Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   explorer.exe startet nicht mehr nach Entfernen von Malware (https://www.trojaner-board.de/81405-explorer-exe-startet-mehr-entfernen-malware.html)

o-gg 07.01.2010 21:45
explorer.exe startet nicht mehr nach Entfernen von Malware
 
Hallo,
bin hier gerade mit meinem Latein am Ende.

Vorgeschichte:
Hatte mir Malware aus irgendeinem Blog eingefangen und in einem schwachen Moment bei Sygate auf Ja geklickt, als sich die verbinden und nachladen wollte.

Danach liefen erstmal die ganzen Browser nicht mehr. Dann mal mit avast und Malwarebytes Anti malware ziemlich wahllos alles gelöscht was verdächtig war.

Danach mit der Windows CD versucht die kaputten .dlls zu reparieren.

Der Rechner läuft jetzt wieder soweit anstandslos. Das Log von HijackThis sieht für mich auch relativ sauber aus, bis auf die sams.exe die ich nicht so recht zu ordnen kann.

Weder Avast noch anti Malwarebytes finden noch irgendwelche verdächtigen Prozesse.

Neu aufsetzen möchte ich den Rechner wenn möglich nicht.

Stand der Dinge:
Explorer.exe startet nicht, und alle Tipps aus der Google suche oder von hier (Falsche registry einträge, oder virus mit gleichen Namen) haben mein Problem bisher nicht getroffen.

Hier mal das Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 21:31:59, on 07.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Wisterer HX\WistererHX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Explorer] "C:\Windows\explorer.exe"
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206047209018
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 6994 bytes
Vielen Dank für eure Hilfe schonmal im Voraus

cosinus 10.01.2010 13:30
Hallo und :hallo:

Zitat:
O4 - HKLM\..\Run: [Explorer] "C:\Windows\explorer.exe"
Dieser Eintrag ist ungewöhnlich. Bitte mal mit Hijackthis fixen. GGf. musst Du die durch Malware manipulierte explorer.exe mit einer originalen Version ersetzen.

Zitat:
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Bitte diesen Dienst mit diesem Befehl löschen: sc delete ICF

Mach danach bitte Logfiles mit RSIT und poste sie hier.

o-gg 11.01.2010 21:40
Zitat:
Zitat von cosinus (Beitrag 494006)
Hallo und :hallo:



Dieser Eintrag ist ungewöhnlich. Bitte mal mit Hijackthis fixen. GGf. musst Du die durch Malware manipulierte explorer.exe mit einer originalen Version ersetzen.



Bitte diesen Dienst mit diesem Befehl löschen: sc delete ICF

Mach danach bitte Logfiles mit RSIT und poste sie hier.
Den explorer.exe eintrag hab ich selbst verursacht.....wollte so um das Problem rumarbeiten...erfolglos. Ist wieder gefixt.

Anbei die Log-files

Vielen Dank schonmal für deine Hilfe im voraus.

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Leviathan at 2010-01-11 21:30:07
Microsoft Windows XP Professional Service Pack 3
System drive C: has 13 GB (27%) free of 50 GB
Total RAM: 1982 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:26, on 11.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Wisterer HX\WistererHX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Leviathan\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\Leviathan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206047209018
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 6630 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]
FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdm2.dll [2007-11-26 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2005-09-27 2635472]
"Cm106Sound"=RunDll32 cm106.cpl,CMICtrlWnd []
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-01-10 385024]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-11-17 577536]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000]
""= []
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"=C:\Programme\Wisterer HX\WistererHX.exe [2008-01-05 2646016]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"ICQ"=C:\Programme\ICQ6\ICQ.exe silent []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-01-10 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=0
"NoViewOnDrive"=0
"NoLogoff"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-01-11 21:30:07 ----D---- C:\rsit
2010-01-11 21:30:07 ----D---- C:\Programme\trend micro
2010-01-06 10:46:51 ----D---- C:\Programme\ICQ6Toolbar
2010-01-06 10:46:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2010-01-06 09:39:15 ----D---- C:\Programme\ICQ6.5
2010-01-05 16:19:20 ----D---- C:\WINDOWS\system32\NtmsData
2010-01-05 15:55:02 ----D---- C:\WINDOWS\system32\appmgmt
2010-01-05 15:54:59 ----SHD---- C:\Config.Msi
2010-01-05 15:36:59 ----D---- C:\Programme\TrendMicro
2010-01-05 11:55:38 ----D---- C:\Programme\Winamp Detect
2010-01-04 23:57:37 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\HpUpdate
2010-01-04 23:57:31 ----D---- C:\WINDOWS\Hewlett-Packard

