Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner "Winserv.exe" eingefangen (https://www.trojaner-board.de/90988-trojaner-winserv-exe-eingefangen.html)

bresch6 21.09.2010 18:29
Trojaner "Winserv.exe" eingefangen
 
Hallo!

Ich hab mir heute den Trojaner "Winserv.exe" eingefangen. Nachdem ich die infizierte Datei geöffnet hatte, wurden 3-4 Prozesse unter dieser Bezeichnung im Task-Manager angezeigt, wobei ich sie manuell beenden konnte. Nach erfolgtem Neustart folgte aber zunächst ein kurzes Blackscreen, indem irgendwas "eingerichtet" wurde. (Kann mich jetzt aber nicht mehr erinnern was da genau stand, jedenfalls ein Pfad nach C:\Program Files (x86) wo der neue Ordner "WindowsUpdate" erstellt wurde. Darin befand sich das "eingerichtete" File, das die Prozesse scheinbar startete.

Eigenartigerweise konnte ich diese Datei mitsamt Ordner ganz normal löschen. Nach neuerlichem Neustart wurden die Prozesse ("Winserv.exe") plötzlich nicht mehr gestartet. Auch Antivir fand nach einem Komplettscan nichts.

Hab seitdem mehrmals Neu gestartet und bemerke jetzt keinerlei Leistungseinbußen oder Probleme. Trotzdem ist mir bei der ganzen Sache nicht wohl, weil laut google-recherche dieser Trojaner als ziemlich gefährlich eingestuft wird.

Deswegen wollte ich hier mal einen Hijackthis-Log posten und fragen, ob ihr was verdächtiges entdecken könnt. Mir ist jedenfalls aufgefallen, dass da wieder dieses "Winserv.exe" vorkommt...

Jedenfalls vielen Dank für Eure Hilfe!



Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:07:00, on 21.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://trojaner-board.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://trojaner-board.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://trojaner-board.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://trojaner-board.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://trojaner-board.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://trojaner-board.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://trojaner-board.de
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://trojaner-board.de
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://trojaner-board.de
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525700} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98d47b52ad115) (gupdate1c98d47b52ad115) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8836 bytes

Leonixx 21.09.2010 19:29
Ist immer noch aktiv auf deinem System. Backdoor.IRC.Bot

Malwarebytes anwenden, Komplett Scan, poste Logfile. Findest du im Unterforum Anleitungen.

Anschließend RSIT anwenden und Logfiles posten.

bresch6 21.09.2010 21:19
Zitat:
Zitat von Leonixx (Beitrag 570761)
Ist immer noch aktiv auf deinem System. Backdoor.IRC.Bot

Malwarebytes anwenden, Komplett Scan, poste Logfile. Findest du im Unterforum Anleitungen.

Anschließend RSIT anwenden und Logfiles posten.
Hallo Leonixx und vielen Dank für deine Antwort!

Hab den Malwarebytes-Komplettscan nochmal durchgeführt, wobei ich den schon einmal heute, vor deiner Antwort, gemacht hab. Jetzt hat er scheinbar nichts gefunden, heute Nachmittag schon (wobei da keine "Winserv.exe"-Datei dabei war).

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4666

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

21.09.2010 22:16:05
mbam-log-2010-09-21 (22-16-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 341899
Laufzeit: 1 Stunde(n), 18 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Und hier die Logs von RSIT:

[code]info.txtRSIT Logfile:
Code:
logfile of random's system information tool 1.08 2010-09-21 22:21:58

======Uninstall list======

-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files (x86)\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
µTorrent-->"C:\Program Files (x86)\uTorrent\uTorrent.exe" /UNINSTALL
7-Zip 9.15 beta-->"C:\Program Files (x86)\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10i_Plugin.exe -maintain plugin
Adobe Reader 9.3.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Amnesia - The Dark Descent Demo-->"C:\Program Files (x86)\Amnesia - The Dark Descent Demo\unins000.exe"
Apple Application Support-->MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Ashampoo Magical Optimizer-->"C:\Program Files (x86)\Ashampoo\Ashampoo Magical Optimizer\Uninstall\1406_Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E5141379-B2D9-4BBC-BB2A-5805541571DD}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}\setup.exe -runfromtemp -l0x0409
Citrix XenApp Web Plugin-->MsiExec.exe /X{EBFEEB3F-3E3B-4725-A4E0-376144CE4F76}
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Counter-Strike: Source-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/240
DivX Converter-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files (x86)\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files (x86)\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FastStone Image Viewer 4.2-->C:\Program Files (x86)\FastStone Image Viewer\uninst.exe
Fraps-->"C:\Fraps\uninstall.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7  -removeonly
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Gothic II - Die Nacht des Raben-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Gothic II-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Grand Theft Auto IV-->"C:\Program Files (x86)\InstallShield Installation Information\{579BA58C-F33D-4970-9953-B94B43768AC3}\setup.exe" -runfromtemp -l0x0007 -removeonly
Grand Theft Auto IV-->MsiExec.exe /I{5454083B-1308-4485-BF17-1110000D8301}
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
HiJackThis-->MsiExec.exe /X{45A66726-69BC-466B-A7A4-12FCBA4883D7}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
Hotspot Shield 1.49-->C:\Program Files (x86)\Hotspot Shield\Uninstall.exe
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
JDownloader-->C:\Program Files (x86)\JDownloader\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Medieval II Total War-->C:\Program Files (x86)\InstallShield Installation Information\{C0698BDA-0D29-40EE-8570-A31106DF9AB1}\setup.exe -runfromtemp -l0x0007 -removeonly
Microsoft AppLocale-->MsiExec.exe /I{394BE3D9-7F57-4638-A8D1-1D88671913B7}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{8FB1B528-E260-451E-9B55-E9152F94B80B}
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{F97E3841-CA9D-4964-9D64-26066241D26F}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{6AFCA4E1-9B78-3640-8F72-A7BF33448200}
Microsoft XNA Framework Redistributable 3.0-->MsiExec.exe /I{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}
Mozilla Firefox (3.6.10)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MyMicroBalance-->MsiExec.exe /I{9B219133-CA46-47EF-98E1-AB12E32D53F9}
Nero 8-->MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA PhysX-->MsiExec.exe /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
ODF Add-in for Microsoft Office-->MsiExec.exe /I{59D1195A-7E64-4120-BB37-F053D9FD45FB}
OpenAL-->"C:\Program Files (x86)\OpenAL\oalinst.exe" /U
PDF24 Creator-->"C:\Program Files (x86)\pdf24\unins000.exe"
Portal-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/400
PowerDVD-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe"  -uninstall
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
QuickTime-->MsiExec.exe /I{EB900AF8-CC61-4E15-871B-98D1EA3E8025}
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Shared Add-in Extensibility Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{09959E11-AD5D-408E-96AF-E3346954D6B8}
Shared Add-in Support Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{64F3B15C-24C7-4B2B-9B72-65CCBBD7F06B}
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~2\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~2\Install.log
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Source SDK Base - Orange Box-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/218
Source SDK Base-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/215
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
TuneUp Utilities-->C:\Program Files (x86)\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
Tunngle beta-->"C:\Program Files (x86)\Tunngle\unins000.exe"
TweakNow RegCleaner Standard-->"C:\Program Files (x86)\TweakNow RegCleaner Std\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 1.1.4-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Vuze-->C:\Program Files (x86)\Vuze\uninstall.exe
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe
WinSCP 4.0.7-->"C:\Program Files (x86)\WinSCP\unins000.exe"
WinZip 11.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}
Wolfenstein(TM) 1.1 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E03B44A3-9237-4B55-B7A5-DB1DD46920D3}\setup.exe -runfromtemp -l0x0409
ZoneAlarm-->C:\Program Files (x86)\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: Windows-Defender

