durchgeführt und nichts finden können.

Desweiteren wurden ausführliche Scans mit SpyBot, SuperAntiSpyWare, dem MalwarebytesTool und Prevx gemacht und es konnten keine weiteren Infizierungen festgestellt werden.

Dann habe ich die Punkte von deiner Checkliste abgearbeitet:

1. Hostexpert: wurde runtergeladen und teilt mir folgende Fehlermeldung mit:

Error: Can’t create file C:\Windows\system32\drivers\ETC\hosts

2. Die O1 Host – Einträge wurden gefixt und Google und Yahoo-Suche funktioniert wieder
einwandfrei

3. HijackThis-File:

Code:

   

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:23:25, on 26.11.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Prevx\prevx.exe

C:\WINDOWS\system32\hasplms.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Carl Zeiss\MTB 2004\MTB Server Console\MTBService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Programme\Logitech\Video\LogiTray.exe

C:\Programme\Unlocker\UnlockerAssistant.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\neuf telecom\neuf Box\Wizard\QuickAccess.exe

C:\Programme\Lexmark X1100 Series\lxbkbmon.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Logitech\Video\FxSvr2.exe

C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.*

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe 

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Programme\neuf telecom\neuf Box\Wizard\QuickAccess.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258560667281

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: Google Update Service (gupdate1c9f7e577e6ffee) (gupdate1c9f7e577e6ffee) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: MTB Server (MTBService) - Carl Zeiss - C:\Programme\Carl Zeiss\MTB 2004\MTB Server Console\MTBService.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
 

--

End of file - 11169 bytes

4. Alle Dateien wurden sichtbar gemacht.

5. Filelist - wie gewünscht alle Einträge der letzten 6 Monate:

--> siehe nächster Post...(zwecks Übersichtlichkeit)

6. CCleaner - installierte Programme:

Code:

ABBYY FineReader 5.0 Sprint

AC3Filter (remove only)

Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Illustrator CS

Adobe Photoshop CS

Adobe SVG Viewer 3.0

Apple Software Update

ATI - Dienstprogramm zur Deinstallation der Software

ATI Catalyst Control Center

ATI Display Driver

Avant Browser (remove only)

avast! Antivirus

BioEdit

BSPlayer

Call of Duty

Carl Zeiss AxioVision Rel. 4.7.2

CCleaner

Command & Conquer Generals

Command and ConquerTM Generals Zero Hour

Compatibility Pack for the 2007 Office system

DivX Codec

DivX Converter

DivX Player

DivX Web Player

eMule

EndNote 9 Volume License Edition

G-Force

Google Chrome

Google Earth

High Definition Audio - KB888111

HijackThis 2.0.2

ImageJ 1.36b

Installation de la neuf BOX

ISI ResearchSoft - Export Helper

Java(TM) 6 Update 17

Java(TM) 6 Update 5

Java(TM) 6 Update 7

Lexmark X1100 Series

Logitech Desktop Messenger

Logitech QuickCam-Software

Logitech® Camera-Treiber

LSM Image Browser, Release 4.2

Malwarebytes' Anti-Malware

MATLAB(R) Compiler Runtime 7.8

MediaCoder 0.6.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 German Language Pack

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office XP Standard

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable

Motorola SM56 Data Fax Modem

Mozilla Firefox (3.0.15)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

Nero Suite

No23 Recorder

Oxford Advanced Learner's Dictionary - 7th edition

PC Inspector File Recovery

PowerCinema Linux 4.0

Prevx

Project64 1.6

QUICKfind

QuickTime

RealPlayer

Realtek High Definition Audio Driver

Rhapsody Player Engine

SA30xx Device Manager

SA30xx Media Converter

Skype™ 3.8

Spybot - Search & Destroy

StreamPlug Player

SUPERAntiSpyware Free Edition

Synaptics Pointing Device Driver

Unlocker 1.8.7

Van Dale Grote woordenboeken Duits

Vector NTI 9

VeohTV BETA

VideoLAN VLC media player 0.8.6i

Winamp

Windows Genuine Advantage Validation Tool (KB892130)

Windows Internet Explorer 8

Windows Media Format 11 runtime

Windows Media Player 11

Windows XP Service Pack 3

WinRAR

Wolfenstein - Enemy Territory

(bitte keine Kommentare zur "antiken" Spielauswahl...das ist das einzige was vernünftig läuft.. -.-)

7. Gmer - Logfile:

ist angehängt...