======List of files/folders modified in the last 1 months======

2010-01-11 21:30:07 ----RD---- C:\Programme
2010-01-11 21:30:05 ----D---- C:\WINDOWS\Prefetch
2010-01-11 21:29:15 ----D---- C:\WINDOWS\Temp
2010-01-11 15:34:48 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-11 06:37:06 ----D---- C:\Programme\Wisterer HX
2010-01-06 18:26:55 ----D---- C:\Programme\Mozilla Firefox
2010-01-06 13:35:06 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\ICQ
2010-01-06 09:40:18 ----D---- C:\Programme\ICQ6
2010-01-05 16:37:09 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-05 16:19:45 ----D---- C:\WINDOWS\system32
2010-01-05 16:19:45 ----D---- C:\WINDOWS
2010-01-05 16:19:43 ----HD---- C:\WINDOWS\inf
2010-01-05 16:19:19 ----D---- C:\WINDOWS\twain_32
2010-01-05 16:19:07 ----SHD---- C:\WINDOWS\Installer
2010-01-05 16:17:39 ----SD---- C:\WINDOWS\Tasks
2010-01-05 15:18:10 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\Skype
2010-01-05 14:55:22 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\Winamp
2010-01-05 14:55:05 ----D---- C:\Programme\Java
2010-01-05 13:10:07 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\skypePM
2010-01-05 11:59:27 ----D---- C:\Programme\Last.fm
2010-01-05 11:56:08 ----D---- C:\Programme\Winamp
2010-01-05 09:34:15 ----RASH---- C:\boot.ini
2010-01-05 09:34:15 ----A---- C:\WINDOWS\win.ini
2010-01-05 09:34:15 ----A---- C:\WINDOWS\system.ini
2010-01-04 23:57:42 ----D---- C:\Programme\Hewlett-Packard
2010-01-04 23:52:05 ----D---- C:\WINDOWS\pss
2010-01-04 17:20:29 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\OpenOffice.org2
2009-12-12 22:55:21 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\gtk-2.0

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408]
R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-01 43520]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560]
R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2008-04-18 21248]
R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys []
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160]
R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2005-09-27 14944]
R2 wg4n;SyGate for NT, wg4n; C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys [2005-09-27 14944]
R2 wg5n;SyGate for NT, wg5n; C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys [2005-09-27 14944]
R2 wg6n;SyGate for NT, wg6n; C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys [2005-09-27 14944]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2007-03-08 4027840]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2008-01-10 2846720]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\drivers\hidusb.sys [2008-04-13 10368]
R3 PdiPorts;Portrait Displays low level device driver; C:\WINDOWS\System32\Drivers\PdiPorts.sys [2006-11-16 15920]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2007-07-12 96384]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792]
S1 fio32;fio32; \??\C:\WINDOWS\system32\drivers\fio32.sys []
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS []
S3 DVBLLC;DVB LLC Service; C:\WINDOWS\System32\Drivers\DVBLLC32.sys [2007-05-21 69504]
S3 FLASHSYS;FLASHSYS; \??\C:\Programme\MSI\Live Update 4\LU4\FLASHSYS.sys []
S3 HabuFltr;Habu Mouse; C:\WINDOWS\system32\drivers\habu.sys [2006-10-23 27776]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-03-09 51024]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-03-09 16080]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-03-09 21456]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 PCASp50;PCASp50 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\PCASp50.sys [2004-10-25 17664]
S3 pdiddcci;DDC/CI monitor; C:\WINDOWS\System32\DRIVERS\pdiddcci.sys [2006-11-16 11776]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS []
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 USBMULCD;USB Multi-Channel Audio Device Interface; C:\WINDOWS\system32\drivers\CM106.sys [2007-07-20 1313792]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472]
S4 vsdatant;vsdatant; C:\WINDOWS\system32\drivers\vsdatant.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-01-15 110592]
R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-01-10 512000]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680]
R2 DTSRVC;Portrait Displays Display Tune Service; C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe [2007-02-01 73728]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-04-09 66872]
R2 SmcService;Sygate Personal Firewall Pro; C:\Programme\Sygate\SPF\smc.exe [2005-09-27 2635472]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920]
S2 fioo32;fioo32; C:\WINDOWS\sYSteM32\SvchOst.eXE [2008-04-14 14336]
S2 SAMS;Scanning Analist Management System; C:\WINDOWS\System32\sams.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-01-15 504104]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-03-09 65795]
S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