======System event log======

Computer Name: MUSTERMANN
Event Code: 10029
Message: DCOM hat den Dienst fdPHost mit den Argumenten "" gestartet, um den Server auszuführen:
{145B4335-FE2A-4927-A040-7C35AD3180EF}
Record Number: 244023
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20100303080651.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244022
Source Name: Service Control Manager
Time Written: 20100303080532.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 14206
Message: Media-Server "MUSTERMANN: user:" wurde initialisiert und lässt die gemeinsame Nutzung von Medien durch Netzwerkmediengeräte zu.
Record Number: 244021
Source Name: Microsoft-Windows-WMPNSS-Service
Time Written: 20100303080530.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Startprogramm für Windows Media Center" befindet sich jetzt im Status "Beendet".
Record Number: 244020
Source Name: Service Control Manager
Time Written: 20100303080529.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 537
Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.
Record Number: 244019
Source Name: Microsoft-Windows-TBS
Time Written: 20100303080527.101523-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

=====Application event log=====

Computer Name: MUSTERMANN
Event Code: 9009
Message: Der Desktopfenster-Manager wurde mit dem Code (0x40010004) abgebrochen.
Record Number: 30371
Source Name: Desktop Window Manager
Time Written: 20081124214445.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 2
Message: Der Zertifikatdiensteclient wurde angehalten.
Record Number: 30370
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20081124214441.767200-000
Event Type: Informationen
User: MUSTERMANN\user

Computer Name: MUSTERMANN
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 30369
Source Name: VSS
Time Written: 20081124165430.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 1033
Message: Das Produkt wurde durch Windows Installer installiert. Produktname: Java(TM) 6 Update 7. Produktversion: 1.6.0.70. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 0.
Record Number: 30368
Source Name: MsiInstaller
Time Written: 20081124165252.000000-000
Event Type: Informationen
User: MUSTERMANN\user

Computer Name: MUSTERMANN
Event Code: 11707
Message: Produkt: Java(TM) 6 Update 7 -- Installationsvorgang erfolgreich abgeschlossen.
Record Number: 30367
Source Name: MsiInstaller
Time Written: 20081124165252.000000-000
Event Type: Informationen
User: MUSTERMANN\user

=====Security event log=====

Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        MUSTERMANN$
    Kontodomäne:        WORKGROUP
    Anmelde-ID:        0x3e7

Anmeldetyp:            5

Neue Anmeldung:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3e7
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
    Prozess-ID:        0x2bc
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Arbeitsstationsname:   
    Quellnetzwerkadresse:    -
    Quellport:        -

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        Advapi 
    Authentifizierungspaket:    Negotiate
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 83831
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090911121757.357333-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        MUSTERMANN$
    Kontodomäne:        WORKGROUP
    Anmelde-ID:        0x3e7
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Zielserver:
    Zielservername:    localhost
    Weitere Informationen:    localhost

Prozessinformationen:
    Prozess-ID:        0x2bc
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Netzwerkadresse:    -
    Port:            -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 83830
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090911121757.357333-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
    Sicherheits-ID:        S-1-5-19
    Kontoname:        LOKALER DIENST
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3e5

Berechtigungen:        SeAssignPrimaryTokenPrivilege
            SeAuditPrivilege
            SeImpersonatePrivilege
Record Number: 83829
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090911121757.248133-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        MUSTERMANN$
    Kontodomäne:        WORKGROUP
    Anmelde-ID:        0x3e7

Anmeldetyp:            5

Neue Anmeldung:
    Sicherheits-ID:        S-1-5-19
    Kontoname:        LOKALER DIENST
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3e5
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
    Prozess-ID:        0x2bc
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Arbeitsstationsname:   
    Quellnetzwerkadresse:    -
    Quellport:        -

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        Advapi 
    Authentifizierungspaket:    Negotiate
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 83828
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090911121757.248133-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3e7