Der Rechner läuft einigermaßen gut (dafür, dass er augenblicklich datenmäßig so zugemüllt ist und verschiedene Scan-Programme parallel laufen...).
Einzig allein die Systemauslastung (kurzfristige hohe Peaks) bzw. die Sprünge beim Aufrufen beider Browser (Firefox und Avant) machen mich nach wie vor skeptisch..., wobei ich mir nicht sicher bin, ob das nicht mit der Festplatte zusammenhängt :killpc:

Sollte noch irgendeine Information fehlen, werde ich sie selbstverständlich zügiger nachreichen - die Antwort hat nur so lange auf sich warten lassen, weil ich erstmal meine ganzen Daten sichern wollte/musste.

Vielen Dank im Voraus :)

Menupünkt 6: Filelist:

Code:

    
 
 
 
 

----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\
 

26.11.2009  22:32                43 filelist.txt

26.11.2009  11:37     1.610.612.736 pagefile.sys

17.11.2009  15:07                 1 s

              13 Datei(en)  1.610.918.882 Bytes

               0 Verzeichnis(se),  1.704.374.272 Bytes frei
 
 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\WINDOWS
 

26.11.2009  21:37         1.155.457 WindowsUpdate.log

26.11.2009  11:38                 0 0.log

26.11.2009  11:37               159 wiadebug.log

26.11.2009  11:37                50 wiaservc.log

26.11.2009  11:37             2.048 bootstat.dat

26.11.2009  11:35            32.348 SchedLgU.Txt

26.11.2009  01:42               116 NeroDigital.ini

25.11.2009  03:01             4.048 comsetup.log

25.11.2009  03:01             1.960 iis6.log

25.11.2009  03:01             2.458 ntdtcsetup.log

25.11.2009  03:01             1.393 imsins.log

25.11.2009  03:01               684 ocmsn.log

25.11.2009  03:01             4.718 tsoc.log

25.11.2009  03:01             4.239 KB976098-v2.log

25.11.2009  03:01             5.912 ocgen.log

25.11.2009  03:01               618 msgsocm.log

25.11.2009  03:01            12.366 FaxSetup.log

25.11.2009  03:01             3.043 setupapi.log

25.11.2009  03:01             7.654 KB973687.log

25.11.2009  03:01             1.393 imsins.BAK

25.11.2009  03:01                 0 setuperr.log

25.11.2009  03:01                 0 setupact.log

25.11.2009  03:01               508 updspapi.log

25.11.2009  03:00           314.944 msxml4-KB973688-enu.LOG

20.11.2009  03:02               832 win.ini

18.11.2009  17:28                51 wininit.ini

16.11.2009  16:52            73.728 ALCFDRTM.VER
 
 
 
 
 

----- System  --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\WINDOWS\system
 