-----------------EOF-----------------
Code:
info.txt logfile of random's system information tool 1.06 2010-01-11 21:30:27

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x574f
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Counter-Strike: Source-->"C:\Programme\Steam\steam.exe" steam://uninstall/240
EA Download Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{EF7E931D-DC84-471B-8DB6-A83358095474} /l1031
ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7  -removeonly
EVEREST Home Edition v2.20-->C:\Programme\EVEREST\unins000.exe
forteManager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1883A84D-94AA-432C-9519-FA31B6B118B9}\setup.exe" -l0x7  -removeonly
Free Download Manager 2.5-->"C:\Programme\Free Download Manager\unins000.exe"
FrostWire-->C:\Programme\FrostWire\Uninstall.exe
getPlus(R)_dll-->rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSd.INF, DefaultUninstall
GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
GlobeDigital-->C:\Programme\InstallShield Installation Information\{56F150D4-EA0F-415A-8F08-A4F17B782BCC}\setup.exe -runfromtemp -l0x0407
Half-Life 2: Episode One-->"C:\Programme\Steam\steam.exe" steam://uninstall/380
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840}
HP Deskjet 3740-->msiexec /x{F901CA6D-A074-42D3-A11D-33AAE6FFD0C1}
HP Update-->MsiExec.exe /X{818ABC3C-635C-4651-8183-D0E9640B7DD1}
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
iTunes-->MsiExec.exe /I{B85C4D19-6CEB-48CF-BD98-C887AC8C6F94}
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe"
Liveupdate4-->"C:\Programme\MSI\Live Update 4\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 German Language Pack-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.5.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.14)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSI DigiCell-->MsiExec.exe /I{B15F6758-D185-4377-9F3A-7B30B03E9A97}
MSI Live Update 3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MSI\Live Update 3\Uninst.isu"
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
OpenOffice.org 2.4-->MsiExec.exe /I{1B14B0C3-2D60-477C-A1FE-B88E60948854}
Portal-->"C:\Programme\Steam\steam.exe" steam://uninstall/400
QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
RagnarokOnline-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{27A295AF-334B-495E-9E54-71B77500ED70}\setup.exe" -l0x9  -removeonly
rayman2-->C:\WINDOWS\UbiSoft\SetupUbi.exe -uninstall rayman2
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7  -removeonly
Red Orchestra-->"C:\Programme\Steam\steam.exe" steam://uninstall/1200
RedOrchestra SDK Beta-->"C:\Programme\Steam\steam.exe" steam://uninstall/1220
SDK-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}\setup.exe" -l0x9
Sicherheitsupdate für Windows XP (KB913433)-->C:\WINDOWS\System32\MacroMed\Flash\genuinst.exe C:\WINDOWS\System32\MacroMed\Flash\KB913433.inf
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SoulSeek Client 156c-->"C:\Programme\Soulseek\uninstall.exe"
SPEED-LINK Medusa 5.1 USB-->C:\WINDOWS\System32\Cmeau106.exe /rm /pusb106
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Sygate Personal Firewall Pro-->MsiExec.exe /I{10B446B3-4DF4-4489-A168-8A98F7CD807E}
Team Fortress 2-->"C:\Programme\Steam\steam.exe" steam://uninstall/440
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TVgenial [v3.40]-->C:\Programme\TVgenial\uninstall.exe
TweakXP Tweaking Utility-->C:\Programme\TweakXP\unins000.exe
Vanguard: Saga of Heroes-->C:\Programme\InstallShield Installation Information\{D0B3166F-BBE3-4025-B822-84A4D3D8608E}\ISSetup.exe -runfromtemp -l0x0009 -removeonly
VideoLAN VLC media player 0.8.6f-->C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_C710CEED791003E4D635992B02471584893356A0\amdk8.inf
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe
Wisterer HX 4.2.26-->"C:\Programme\Wisterer HX\unins000.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
You Don't Know Jack 4 1.00-->C:\PROGRA~1\YOUDON~1\Setup.exe /remove
Zylom Games Player Plugin-->"C:\Programme\Zylom Games\UninstallPlugin.exe" --uninstall