Berechtigungen:        SeAssignPrimaryTokenPrivilege
            SeTcbPrivilege
            SeSecurityPrivilege
            SeTakeOwnershipPrivilege
            SeLoadDriverPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege
            SeAuditPrivilege
            SeSystemEnvironmentPrivilege
            SeImpersonatePrivilege
Record Number: 83827
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090911121757.154532-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"asl.log"=Destination=file;OnFirstLog=command,environment
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"CLASSPATH"=.;C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------
--- --- ---
RSIT Logfile:
Code:
Logfile of random's system information tool 1.08 (written by random/random)
Run by user at 2010-09-21 22:21:48
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 5 GB (2%) free of 238 GB
Total RAM: 4094 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:21:56, on 21.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Users\user\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\user.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://trojaner-board.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://trojaner-board.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://trojaner-board.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://trojaner-board.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://trojaner-board.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://trojaner-board.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://trojaner-board.de
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://trojaner-board.de
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://trojaner-board.de
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525700} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98d47b52ad115) (gupdate1c98d47b52ad115) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9124 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2010-07-17 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
Hotspot Shield Class - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll [2010-06-23 230448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792]
"ZoneAlarm Client"=C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe [2010-06-28 1043968]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe [2010-04-29 437584]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\Program Files (x86)\Windows Update\Winserv.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\Program Files (x86)\Windows Update\Winserv.exe []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=1
"NoActiveDesktopChanges"=1
"ForceActiveDesktopOn"=0
"BindDirectlyToPropertySetStorage"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-09-21 22:21:48 ----D---- C:\rsit
2010-09-21 20:55:40 ----A---- C:\Windows\SysWOW64\drivers\mbamswissarmy.sys
2010-09-21 20:55:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2010-09-21 20:37:08 ----D---- C:\Program Files (x86)\FastStone Image Viewer
2010-09-21 19:34:45 ----A---- C:\Windows\SysWOW64\vsutil_loc0407.dll
2010-09-21 19:34:42 ----A---- C:\Windows\SysWOW64\vsregexp.dll
2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcommdb.dll
2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcomm.dll
2010-09-21 19:33:45 ----A---- C:\Windows\SysWOW64\vswmi.dll
2010-09-21 19:33:43 ----D---- C:\Windows\SysWOW64\ZoneLabs
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\zpeng25.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsxml.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vspubapi.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsmonapi.dll
2010-09-21 19:33:42 ----A---- C:\Windows\SysWOW64\vsdata.dll
2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsutil.dll
2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsinit.dll
2010-09-21 18:55:19 ----D---- C:\Program Files (x86)\Zone Labs
2010-09-21 18:55:12 ----D---- C:\Windows\Internet Logs
2010-09-21 18:55:12 ----D---- C:\ProgramData\CheckPoint
2010-09-21 18:35:53 ----D---- C:\Program Files (x86)\Trend Micro
2010-09-21 16:02:48 ----D---- C:\Users\user\AppData\Roaming\Malwarebytes
2010-09-21 16:02:35 ----D---- C:\ProgramData\Malwarebytes
2010-09-21 15:54:17 ----A---- C:\autoexec.bat
2010-09-21 15:53:30 ----D---- C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP
2010-09-21 15:47:26 ----D---- C:\Users\user\AppData\Roaming\Uniblue
2010-09-18 11:15:29 ----D---- C:\Program Files (x86)\Amnesia - The Dark Descent Demo
2010-09-15 09:18:05 ----A---- C:\Windows\SysWOW64\MP4SDECD.DLL
2010-09-15 09:17:59 ----A---- C:\Windows\SysWOW64\inetcomm.dll
2010-09-15 09:17:58 ----A---- C:\Windows\SysWOW64\usp10.dll
2010-09-12 15:34:29 ----D---- C:\Users\user\AppData\Roaming\vlc
2010-09-12 10:53:13 ----D---- C:\Program Files (x86)\JoWooD
2010-09-08 13:19:33 ----D---- C:\Windows\usgwmt
2010-09-06 15:39:41 ----D---- C:\Hotspot Shield
2010-09-06 15:39:39 ----D---- C:\Program Files (x86)\Hotspot Shield
2010-08-29 18:02:35 ----D---- C:\Fraps
2010-08-27 11:33:29 ----A---- C:\Windows\SysWOW64\uxtuneup.dll
2010-08-27 11:33:24 ----A---- C:\Windows\SysWOW64\authuitu.dll
2010-08-26 22:45:40 ----D---- C:\Program Files (x86)\QuickTime