25 Datei(en)        929.787 Bytes

               0 Verzeichnis(se),  1.704.353.792 Bytes frei
 
 
 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\WINDOWS\system32
 

25.11.2009  03:01           592.614 TZLog.log

18.11.2009  23:06             3.002 CONFIG.NT

18.11.2009  17:28            53.136 PxSecure.dll

18.11.2009  17:15             2.206 wpa.dbl

18.11.2009  16:00            71.394 perfc009.dat

18.11.2009  16:00           441.458 perfh009.dat

18.11.2009  16:00           459.396 perfh007.dat

18.11.2009  16:00            84.722 perfc007.dat

18.11.2009  16:00         1.070.080 PerfStringBackup.INI

17.11.2009  15:32                 0 18467.exe

12.11.2009  10:17           210.488 FNTCACHE.DAT

05.11.2009  18:36        26.768.832 MRT.exe

04.11.2009  16:29             3.617 jupdate-1.6.0_17-b04.log

28.10.2009  16:07            46.080 tzchange.exe

22.10.2009  10:16         5.939.712 mshtml.dll

15.10.2009  18:01             4.479 jupdate-1.6.0_15-b03.log

11.10.2009  04:17           149.280 javaws.exe

11.10.2009  04:17           145.184 javaw.exe

11.10.2009  04:17           145.184 java.exe

11.10.2009  04:17           411.368 deploytk.dll

11.10.2009  02:14            73.728 javacpl.cpl

15.09.2009  12:59         1.279.968 aswBoot.exe

15.09.2009  12:53            97.480 AvastSS.scr

11.09.2009  15:17           136.192 msv1_0.dll

04.09.2009  22:03            58.880 msasn1.dll

01.09.2009  15:46           282.654 msaud32.acm

29.08.2009  08:54           916.480 wininet.dll

29.08.2009  08:54         1.208.832 urlmon.dll

29.08.2009  08:54           206.848 occache.dll

29.08.2009  08:54            55.296 msfeedsbs.dll

29.08.2009  08:54           594.432 msfeeds.dll

29.08.2009  08:54            25.600 jsproxy.dll

29.08.2009  08:54         1.469.440 inetcpl.cpl

29.08.2009  08:54         1.985.536 iertutil.dll

29.08.2009  08:54           184.320 iepeers.dll

29.08.2009  08:54        11.069.440 ieframe.dll

29.08.2009  08:54           387.584 iedkcs32.dll

28.08.2009  11:35           173.056 ie4uinit.exe

26.08.2009  09:00           247.326 strmdll.dll

20.08.2009  15:09         1.193.832 FM20.DLL

14.08.2009  16:10         1.850.752 win32k.sys

06.08.2009  19:23            17.776 mucltui.dll.mui

06.08.2009  19:23           274.288 mucltui.dll

06.08.2009  19:23           215.904 muweb.dll

06.08.2009  18:24           209.632 wuweb.dll

06.08.2009  18:24           327.896 wucltui.dll

06.08.2009  18:24            18.144 wuaueng.dll.mui

06.08.2009  18:24            44.768 wups2.dll

06.08.2009  18:24           217.816 wuaucpl.cpl

06.08.2009  18:24            35.552 wups.dll

06.08.2009  18:24            15.584 wuapi.dll.mui

06.08.2009  18:24            53.472 wuauclt.exe

06.08.2009  18:24            96.480 cdm.dll

06.08.2009  18:24            15.584 wuaucpl.cpl.mui

06.08.2009  18:24            23.264 wucltui.dll.mui

06.08.2009  18:23           575.704 wuapi.dll

06.08.2009  18:23         1.929.952 wuaueng.dll

05.08.2009  09:59           206.336 mswebdvd.dll

04.08.2009  21:56         2.191.488 ntoskrnl.exe

04.08.2009  18:26         2.068.352 ntkrnlpa.exe