======Security center information======

AV: avast! antivirus 4.8.1368 [VPS 100111-0]
FW: Sygate Personal Firewall Pro

======System event log======

Computer Name: XXX
Event Code: 7036
Message: Dienst "avast! Mail Scanner" befindet sich jetzt im Status "Ausgeführt".

Record Number: 32698
Source Name: Service Control Manager
Time Written: 20091118213815.000000+060
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "avast! Mail Scanner" gesendet.

Record Number: 32697
Source Name: Service Control Manager
Time Written: 20091118213814.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.

Record Number: 32696
Source Name: Service Control Manager
Time Written: 20091118213813.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: XXX
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".

Record Number: 32695
Source Name: Service Control Manager
Time Written: 20091118213813.000000+060
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 32694
Source Name: Service Control Manager
Time Written: 20091118213813.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: XXX
Event Code: 102
Message: wuaueng.dll (3224) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 16401
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 100
Message: wuauclt (3224) Das Datenbankmodul 5.01.2600.5512 ist gestartet.

Record Number: 16400
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 101
Message: wuauclt (3136) Das Datenbankmodul wurde beendet.

Record Number: 16399
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 103
Message: wuaueng.dll (3136) SUS20ClientDataStore: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 16398
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:

Computer Name: XXX
Event Code: 102
Message: wuaueng.dll (3136) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 16397
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 43 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=2b01
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip

-----------------EOF-----------------

cosinus 11.01.2010 22:35
Achso, hast Du die älteren Logs von Malwarebytes und Avast noch? Ich muss wissen, welche Dateien bzw. Schädlinge Du da gelöscht hast.

o-gg 12.01.2010 08:05
Hallo,
leider hab ich nicht mehr die ganzen logs, und teilweise auch Sachen manuell gelöscht (ich denke calculator.dll oder exe und noch eins).

Hier mal die logs die ich noch habe.

Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3195
Windows 5.1.2600 Service Pack 3

18.11.2009 23:08:41
mbam-log-2009-11-18 (23-08-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 21711
Laufzeit: 3 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Avast-Log, mehr Meldungen waren nicht vorhanden
Code:
29.10.2009 18:02:07        XXX1636        Sign of "BV:AutoRun-AA [Wrm]" has been found in "C:\WINDOWS\system32\autorun.i" file. 
29.10.2009 18:02:20        XXX1636        Sign of "BV:AutoRun-W" has been found in "C:\WINDOWS\system32\autorun.in" file. 
04.01.2010 09:57:14        XXX1672        Sign of "Win32:Bredolab-AP [Trj]" has been found in "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2P2JYN45\reoi[1].exe" file. 
04.01.2010 09:58:24        XXX1672        Sign of "Win32:Malware-gen" has been found in "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXE943WR\reoh[1].exe" file.

cosinus 12.01.2010 08:11
Ist das Problem mit der explorer.exe immer noch?
Probier mal bitte CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

o-gg 12.01.2010 23:39
So alles soweit befolgt;

hier ist das Logfile. Nach dem Autoneustart, musste ich schonmal nicht explorer.exe manuell starten....teste das morgen früh nochmal, sonst gibts hier noch Knatsch...