======List of files/folders modified in the last 1 months======

2010-09-21 22:21:50 ----D---- C:\Windows\Temp
2010-09-21 21:22:49 ----A---- C:\Windows\NeroDigital.ini
2010-09-21 20:55:40 ----D---- C:\Windows\SysWOW64\drivers
2010-09-21 20:55:39 ----D---- C:\Program Files (x86)
2010-09-21 20:15:21 ----D---- C:\Users\user\AppData\Roaming\Azureus
2010-09-21 20:02:48 ----D---- C:\Windows\System32
2010-09-21 20:02:48 ----D---- C:\Windows\inf
2010-09-21 19:39:59 ----D---- C:\ProgramData\NVIDIA
2010-09-21 19:34:47 ----D---- C:\Windows\SysWOW64
2010-09-21 19:34:39 ----D---- C:\Windows
2010-09-21 19:34:28 ----D---- C:\Windows\winsxs
2010-09-21 19:34:03 ----SHD---- C:\System Volume Information
2010-09-21 18:55:12 ----HD---- C:\ProgramData
2010-09-21 18:35:54 ----SHD---- C:\Windows\Installer
2010-09-21 18:22:14 ----D---- C:\Users\user\AppData\Roaming\Desktopicon
2010-09-21 16:07:40 ----D---- C:\Users\user\AppData\Roaming\uTorrent
2010-09-21 15:53:29 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2010-09-21 15:51:43 ----D---- C:\Windows\Tasks
2010-09-21 11:57:12 ----D---- C:\Windows\registration
2010-09-21 11:57:12 ----D---- C:\Users\user\AppData\Roaming\dvdcss
2010-09-21 11:57:12 ----D---- C:\Program Files (x86)\MyMicroBalance
2010-09-21 11:15:50 ----D---- C:\Windows\Prefetch
2010-09-21 09:32:50 ----D---- C:\Users\user\AppData\Roaming\Skype
2010-09-21 09:08:50 ----D---- C:\Users\user\AppData\Roaming\skypePM
2010-09-20 15:20:20 ----RD---- C:\Users
2010-09-19 20:54:38 ----RD---- C:\Program Files
2010-09-19 14:19:44 ----RSD---- C:\Windows\assembly
2010-09-17 09:31:33 ----D---- C:\Program Files (x86)\Mozilla Firefox
2010-09-15 09:24:15 ----D---- C:\Program Files (x86)\Windows Mail
2010-09-15 09:23:44 ----A---- C:\Windows\win.ini
2010-09-11 21:07:53 ----D---- C:\ProgramData\Tunngle
2010-09-11 21:07:52 ----D---- C:\Users\user\AppData\Roaming\Tunngle
2010-09-08 11:34:11 ----D---- C:\Program Files (x86)\iTunes
2010-09-08 11:33:37 ----D---- C:\Program Files (x86)\Common Files\Apple
2010-09-08 11:32:55 ----D---- C:\Program Files (x86)\JDownloader
2010-09-06 14:42:13 ----D---- C:\Windows\AppPatch
2010-09-06 14:35:00 ----SHD---- C:\Boot
2010-09-06 14:12:50 ----D---- C:\ProgramData\NOS
2010-09-03 06:41:17 ----D---- C:\Program Files (x86)\Microsoft Silverlight
2010-08-29 20:34:11 ----A---- C:\Windows\SysWOW64\PnkBstrB.exe
2010-08-27 11:33:20 ----D---- C:\Program Files (x86)\TuneUp Utilities 2010
2010-08-26 16:52:59 ----A---- C:\Windows\SysWOW64\PerfStringBackup.INI
2010-08-25 21:40:07 ----SD---- C:\Windows\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 JGOGO;JMicron Hot-Plug Driver; C:\Windows\system32\DRIVERS\JGOGO.sys []
R0 JRAID;JRAID; C:\Windows\system32\DRIVERS\jraid.sys []
R0 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys []
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys []
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys []
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys []
R3 HssDrv;Hotspot Shield Helper Miniport; C:\Windows\system32\DRIVERS\HssDrv.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle); C:\Windows\system32\DRIVERS\tap0901t.sys []
R3 taphss;Anchorfree HSS Adapter; C:\Windows\system32\DRIVERS\taphss.sys []
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2009-10-14 11856]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\Windows\system32\drivers\WmBEnum.sys []
R3 WmXlCore;Logitech Translation Layer Driver; C:\Windows\system32\drivers\WmXlCore.sys []
S3 as5cdvj8;as5cdvj8; C:\Windows\SysWOW64\drivers\as5cdvj8.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\C:\Program Files (x86)\MediaCoder\SysInfoX64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys []
S3 esgiguard;esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys []
S3 gdrv;gdrv; \??\C:\Windows\gdrv.sys [2007-09-10 22336]
S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 SANDRA;SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\Sandra.sys []
S3 USBAAPL64;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl64.sys []
S3 vsdatant7;vsdatant7; C:\Windows\System32\drivers\vsdatant.win7.sys []
S3 WmFilter;Logitech Gaming HID Filter Driver; C:\Windows\system32\drivers\WmFilter.sys []
S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\Windows\system32\drivers\WmVirHid.sys []
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 xusb21;Xbox 360 Wireless Receiver Driver Service 21; C:\Windows\system32\DRIVERS\xusb21.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-04-19 267432]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672]
R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files (x86)\Bonjour\mDNSResponder.exe [2010-05-18 345376]
R2 HotspotShieldService;Hotspot Shield Service; C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe [2010-07-27 247808]
R2 HssSrv;Hotspot Shield Routing Service; C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe [2010-06-23 348208]
R2 HssWd;Hotspot Shield Monitoring Service; C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe [2010-06-23 322608]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-07-29 75064]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2010-08-26 1403200]
R2 TunngleService;TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [2010-06-24 715512]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\SysWOW64\ZoneLabs\vsmon.exe [2010-06-28 2435592]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 gupdate1c98d47b52ad115;Google Update Service (gupdate1c98d47b52ad115); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-02-12 133104]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 HssTrayService;Hotspot Shield Tray Service; C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE [2010-07-27 57640]
S3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-01 932640]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-19 19968]
S3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2010-03-03 332720]
S3 TuneUp.Defrag;@C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe [2010-08-27 607040]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
S4 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE [2006-04-18 102400]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
S4 NMIndexingService;NMIndexingService; C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S4 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe [2005-08-08 167936]

-----------------EOF-----------------
--- --- ---


[code]

Leonixx 22.09.2010 08:07
Noch da.
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe

Das ist ein Monitoring Tool. Hast du das installiert? Zeichnet alle Aktionen auf dem Bildschirm auf.
R2 HotspotShieldService;Hotspot Shield Service; C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe [2010-07-27 247808]

Online Scan durchlaufen lassen.


Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)
Poste das Log.

bresch6 22.09.2010 11:15
Hab den Scan gemacht:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ff8924739ba07e4ba86de83b8cdec516
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-09-22 10:12:19
# local_time=2010-09-22 12:12:19 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 44407 44407 0 0
# compatibility_mode=1797 16775165 100 100 58737 60045087 46496 0
# compatibility_mode=5892 16776573 100 56 90624 122668829 0 0
# compatibility_mode=8192 67108863 100 0 98 98 0 0
# compatibility_mode=9217 16777214 75 66 54383 7422153 0 0
# scanned=206229
# found=8
# cleaned=8
# scan_time=5416
C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe    a variant of Win32/HotSpotShield application (cleaned by deleting (after the next restart) - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\Local\Temp\NOD3027.tmp    a variant of Win32/HotSpotShield application (cleaned by deleting (after the next restart) - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\55a4ff8b-190bbc4c    Java/TrojanDownloader.OpenStream.NAC trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-33b02f75    multiple threats (deleted - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-30151a69    Java/TrojanDownloader.Agent.NBK trojan (deleted - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\5541aec4-67d67c20    Java/TrojanDownloader.Agent.NBM trojan (deleted - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-3f368110    Java/TrojanDownloader.Agent.NBL trojan (deleted - quarantined)    00000000000000000000000000000000    C
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\31bba1f4-1222de2a    Java/TrojanDownloader.Agent.NBL trojan (deleted - quarantined)    00000000000000000000000000000000    C

Leonixx 22.09.2010 11:18
Bitte nochmals RSIT anwenden und Logfiles posten.

bresch6 22.09.2010 11:33
Hier: (hab davor nochmal neu gestartet!)