31.07.2009  10:02         1.372.672 msxml6.dll

31.07.2009  05:32         1.172.480 msxml3.dll

21.07.2009  00:05         1.348.432 msxml4.dll

17.07.2009  20:01            58.880 atl.dll

17.07.2009  17:15         1.441.792 query.dll

13.07.2009  22:43           286.208 wmpdxm.dll

13.07.2009  22:43        10.841.088 wmp.dll

29.06.2009  09:40            57.667 ieuinit.inf

25.06.2009  09:25           301.568 kerberos.dll

25.06.2009  09:25            56.832 secur32.dll

25.06.2009  09:25           737.792 lsasrv.dll

25.06.2009  09:25            54.272 wdigest.dll

25.06.2009  09:25           147.456 schannel.dll

22.06.2009  07:45           726.528 jscript.dll

16.06.2009  15:36            81.920 fontsub.dll

16.06.2009  15:36           119.808 t2embed.dll

15.06.2009  11:43            78.848 telnet.exe

10.06.2009  15:13            85.504 avifil32.dll

10.06.2009  08:19         2.066.432 mstscax.dll

10.06.2009  07:14           132.096 wkssvc.dll

03.06.2009  20:09         1.296.896 quartz.dll

20.05.2009  03:56         2.458.112 WMVCore.dll

12.05.2009  09:55             3.774 jupdate-1.6.0_13-b03.log

07.05.2009  16:32           348.160 localspl.dll
 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

26.11.2009  22:32            10.600 FIND.EXE-0EC32F1E.pf

26.11.2009  22:32            10.530 CMD.EXE-087B4001.pf

26.11.2009  22:24            88.654 WINWORD.EXE-259486DA.pf

26.11.2009  22:24            42.796 AVANT.EXE-2445C747.pf

26.11.2009  22:23            32.758 NOTEPAD.EXE-336351A9.pf

26.11.2009  22:23            69.392 WMIPRVSE.EXE-28F301A9.pf

26.11.2009  22:23            87.958 HIJACKTHIS.EXE-39024128.pf

26.11.2009  22:12            25.404 HOSTSXPERT.EXE-229FA78E.pf

26.11.2009  22:12            21.298 VERCLSID.EXE-3667BD89.pf

26.11.2009  22:03            18.726 AGENTSVR.EXE-002E45AB.pf

26.11.2009  21:46             7.382 JQSNOTIFY.EXE-1E60A522.pf

26.11.2009  21:42            55.654 GOOGLEUPDATE.EXE-187AE91D.pf

26.11.2009  21:37            25.088 WUAUCLT.EXE-399A8E72.pf

26.11.2009  20:00            61.192 JAVA.EXE-2167859B.pf

26.11.2009  19:53            64.078 AVAST.SETUP-2B043760.pf

26.11.2009  19:47            70.974 DFRGNTFS.EXE-269967DF.pf

26.11.2009  19:47            16.008 DEFRAG.EXE-273F131E.pf

26.11.2009  19:46           380.324 Layout.ini

26.11.2009  19:18            23.390 IMAPI.EXE-0BF740A4.pf

26.11.2009  19:17            52.538 WINAMP.EXE-08C38ED9.pf

26.11.2009  19:17            20.946 TASKMGR.EXE-20256C55.pf

26.11.2009  15:54            37.286 REALPLAY.EXE-1BF219BD.pf

26.11.2009  12:25           111.136 FIREFOX.EXE-1D57670A.pf

26.11.2009  11:47            69.124 SKYPEPM.EXE-03F1BFBD.pf

26.11.2009  11:47            63.760 SKYPE.EXE-21F19BC8.pf

26.11.2009  11:40            61.134 SETUP.OVR-10EB9DE2.pf

26.11.2009  11:39            64.896 SSUPDATE.EXE-185A370A.pf

26.11.2009  11:39            16.818 OSA.EXE-0082CBE3.pf

26.11.2009  11:39            78.016 CLI.EXE-02B0DB56.pf

26.11.2009  11:39            13.326 LDMCONF.EXE-2E2A6E1D.pf

26.11.2009  11:39             7.612 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf

26.11.2009  11:39            22.292 FXSVR2.EXE-060F7A64.pf

26.11.2009  11:39            11.218 ACROBAT_SL.EXE-0BEB5E3D.pf

26.11.2009  11:39            25.636 TEATIMER.EXE-38E505A8.pf

26.11.2009  11:39            14.870 SUPERANTISPYWARE.EXE-033808EC.pf

26.11.2009  11:39            78.308 MBAM.EXE-11D8BBD8.pf

26.11.2009  11:38            13.070 QUICKACCESS.EXE-04D8AE5B.pf

26.11.2009  11:38            11.176 LXBKBMON.EXE-2C462B38.pf

26.11.2009  11:38            10.966 LOGITRAY.EXE-12374063.pf

26.11.2009  11:38             8.482 LVCOMSX.EXE-0AC1D558.pf

26.11.2009  11:38            23.462 REALSCHED.EXE-0A2A7558.pf

26.11.2009  11:38             9.062 LXBKBMGR.EXE-14B8319B.pf

26.11.2009  11:38            14.134 MANIFESTENGINE.EXE-06F4B0B1.pf

26.11.2009  11:38             8.416 ISSTART.EXE-04190A5C.pf

26.11.2009  11:38             8.586 QTTASK.EXE-2D7EEF34.pf

26.11.2009  11:38             2.648 ACROTRAY.EXE-195EEA28.pf

26.11.2009  11:38            12.878 SYNTPLPR.EXE-0AB61C3B.pf

26.11.2009  11:38             6.324 NEROCHECK.EXE-092C6DFA.pf

26.11.2009  11:38            11.012 SOUNDMAN.EXE-19745A34.pf

26.11.2009  11:38            50.076 PREVX.EXE-208A6FD4.pf

26.11.2009  11:38            70.182 EXPLORER.EXE-082F38A9.pf

26.11.2009  11:38             5.542 ION_INSTALL.EXE-0A509B4F.pf

26.11.2009  11:38            14.018 USERINIT.EXE-30B18140.pf

26.11.2009  11:38            18.502 ATI2EVXX.EXE-19D16EB9.pf

26.11.2009  11:38            10.156 ALCMTR.EXE-235F9538.pf

26.11.2009  11:38            12.500 GOOGLECRASHHANDLER.EXE-2652FEB7.pf

26.11.2009  11:38            12.292 HDASHCUT.EXE-1B000CA9.pf

26.11.2009  11:38         1.319.384 NTOSBOOT-B00DFAAD.pf

26.11.2009  11:35             9.738 WSCNTFY.EXE-1B24F5EB.pf

26.11.2009  11:35            28.542 LOGONUI.EXE-0AF22957.pf

26.11.2009  11:32            21.584 WORDPAD.EXE-1EFCC5C1.pf

26.11.2009  06:29            62.156 HELPSVC.EXE-2878DDA2.pf

26.11.2009  04:12            22.278 DCIBTUMH.EXE-00985333.pf

26.11.2009  04:11            16.606 RUNDLL32.EXE-2DD9023C.pf

26.11.2009  04:11            10.996 LOGON.SCR-151EFAEA.pf

26.11.2009  04:11            38.336 RUNDLL32.EXE-17BD4855.pf

26.11.2009  04:08            51.258 LAUNCHER.EXE-1FC6514E.pf