Aber schonmal vielen Dank für deine super Hilfe.

Code:
ComboFix 10-01-12.02 - XXX 12.01.2010  23:25:34.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1982.1428 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
AV: avast! antivirus 4.8.1368 [VPS 100112-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sygate Personal Firewall Pro *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\XXX\ntuser.dll
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-1541881402-7597967648-207846606-8613
c:\recycler\S-1-5-21-4710777970-8816730320-379817942-0635
c:\windows\010112010146101105.rx
c:\windows\010112010146120114.xxe
c:\windows\system32\calc.dll
c:\windows\system32\wbem\Performance\WmiApRpl_new.h
c:\windows\system32\wl.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_APPLE_MOBILE_DEVICE
-------\Legacy_FIOO32
-------\Service_Apple Mobile Device
-------\Service_fioo32
-------\Service_SfX


(((((((((((((((((((((((  Dateien erstellt von 2009-12-12 bis 2010-01-12  ))))))))))))))))))))))))))))))
.

2010-01-12 21:53 . 2010-01-12 21:53        --------        d-----w-        c:\programme\CCleaner
2010-01-11 20:30 . 2010-01-11 20:30        --------        d-----w-        C:\rsit
2010-01-11 20:30 . 2010-01-11 20:30        --------        d-----w-        c:\programme\trend micro
2010-01-06 09:46 . 2010-01-06 09:46        --------        d-----w-        c:\programme\ICQ6Toolbar
2010-01-06 09:46 . 2010-01-06 09:46        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-01-06 08:39 . 2010-01-06 09:48        --------        d-----w-        c:\programme\ICQ6.5
2010-01-05 15:19 . 2010-01-05 15:20        --------        d-----w-        c:\windows\system32\NtmsData
2010-01-05 14:37 . 2010-01-05 14:37        388096        ----a-r-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-05 14:36 . 2010-01-05 14:36        --------        d-----w-        c:\programme\TrendMicro
2010-01-05 12:49 . 2010-01-05 13:54        152576        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 12:49 . 2010-01-05 13:54        79488        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-05 10:55 . 2010-01-05 10:55        --------        d-----w-        c:\programme\Winamp Detect
2010-01-04 22:57 . 2010-01-05 06:45        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\HpUpdate
2010-01-04 22:57 . 2010-01-04 22:57        --------        d-----w-        c:\windows\Hewlett-Packard