[code]info.txtRSIT Logfile:
Code:
logfile of random's system information tool 1.08 2010-09-22 12:26:56

======Uninstall list======

-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files (x86)\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
µTorrent-->"C:\Program Files (x86)\uTorrent\uTorrent.exe" /UNINSTALL
7-Zip 9.15 beta-->"C:\Program Files (x86)\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10i_Plugin.exe -maintain plugin
Adobe Reader 9.3.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Amnesia - The Dark Descent Demo-->"C:\Program Files (x86)\Amnesia - The Dark Descent Demo\unins000.exe"
Apple Application Support-->MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Ashampoo Magical Optimizer-->"C:\Program Files (x86)\Ashampoo\Ashampoo Magical Optimizer\Uninstall\1406_Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E5141379-B2D9-4BBC-BB2A-5805541571DD}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}\setup.exe -runfromtemp -l0x0409
Citrix XenApp Web Plugin-->MsiExec.exe /X{EBFEEB3F-3E3B-4725-A4E0-376144CE4F76}
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Counter-Strike: Source-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/240
DivX Converter-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files (x86)\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files (x86)\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FastStone Image Viewer 4.2-->C:\Program Files (x86)\FastStone Image Viewer\uninst.exe
Fraps-->"C:\Fraps\uninstall.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7  -removeonly
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Gothic II - Die Nacht des Raben-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Gothic II-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Grand Theft Auto IV-->"C:\Program Files (x86)\InstallShield Installation Information\{579BA58C-F33D-4970-9953-B94B43768AC3}\setup.exe" -runfromtemp -l0x0007 -removeonly
Grand Theft Auto IV-->MsiExec.exe /I{5454083B-1308-4485-BF17-1110000D8301}
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
HiJackThis-->MsiExec.exe /X{45A66726-69BC-466B-A7A4-12FCBA4883D7}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
Hotspot Shield 1.49-->C:\Program Files (x86)\Hotspot Shield\Uninstall.exe
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
JDownloader-->C:\Program Files (x86)\JDownloader\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Medieval II Total War-->C:\Program Files (x86)\InstallShield Installation Information\{C0698BDA-0D29-40EE-8570-A31106DF9AB1}\setup.exe -runfromtemp -l0x0007 -removeonly
Microsoft AppLocale-->MsiExec.exe /I{394BE3D9-7F57-4638-A8D1-1D88671913B7}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{8FB1B528-E260-451E-9B55-E9152F94B80B}
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{F97E3841-CA9D-4964-9D64-26066241D26F}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{6AFCA4E1-9B78-3640-8F72-A7BF33448200}
Microsoft XNA Framework Redistributable 3.0-->MsiExec.exe /I{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}
Mozilla Firefox (3.6.10)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MyMicroBalance-->MsiExec.exe /I{9B219133-CA46-47EF-98E1-AB12E32D53F9}
Nero 8-->MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA PhysX-->MsiExec.exe /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
ODF Add-in for Microsoft Office-->MsiExec.exe /I{59D1195A-7E64-4120-BB37-F053D9FD45FB}
OpenAL-->"C:\Program Files (x86)\OpenAL\oalinst.exe" /U
PDF24 Creator-->"C:\Program Files (x86)\pdf24\unins000.exe"
Portal-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/400
PowerDVD-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe"  -uninstall
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
QuickTime-->MsiExec.exe /I{EB900AF8-CC61-4E15-871B-98D1EA3E8025}
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Shared Add-in Extensibility Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{09959E11-AD5D-408E-96AF-E3346954D6B8}
Shared Add-in Support Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{64F3B15C-24C7-4B2B-9B72-65CCBBD7F06B}
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~2\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~2\Install.log
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Source SDK Base - Orange Box-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/218
Source SDK Base-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/215
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
TuneUp Utilities-->C:\Program Files (x86)\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
Tunngle beta-->"C:\Program Files (x86)\Tunngle\unins000.exe"
TweakNow RegCleaner Standard-->"C:\Program Files (x86)\TweakNow RegCleaner Std\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 1.1.4-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Vuze-->C:\Program Files (x86)\Vuze\uninstall.exe
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe
WinSCP 4.0.7-->"C:\Program Files (x86)\WinSCP\unins000.exe"
WinZip 11.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}
Wolfenstein(TM) 1.1 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E03B44A3-9237-4B55-B7A5-DB1DD46920D3}\setup.exe -runfromtemp -l0x0409
ZoneAlarm-->C:\Program Files (x86)\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: Windows-Defender

======System event log======

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Terminaldienstekonfiguration" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244374
Source Name: Service Control Manager
Time Written: 20100304122620.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Zertifikatverteilung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244373
Source Name: Service Control Manager
Time Written: 20100304122620.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244372
Source Name: Service Control Manager
Time Written: 20100304122620.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Intelligenter Hintergrundübertragungsdienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244371
Source Name: Service Control Manager
Time Written: 20100304122620.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Diagnosesystemhost" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244370
Source Name: Service Control Manager
Time Written: 20100304122620.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: MUSTERMANN
Event Code: 9007
Message: Der Desktopfenster-Manager konnte nicht gestartet werden, da WDDM nicht verwendet wird.
Record Number: 30503
Source Name: Desktop Window Manager
Time Written: 20081126211111.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 9002
Message: Der Desktopfenster-Manager konnte nicht gestartet werden.
Record Number: 30502
Source Name: Desktop Window Manager
Time Written: 20081126211101.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\DrvInst.exe "4" "0" "C:\Users\user\{2842e669-557a-4b93-a3bf-be394ce545c7}\nv_disp.inf" "9" "6cf3ca387" "00000000000002F4" "WinSta0\Default" "0000000000000524" "208" "c:\nvidia\winvista64\180.48\is"; Beschreibung = Gerätetreiber-Paketinstallation: NVIDIA Grafikkarte).
Record Number: 30501
Source Name: System Restore
Time Written: 20081126210921.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\DrvInst.exe "4" "0" "C:\Users\user\{2842e669-557a-4b93-a3bf-be394ce545c7}\nv_disp.inf" "9" "6cf3ca387" "00000000000002F4" "WinSta0\Default" "0000000000000524" "208" "c:\nvidia\winvista64\180.48\is"; Beschreibung = Gerätetreiber-Paketinstallation: NVIDIA Grafikkarte).
Record Number: 30500
Source Name: System Restore
Time Written: 20081126210915.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 103
Message: msnmsgr (4688) \\.\C:\Users\user\AppData\Local\Microsoft\Messenger\mustermann@test.com\SharingMetadata\Working\database_D682_CA65_82CA_4A27\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 30499
Source Name: ESENT
Time Written: 20081126171017.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        MUSTERMANN$
    Kontodomäne:        WORKGROUP
    Anmelde-ID:        0x3e7
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Zielserver:
    Zielservername:    localhost
    Weitere Informationen:    localhost