26.11.2009  04:07            31.260 RUNDLL32.EXE-1407BC61.pf

26.11.2009  04:07            58.442 RUNDLL32.EXE-1C107653.pf

26.11.2009  04:07            27.370 RUNDLL32.EXE-1187FB71.pf

26.11.2009  03:55            39.780 SPYBOTSD.EXE-1D495A65.pf

26.11.2009  02:52            25.962 DIVXSM.EXE-3407AB62.pf

26.11.2009  01:42           109.482 BSPLAYER.EXE-1A722B99.pf

25.11.2009  19:29            14.482 SWDNLD.EXE-233A79B9.pf

25.11.2009  11:48            75.604 ACROBAT.EXE-02E9AE67.pf

25.11.2009  11:46            14.844 ALG.EXE-0F138680.pf

25.11.2009  11:46            19.498 WMIAPSRV.EXE-1E2270A5.pf

25.11.2009  11:46            19.646 ASHWEBSV.EXE-091EF0CF.pf

25.11.2009  11:46            20.086 ASHMAISV.EXE-24E25810.pf

25.11.2009  11:45            13.828 CTFMON.EXE-0E17969B.pf

25.11.2009  03:01            59.694 UPDATE.EXE-16A5D034.pf

25.11.2009  03:00            56.020 UPDATE.EXE-01C2BDCD.pf

25.11.2009  03:00            45.730 MSIEXEC.EXE-2F8A8CAE.pf

25.11.2009  03:00            54.794 MSXML4-KB973688-ENU.EXE-1070C351.pf

24.11.2009  18:21            20.978 OFFPRV10.EXE-04246BC8.pf

23.11.2009  22:36            67.282 SOFTWAREUPDATE.EXE-1E90DF1F.pf

23.11.2009  22:36            19.038 DLLHOST.EXE-205D880D.pf

23.11.2009  12:23            15.158 DIVXCODECVERSIONCHECKER.EXE-06B73480.pf

23.11.2009  12:21            17.304 DUMPREP.EXE-1B46F901.pf

18.11.2009  20:47            72.474 LUCOMS~1.EXE-02DB5950.pf

18.11.2009  20:47            21.654 MSMSGS.EXE-32066BA5.pf

18.11.2009  19:33            44.908 AUPDATE.EXE-089630E1.pf

18.11.2009  17:27            57.454 NAVW32.EXE-2944DF24.pf

              93 Datei(en)      4.798.256 Bytes

               0 Verzeichnis(se),  1.704.235.008 Bytes frei
 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\WINDOWS\tasks
 

26.11.2009  21:42             1.088 GoogleUpdateTaskMachineUA.job

26.11.2009  11:38             1.084 GoogleUpdateTaskMachineCore.job

26.11.2009  11:37                 6 SA.DAT

23.11.2009  22:36               276 AppleSoftwareUpdate.job

  5 Datei(en)          2.519 Bytes

               0 Verzeichnis(se),  1.704.235.008 Bytes Freitag
 

----- Windows/Temp ----------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\WINDOWS\Temp
 