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 05:37 . 2008-03-25 17:48        --------        d-----w-        c:\programme\Wisterer HX
2010-01-06 12:35 . 2008-03-20 22:31        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ
2010-01-06 08:40 . 2008-03-20 22:31        --------        d-----w-        c:\programme\ICQ6
2010-01-05 14:18 . 2009-12-04 09:22        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype
2010-01-05 13:55 . 2008-03-21 08:23        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2010-01-05 13:55 . 2008-03-30 12:01        --------        d-----w-        c:\programme\Java
2010-01-05 12:10 . 2009-12-04 09:25        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM
2010-01-05 10:59 . 2008-05-07 19:14        --------        d-----w-        c:\programme\Last.fm
2010-01-05 10:56 . 2008-03-21 08:23        --------        d-----w-        c:\programme\Winamp
2010-01-04 22:57 . 2008-04-20 12:31        --------        d-----w-        c:\programme\Hewlett-Packard
2010-01-04 16:20 . 2008-03-30 12:33        1        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-01-04 16:20 . 2008-03-30 12:32        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2009-12-12 21:55 . 2009-05-24 15:02        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0
2009-12-04 09:25 . 2009-12-04 09:25        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2009-12-04 09:21 . 2009-12-04 09:21        --------        d-----r-        c:\programme\Skype
2009-12-04 09:21 . 2009-12-04 09:21        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2009-12-04 09:21 . 2009-12-04 09:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-11-24 23:54 . 2009-10-29 12:22        1280480        ----a-w-        c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-10-29 12:22        93424        ----a-w-        c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2009-10-29 12:22        48560        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-10-29 12:22        23120        ----a-w-        c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-10-29 12:22        27408        ----a-w-        c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-10-29 12:22        97480        ----a-w-        c:\windows\system32\AvastSS.scr
2009-11-22 18:15 . 2009-11-22 18:15        --------        d-----w-        c:\programme\ElsterFormular
2009-11-22 18:15 . 2008-03-20 20:25        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-11-18 22:03 . 2009-11-18 22:03        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-11-18 22:03 . 2009-11-18 22:03        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-11-18 22:03 . 2009-11-18 22:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-18 21:51 . 2008-03-31 21:11        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Free Download Manager
2009-11-04 21:10 . 2009-11-04 21:10        1961720        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-10-17 11:37 . 2008-03-20 20:16        86327        ----a-w-        c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"="c:\programme\Wisterer HX\WistererHX.exe" [2008-01-05 2646016]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2005-09-27 2635472]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAMS]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2009 13:22 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2009 13:22 20560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [06.01.2010 10:46 222968]
S1 fio32;fio32;\??\c:\windows\system32\drivers\fio32.sys --> c:\windows\system32\drivers\fio32.sys [?]
S2 SAMS;Scanning Analist Management System;c:\windows\System32\sams.exe --> c:\windows\System32\sams.exe [?]
S3 DVBLLC;DVB LLC Service;c:\windows\system32\drivers\DVBLLC32.sys [19.04.2008 14:05 69504]
S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [29.10.2009 18:27 9216]
S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [26.03.2008 19:26 1313792]
.
Inhalt des "geplante Tasks" Ordners

2009-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]

2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rgycvk7s.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cm106Sound - cm106.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 23:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3744)
c:\windows\system32\SSSensor.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Sygate\SPF\smc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\RunDll32.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-12  23:35:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-12 22:34

Vor Suchlauf: 11 Verzeichnis(se), 17.821.696.000 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.724.829.696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptOut

- - End Of File - - 9FEA278B841AB2BA09E9BF6D7D1170A6

o-gg 13.01.2010 07:25
So,
nochmal getestet. Computer starter wieder normal hoch :huepp:

Kannst du aus dem Log herauslesen, ob der Computer soweit wieder sauber ist? Oder soll ich noch mehr unternehmen um ihn sauber zu kriegen.

Ansonsten schonmal ein riesengroßes :dankeschoen:
Wirklich genial, wie schnell und kompetent du geholfen hast.

cosinus 13.01.2010 08:20
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
KILLALL::

File::
c:\windows\system32\drivers\fio32.sys

Driver::
fio32
ICQ Service
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

o-gg 13.01.2010 19:28
So, hier mal das neue Log-file.

Wenn du Lust hast, kannst auch ein paar erklärende Worte abgeben, versteh aber vollkommen, wenn du dafür keine Zeit und Muße hast.

Code:
ComboFix 10-01-13.01 - XXX 13.01.2010  19:13:16.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1982.1578 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sygate Personal Firewall Pro *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}

FILE ::
"c:\windows\system32\drivers\fio32.sys"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\ICQLRun.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FIO32
-------\Legacy_ICQ_SERVICE
-------\Service_fio32
-------\Service_ICQ Service


(((((((((((((((((((((((  Dateien erstellt von 2009-12-13 bis 2010-01-13  ))))))))))))))))))))))))))))))
.