Prozessinformationen:
    Prozess-ID:        0x298
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Netzwerkadresse:    -
    Port:            -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 83959
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090912105545.274939-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3e7

Berechtigungen:        SeAssignPrimaryTokenPrivilege
            SeTcbPrivilege
            SeSecurityPrivilege
            SeTakeOwnershipPrivilege
            SeLoadDriverPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege
            SeAuditPrivilege
            SeSystemEnvironmentPrivilege
            SeImpersonatePrivilege
Record Number: 83958
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090912105545.093939-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        MUSTERMANN$
    Kontodomäne:        WORKGROUP
    Anmelde-ID:        0x3e7

Anmeldetyp:            5

Neue Anmeldung:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3e7
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
    Prozess-ID:        0x298
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Arbeitsstationsname:   
    Quellnetzwerkadresse:    -
    Quellport:        -

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        Advapi 
    Authentifizierungspaket:    Negotiate
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 83957
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090912105545.093939-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
    Sicherheits-ID:        S-1-5-18
    Kontoname:        MUSTERMANN$
    Kontodomäne:        WORKGROUP
    Anmelde-ID:        0x3e7
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Zielserver:
    Zielservername:    localhost
    Weitere Informationen:    localhost

Prozessinformationen:
    Prozess-ID:        0x298
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Netzwerkadresse:    -
    Port:            -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 83956
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090912105545.093939-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
    Sicherheits-ID:        S-1-5-21-3249559707-4023531275-2317400115-1000
    Kontoname:        user
    Kontodomäne:        MUSTERMANN
    Anmelde-ID:        0x5e5e5

Berechtigungen:        SeSecurityPrivilege
            SeTakeOwnershipPrivilege
            SeLoadDriverPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege
            SeSystemEnvironmentPrivilege
            SeImpersonatePrivilege
Record Number: 83955
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090912101751.284939-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"asl.log"=Destination=file;OnFirstLog=command,environment
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"CLASSPATH"=.;C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------
--- --- ---




RSIT Logfile:
Code:
Logfile of random's system information tool 1.08 (written by random/random)
Run by user at 2010-09-22 12:26:53
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 5 GB (2%) free of 238 GB
Total RAM: 4094 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:26:55, on 22.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\user\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\user.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mustermann.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mustermann.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mustermann.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mustermann.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://www.mustermann.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://www.mustermann.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.mustermann.com
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525700} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98d47b52ad115) (gupdate1c98d47b52ad115) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe (file missing)
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9119 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2010-07-17 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
Hotspot Shield Class - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll [2010-06-23 230448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792]
"ZoneAlarm Client"=C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe [2010-06-28 1043968]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\Program Files (x86)\Windows Update\Winserv.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=C:\Program Files (x86)\Windows Update\Winserv.exe []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=1
"NoActiveDesktopChanges"=1
"ForceActiveDesktopOn"=0
"BindDirectlyToPropertySetStorage"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-09-21 22:21:48 ----D---- C:\rsit
2010-09-21 20:55:40 ----A---- C:\Windows\SysWOW64\drivers\mbamswissarmy.sys
2010-09-21 20:55:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2010-09-21 20:37:08 ----D---- C:\Program Files (x86)\FastStone Image Viewer
2010-09-21 19:34:45 ----A---- C:\Windows\SysWOW64\vsutil_loc0407.dll
2010-09-21 19:34:42 ----A---- C:\Windows\SysWOW64\vsregexp.dll
2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcommdb.dll
2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcomm.dll
2010-09-21 19:33:45 ----A---- C:\Windows\SysWOW64\vswmi.dll
2010-09-21 19:33:43 ----D---- C:\Windows\SysWOW64\ZoneLabs
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\zpeng25.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsxml.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vspubapi.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsmonapi.dll
2010-09-21 19:33:42 ----A---- C:\Windows\SysWOW64\vsdata.dll
2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsutil.dll
2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsinit.dll
2010-09-21 18:55:19 ----D---- C:\Program Files (x86)\Zone Labs
2010-09-21 18:55:12 ----D---- C:\Windows\Internet Logs
2010-09-21 18:55:12 ----D---- C:\ProgramData\CheckPoint
2010-09-21 18:35:53 ----D---- C:\Program Files (x86)\Trend Micro
2010-09-21 16:02:48 ----D---- C:\Users\user\AppData\Roaming\Malwarebytes
2010-09-21 16:02:35 ----D---- C:\ProgramData\Malwarebytes
2010-09-21 15:54:17 ----A---- C:\autoexec.bat
2010-09-21 15:53:30 ----D---- C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP
2010-09-21 15:47:26 ----D---- C:\Users\user\AppData\Roaming\Uniblue
2010-09-18 11:15:29 ----D---- C:\Program Files (x86)\Amnesia - The Dark Descent Demo
2010-09-15 09:18:05 ----A---- C:\Windows\SysWOW64\MP4SDECD.DLL
2010-09-15 09:17:59 ----A---- C:\Windows\SysWOW64\inetcomm.dll
2010-09-15 09:17:58 ----A---- C:\Windows\SysWOW64\usp10.dll
2010-09-12 15:34:29 ----D---- C:\Users\user\AppData\Roaming\vlc
2010-09-12 10:53:13 ----D---- C:\Program Files (x86)\JoWooD
2010-09-08 13:19:33 ----D---- C:\Windows\usgwmt
2010-09-06 15:39:41 ----D---- C:\Hotspot Shield
2010-09-06 15:39:39 ----D---- C:\Program Files (x86)\Hotspot Shield
2010-08-29 18:02:35 ----D---- C:\Fraps
2010-08-27 11:33:29 ----A---- C:\Windows\SysWOW64\uxtuneup.dll
2010-08-27 11:33:24 ----A---- C:\Windows\SysWOW64\authuitu.dll
2010-08-26 22:45:40 ----D---- C:\Program Files (x86)\QuickTime