26.11.2009  11:37            16.384 Perflib_Perfdata_d4.dat

26.11.2009  11:37         8.405.015 hlktmp

22.11.2009  18:59            16.384 Perflib_Perfdata_68c.dat

20.11.2009  11:05            16.384 Perflib_Perfdata_690.dat

19.11.2009  11:30            16.384 Perflib_Perfdata_7c0.dat

19.11.2009  11:30            16.384 Perflib_Perfdata_75c.dat

18.11.2009  23:21            16.384 Perflib_Perfdata_78c.dat

18.11.2009  22:52            16.384 Perflib_Perfdata_6c8.dat

               8 Datei(en)      8.519.703 Bytes

               0 Verzeichnis(se),  1.704.230.912 Bytes frei

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 64A8-D28C
 

 Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp
 

26.11.2009  22:31                18 a.wnd.tmp

26.11.2009  22:24            16.384 ~WRF0002.tmp

26.11.2009  22:24             5.498 ~WRS0001.tmp

26.11.2009  22:24               512 ~DFD089.tmp

26.11.2009  22:24               512 ~DFAE01.tmp

26.11.2009  22:24               512 ~DFAAF4.tmp

26.11.2009  22:23           114.688 ~DFB1D.tmp

26.11.2009  20:00             5.838 jusched.log

26.11.2009  19:18            40.960 rtdrvmon.exe

26.11.2009  11:39            16.384 Perflib_Perfdata_e40.dat

26.11.2009  11:39            16.384 Perflib_Perfdata_efc.dat

26.11.2009  11:39             9.437 LVCOMSX.LOG

26.11.2009  11:39            16.384 Perflib_Perfdata_f78.dat

25.11.2009  22:16            32.768 ~DF5517.tmp

25.11.2009  13:31            32.768 ~DF7DC4.tmp

24.11.2009  18:42            32.768 ~DF4692.tmp

23.11.2009  17:13            32.768 ~DF4CE7.tmp

23.11.2009  14:50             5.925 jar_cache8026065279647707326.tmp

23.11.2009  14:49             5.925 jar_cache9071265089214667471.tmp

23.11.2009  14:49             1.081 java_install_reg.log

23.11.2009  09:53            18.734 mod18.tmp

23.11.2009  09:53               420 mod17.tmp

23.11.2009  09:53                34 mod16.tmp

23.11.2009  07:58            32.768 ~DFAA56.tmp

22.11.2009  15:29            32.768 ~DFF036.tmp

20.11.2009  19:44            32.768 ~DFFAB6.tmp

20.11.2009  03:26           169.236 ~WRS0000.tmp

20.11.2009  00:05            32.768 ~DFE49F.tmp

19.11.2009  16:49                69 ~WRD0002.doc

19.11.2009  16:49            16.384 ~WRF0001.tmp

18.11.2009  23:12            11.728 dd_ATL80SP1_KB973923UI2122.txt

18.11.2009  23:12           802.262 dd_ATL80SP1_KB973923MSI2122.txt

18.11.2009  20:54        19.396.228 SymNRT 11-18-2009 20h47m15s.log

18.11.2009  17:28         6.213.584 pvxinst515.exe

15.09.2009  10:42           158.960 SSUPDATE.EXE

09.07.2009  10:30         3.089.408 Ppt0000009.ppt

21.05.2009  18:19         3.089.408 Ppt0000008.ppt

16.05.2009  14:02         3.578.368 Ppt0000007.ppt

16.05.2009  13:11         3.578.368 Ppt0000006.ppt

15.05.2009  13:17         3.578.368 Ppt0000005.ppt

15.05.2009  11:55         3.578.368 Ppt0000004.ppt

15.05.2009  11:53         3.578.368 Ppt0000003.ppt

15.05.2009  11:45         3.578.368 Ppt0000002.ppt

15.05.2009  11:05         3.577.856 Ppt0000001.ppt

15.05.2009  10:59         3.577.856 Ppt0000000.ppt
 

52 Datei(en)     75.605.442 Bytes

               0 Verzeichnis(se),  1.704.230.912 Bytes frei

Logfile-FileList:s.o.

hi

- Rest noch v. Symantec drauf, daher:
Norton Antivirus ZU deinstallieren gehe auf der Symantec-Webseite und suche nach den speziellen Deinstallations-Tools, mit denen die letzten Reste (auch) entfernt werden sollten.
Norton Removal Tool (für alle Produkte ab 2003 bis 2008) von hier herunterladen

- Malwarebytes und SUPERAntiSpyware Free Edition kannst eigentlich schon deinstallieren

1.
- den Quarantäne Ordner überall leeren (Funde löschen) - Antivirus bzw Anti-Spy-Programm usw

2.
BSPlayer
Einen Haken hat die kostenlose Variante des BSPlayers jedoch: Bei der Installation wird das Adware-Modul Whenu Save! installiert, ohne das der BSPlayer nicht ausgeführt werden kann. Dafür gibt es einen deutlichen Punktabzug :cool:

3.

Code:

eMule

Zitat:

Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!

Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)

4.
Die alte Java-Versionen verbleiben auf dem PC...aus Sicherheitsgründen müssen entfernt werden,auch in Zukunft darauf achten )

Code:

Java(TM) 6 Update 5

Java(TM) 6 Update 7

5.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

6.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

7.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

8.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

Du solltest nicht deaktivieren :

Grafiktreibers

Firewall

Antivirenprogramm

Sound

Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:

Code:

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

9.
- 08-09 Einträge - alle mit HJT fixen, bis auf:

Code:

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

10.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:

Code:

O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: Google Update Service (gupdate1c9f7e577e6ffee) (gupdate1c9f7e577e6ffee) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.