2010-01-12 21:53 . 2010-01-12 21:53        --------        d-----w-        c:\programme\CCleaner
2010-01-11 20:30 . 2010-01-11 20:30        --------        d-----w-        C:\rsit
2010-01-11 20:30 . 2010-01-11 20:30        --------        d-----w-        c:\programme\trend micro
2010-01-06 09:46 . 2010-01-06 09:46        --------        d-----w-        c:\programme\ICQ6Toolbar
2010-01-06 09:46 . 2010-01-06 09:46        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-01-06 08:39 . 2010-01-13 18:16        --------        d-----w-        c:\programme\ICQ6.5
2010-01-05 15:19 . 2010-01-05 15:20        --------        d-----w-        c:\windows\system32\NtmsData
2010-01-05 14:37 . 2010-01-05 14:37        388096        ----a-r-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-05 14:36 . 2010-01-05 14:36        --------        d-----w-        c:\programme\TrendMicro
2010-01-05 12:49 . 2010-01-05 13:54        152576        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 12:49 . 2010-01-05 13:54        79488        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-05 10:55 . 2010-01-05 10:55        --------        d-----w-        c:\programme\Winamp Detect
2010-01-04 22:57 . 2010-01-05 06:45        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\HpUpdate
2010-01-04 22:57 . 2010-01-04 22:57        --------        d-----w-        c:\windows\Hewlett-Packard

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 05:37 . 2008-03-25 17:48        --------        d-----w-        c:\programme\Wisterer HX
2010-01-06 12:35 . 2008-03-20 22:31        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ
2010-01-06 08:40 . 2008-03-20 22:31        --------        d-----w-        c:\programme\ICQ6
2010-01-05 14:18 . 2009-12-04 09:22        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype
2010-01-05 13:55 . 2008-03-21 08:23        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2010-01-05 13:55 . 2008-03-30 12:01        --------        d-----w-        c:\programme\Java
2010-01-05 12:10 . 2009-12-04 09:25        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM
2010-01-05 10:59 . 2008-05-07 19:14        --------        d-----w-        c:\programme\Last.fm
2010-01-05 10:56 . 2008-03-21 08:23        --------        d-----w-        c:\programme\Winamp
2010-01-04 22:57 . 2008-04-20 12:31        --------        d-----w-        c:\programme\Hewlett-Packard
2010-01-04 16:20 . 2008-03-30 12:33        1        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-01-04 16:20 . 2008-03-30 12:32        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2009-12-12 21:55 . 2009-05-24 15:02        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0
2009-12-04 09:25 . 2009-12-04 09:25        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2009-12-04 09:21 . 2009-12-04 09:21        --------        d-----r-        c:\programme\Skype
2009-12-04 09:21 . 2009-12-04 09:21        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2009-12-04 09:21 . 2009-12-04 09:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-11-24 23:54 . 2009-10-29 12:22        1280480        ----a-w-        c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-10-29 12:22        93424        ----a-w-        c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2009-10-29 12:22        48560        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-10-29 12:22        23120        ----a-w-        c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-10-29 12:22        27408        ----a-w-        c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-10-29 12:22        97480        ----a-w-        c:\windows\system32\AvastSS.scr
2009-11-22 18:15 . 2009-11-22 18:15        --------        d-----w-        c:\programme\ElsterFormular
2009-11-22 18:15 . 2008-03-20 20:25        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-11-18 22:03 . 2009-11-18 22:03        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-11-18 22:03 . 2009-11-18 22:03        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-11-18 22:03 . 2009-11-18 22:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-18 21:51 . 2008-03-31 21:11        --------        d-----w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Free Download Manager
2009-11-04 21:10 . 2009-11-04 21:10        1961720        ----a-w-        c:\dokumente und einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-10-17 11:37 . 2008-03-20 20:16        86327        ----a-w-        c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
.