======List of files/folders modified in the last 1 months======

2010-09-22 12:26:53 ----D---- C:\Windows\Temp
2010-09-22 12:26:53 ----D---- C:\Windows\Prefetch
2010-09-22 12:20:53 ----D---- C:\ProgramData\NVIDIA
2010-09-22 12:20:27 ----SHD---- C:\System Volume Information
2010-09-22 12:16:19 ----D---- C:\Program Files (x86)
2010-09-22 10:50:32 ----A---- C:\Windows\NeroDigital.ini
2010-09-21 23:46:17 ----D---- C:\Users\user\AppData\Roaming\Azureus
2010-09-21 20:55:40 ----D---- C:\Windows\SysWOW64\drivers
2010-09-21 20:02:48 ----D---- C:\Windows\System32
2010-09-21 20:02:48 ----D---- C:\Windows\inf
2010-09-21 19:34:47 ----D---- C:\Windows\SysWOW64
2010-09-21 19:34:39 ----D---- C:\Windows
2010-09-21 19:34:28 ----D---- C:\Windows\winsxs
2010-09-21 18:55:12 ----HD---- C:\ProgramData
2010-09-21 18:35:54 ----SHD---- C:\Windows\Installer
2010-09-21 18:22:14 ----D---- C:\Users\user\AppData\Roaming\Desktopicon
2010-09-21 16:07:40 ----D---- C:\Users\user\AppData\Roaming\uTorrent
2010-09-21 15:53:29 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2010-09-21 15:51:43 ----D---- C:\Windows\Tasks
2010-09-21 11:57:12 ----D---- C:\Windows\registration
2010-09-21 11:57:12 ----D---- C:\Users\user\AppData\Roaming\dvdcss
2010-09-21 11:57:12 ----D---- C:\Program Files (x86)\MyMicroBalance
2010-09-21 09:32:50 ----D---- C:\Users\user\AppData\Roaming\Skype
2010-09-21 09:08:50 ----D---- C:\Users\user\AppData\Roaming\skypePM
2010-09-20 15:20:20 ----RD---- C:\Users
2010-09-19 20:54:38 ----RD---- C:\Program Files
2010-09-19 14:19:44 ----RSD---- C:\Windows\assembly
2010-09-17 09:31:33 ----D---- C:\Program Files (x86)\Mozilla Firefox
2010-09-15 09:24:15 ----D---- C:\Program Files (x86)\Windows Mail
2010-09-15 09:23:44 ----A---- C:\Windows\win.ini
2010-09-11 21:07:53 ----D---- C:\ProgramData\Tunngle
2010-09-11 21:07:52 ----D---- C:\Users\user\AppData\Roaming\Tunngle
2010-09-08 11:34:11 ----D---- C:\Program Files (x86)\iTunes
2010-09-08 11:33:37 ----D---- C:\Program Files (x86)\Common Files\Apple
2010-09-08 11:32:55 ----D---- C:\Program Files (x86)\JDownloader
2010-09-06 14:42:13 ----D---- C:\Windows\AppPatch
2010-09-06 14:35:00 ----SHD---- C:\Boot
2010-09-06 14:12:50 ----D---- C:\ProgramData\NOS
2010-09-03 06:41:17 ----D---- C:\Program Files (x86)\Microsoft Silverlight
2010-08-29 20:34:11 ----A---- C:\Windows\SysWOW64\PnkBstrB.exe
2010-08-27 11:33:20 ----D---- C:\Program Files (x86)\TuneUp Utilities 2010
2010-08-26 16:52:59 ----A---- C:\Windows\SysWOW64\PerfStringBackup.INI
2010-08-25 21:40:07 ----SD---- C:\Windows\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 JGOGO;JMicron Hot-Plug Driver; C:\Windows\system32\DRIVERS\JGOGO.sys []
R0 JRAID;JRAID; C:\Windows\system32\DRIVERS\jraid.sys []
R0 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys []
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys []
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys []
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys []
R3 HssDrv;Hotspot Shield Helper Miniport; C:\Windows\system32\DRIVERS\HssDrv.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle); C:\Windows\system32\DRIVERS\tap0901t.sys []
R3 taphss;Anchorfree HSS Adapter; C:\Windows\system32\DRIVERS\taphss.sys []
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2009-10-14 11856]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\Windows\system32\drivers\WmBEnum.sys []
R3 WmXlCore;Logitech Translation Layer Driver; C:\Windows\system32\drivers\WmXlCore.sys []
S3 acmx01xs;acmx01xs; C:\Windows\SysWOW64\drivers\acmx01xs.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\C:\Program Files (x86)\MediaCoder\SysInfoX64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys []
S3 esgiguard;esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys []
S3 gdrv;gdrv; \??\C:\Windows\gdrv.sys [2007-09-10 22336]
S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 SANDRA;SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\Sandra.sys []
S3 USBAAPL64;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl64.sys []
S3 vsdatant7;vsdatant7; C:\Windows\System32\drivers\vsdatant.win7.sys []
S3 WmFilter;Logitech Gaming HID Filter Driver; C:\Windows\system32\drivers\WmFilter.sys []
S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\Windows\system32\drivers\WmVirHid.sys []
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 xusb21;Xbox 360 Wireless Receiver Driver Service 21; C:\Windows\system32\DRIVERS\xusb21.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-04-19 267432]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672]
R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files (x86)\Bonjour\mDNSResponder.exe [2010-05-18 345376]
R2 HssSrv;Hotspot Shield Routing Service; C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe [2010-06-23 348208]
R2 HssWd;Hotspot Shield Monitoring Service; C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe [2010-06-23 322608]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-07-29 75064]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2010-08-26 1403200]
R2 TunngleService;TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [2010-06-24 715512]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\SysWOW64\ZoneLabs\vsmon.exe [2010-06-28 2435592]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 gupdate1c98d47b52ad115;Google Update Service (gupdate1c98d47b52ad115); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-02-12 133104]
S2 HotspotShieldService;Hotspot Shield Service; C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe []
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 HssTrayService;Hotspot Shield Tray Service; C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE [2010-07-27 57640]
S3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-01 932640]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-19 19968]
S3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2010-03-03 332720]
S3 TuneUp.Defrag;@C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe [2010-08-27 607040]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
S4 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE [2006-04-18 102400]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
S4 NMIndexingService;NMIndexingService; C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S4 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe [2005-08-08 167936]

-----------------EOF-----------------
--- --- ---

Leonixx 22.09.2010 11:52
Fixe mal diese zwei Einträge mit Hijackthis. Hijackthis öffnen, do a system scan, Einträge anklicken, auf fix checked klicken und anschließend Neustart. Bitte neues Logfile von Hijackthis posten. Möchte nur sehen, ob sich der Prozess von selbst wiederherstellt.