(((((((((((((((((((((((((((((  SnapShot@2010-01-12_22.31.47  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-13 18:17 . 2010-01-13 18:17        16384              c:\windows\Temp\Perflib_Perfdata_7ac.dat
+ 2010-01-13 18:17 . 2010-01-13 18:17        16384              c:\windows\Temp\Perflib_Perfdata_598.dat
+ 2010-01-13 17:58 . 2010-01-13 17:58        16384              c:\windows\Temp\Perflib_Perfdata_570.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"="c:\programme\Wisterer HX\WistererHX.exe" [2008-01-05 2646016]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2005-09-27 2635472]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAMS]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2009 13:22 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2009 13:22 20560]
S2 SAMS;Scanning Analist Management System;c:\windows\System32\sams.exe --> c:\windows\System32\sams.exe [?]
S3 DVBLLC;DVB LLC Service;c:\windows\system32\drivers\DVBLLC32.sys [19.04.2008 14:05 69504]
S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [29.10.2009 18:27 9216]
S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [26.03.2008 19:26 1313792]
.
Inhalt des "geplante Tasks" Ordners

2009-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]

2010-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rgycvk7s.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 19:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2160)
c:\windows\system32\ieframe.dll
c:\windows\system32\SSSensor.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Sygate\SPF\smc.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13  19:20:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-13 18:20
ComboFix2.txt  2010-01-12 22:35

Vor Suchlauf: 12 Verzeichnis(se), 17.667.158.016 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.627.594.752 Bytes frei

- - End Of File - - 1A62B814B3183703FAF48B74D6FE4E9A

cosinus 13.01.2010 20:14
Was genau möchtest Du denn wissen? ;)
Wie verhält sich Dein PC nun? Machst Du noch einen Kontrollscan mit Malwarebytes und aktuellen Signaturen?

o-gg 13.01.2010 21:47
War nur neugierig, welcher Wurm es ist/war. Und woran erkannt...hätte jetzt den icq-service als ungefährlich eingestuft.

Anbei das Log-file von Anti-Malwarebytes

Ich hoffe, das die Malware in der restore-information keinen Schaden mehr angerichtet hat.

Das einzig auffälige am System ist, das es sehr lange zum manuellen Herunterfahren braucht. Vom klicken "ausschalten" bis zum Auswahlbildschirm neustart-herunterfahren-*** vergehen gefühlt eine Minute. Und bis er dann ganz heruntergefahren ist nochmal ziemlich lange. Beim automatischen Neustart während cofi und cofi skript ging es viel schneller.

Code:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.01.2010 21:43:22
mbam-log-2010-01-13 (21-43-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 217603
Laufzeit: 53 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{E2AD94E5-A29D-4E29-A2C8-786BF5925402}\RP1\A0000127.sys (Malware.Trace) -> Quarantined and deleted successfully.

cosinus 13.01.2010 21:50
Meist bekommst das über eine Google-Suche des Dateinamens heraus. Dieser FIO32 scheint mir KoobFace gewesen zu sein.

Und der ICQ-Service ist unnötig, deswegen hab ich den mal raus genommen :D
Oder hast Du nun Probleme mit ICQ?

Auf dem langsamen Shutdown hab ich noch keinen Reim, müsste ich selber mal nach Googeln, ich könnte mir schon was vorstellen, ist aber unwahrscheinlich: die Auslagerungsdatei wird beim herunterfahren gelöscht :o das verzögert den Shutdown extrem :schrei:

o-gg 13.01.2010 23:07
Das Malwarebytes Log ist jetzt sauber, werd das mal mit weiter beobachten und mit dem nächsten Update nochmal drüber laufen lassen.

Oder hast du noch weitere Vorschläge zur Systemprüfung?

Über Icq wird sich die Freundin dann schon noch beschwerden :lach: , falls irgendwas nicht mehr so funktioniert.

Da war ich mit der Google-Suche ja schon aufm richtigem Weg nur am vernünftigen Entfernen hats gehapert.

Kann man das mit der Auslagerungsdatei irgendwie testen? Oder erstmal so hinnehmen?


Bin echt begeistert, ist echt eine klasse Hilfe und super erklärt! :dankeschoen:

cosinus 14.01.2010 08:40
Geh in die Registrierung (regedit.exe), in diesem Schlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

muss ClearPageFileAtShutDown den Wert 0 haben :)
Dann wird die Pagefile nicht gelöscht, bei 1 wird sie gelöscht bei jedem Shutdown.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131