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Windows Update\Winserv.exe

bresch6 22.09.2010 12:21
Scheint als wären sie jetzt weg...

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:18:04, on 22.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mustermann.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mustermann.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mustermann.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mustermann.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://www.mustermann.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://www.mustermann.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.mustermann.com/
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525700} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98d47b52ad115) (gupdate1c98d47b52ad115) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe (file missing)
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8908 bytes

Leonixx 22.09.2010 15:03
Sieht so aus. Bitte nochmal beobachten und in ein paar Tagen nochmals scannen und nach den beiden Prozessen schauen.

Wie sieht es mit den Problemen aus?

bresch6 22.09.2010 15:33
Zitat:
Zitat von Leonixx (Beitrag 570952)
Sieht so aus. Bitte nochmal beobachten und in ein paar Tagen nochmals scannen und nach den beiden Prozessen schauen.

Wie sieht es mit den Problemen aus?
Ok, mach ich. Grundsätzlich habe ich im Moment eigentlich keinerlei Probleme. Die Leistung scheint normal zu sein (Surfen, Spielen, Videos, etc.). Fährt auch normal hoch/runter.

Leonixx 22.09.2010 15:40
OK, melde dich nochmal, wenn du Probleme bekommst.

bresch6 22.09.2010 16:21
Mach ich und vielen Dank nochmal!

Leonixx 22.09.2010 16:23
Nochmal Kommando zurück.

Dem kleinen Drecks...den wir gefixt haben, müssen wir noch loswerden. Bitte Superantispyware wie in der Anleitung laden und ausführen. Poste das Log.

bresch6 22.09.2010 19:09
Zitat:
Zitat von Leonixx (Beitrag 570968)
Nochmal Kommando zurück.

Dem kleinen Drecks...den wir gefixt haben, müssen wir noch loswerden. Bitte Superantispyware wie in der Anleitung laden und ausführen. Poste das Log.
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/22/2010 at 07:57 PM

Application Version : 4.43.1000

Core Rules Database Version : 5556
Trace Rules Database Version: 3368

Scan type      : Complete Scan
Total Scan Time : 02:11:56

Memory items scanned      : 504
Memory threats detected  : 0
Registry items scanned    : 15149
Registry threats detected : 0
File items scanned        : 211341
File threats detected    : 75

Adware.Tracking Cookie
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@apmebf[1].txt
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@atdmt[2].txt
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@tradedoubler[2].txt
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@doubleclick[1].txt
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@adfarm1.adition[2].txt
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@msnportal.112.2o7[1].txt
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\user@zanox[1].txt
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\Gast\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\V57L4CSR ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    macromedia.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]
    mustermann.com [ C:\Users\user\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6BC8KB9E ]

Leonixx 22.09.2010 20:19
Ok, hauptsächlich Tracking Cookies.

Bitte nochmals einen letzten Scan laufen lassen. Da ist noch was, das spühre ich.
Nach Anleitung mit eScan scannen und anschließend Logfile posten.

http://www.modernboard.de/viren-wuer...nd-tricks.html

bresch6 23.09.2010 12:23
Sehr eigenartig. Hab den Scan durchlaufen lassen und scheinbar findet er den gleichen Trojaner immer wieder in Antivir!? Ich kann leider nicht das ganze Logfile posten oder anhängen, weil es über 2 MB (!) groß ist...

Code:
23 Sep 2010 10:44:18 - **********************************************************

23 Sep 2010 10:44:18 - eScan Antivirus und Spyware Werkzeugsatz.

23 Sep 2010 10:44:18 - Copyright © MicroWorld

23 Sep 2010 10:44:18 - **********************************************************

23 Sep 2010 10:44:18 - Source: C:\Users\user\Desktop\mwav.exe

23 Sep 2010 10:44:18 - Version 12.0.49 (C:\USERS\USER\APPDATA\LOCAL\TEMP\MEXE.COM)

23 Sep 2010 10:44:18 - Logdatei: C:\Users\user\AppData\Local\Temp\MWAV.LOG

23 Sep 2010 10:44:18 - Datum und Uhrzeit des letzten Scannens: 23.09.2010 09:58:33

23 Sep 2010 10:44:18 - MWAV Registered: TRUE

23 Sep 2010 10:44:18 - User Account: user (Administrator Mode)

23 Sep 2010 10:44:18 - OS Type: Windows Workstation

23 Sep 2010 10:44:18 - OS: Windows Vista 64-Bit [OS Install Date: 07 Sep 2007 17:31:55]

23 Sep 2010 10:44:18 - Ver: Personal Service Pack 2 (Build 6002)

23 Sep 2010 10:44:18 - System Up Time: 1 Hour, 37 Minutes, 28 Seconds



23 Sep 2010 10:44:18 - Windows Root  Folder: C:\Windows

23 Sep 2010 10:44:18 - Windows Sys32 Folder: C:\Windows\system32

23 Sep 2010 10:44:18 - DHCP NameServer: 85.199.0.12 192.168.0.1

23 Sep 2010 10:44:18 - Interface0 DHCPNameServer: 85.199.0.12 192.168.0.1

23 Sep 2010 10:44:18 - Local Fixed Drives: c:\

23 Sep 2010 10:44:18 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)

23 Sep 2010 10:44:18 - [CREATED ZIP FILE: C:\Users\user\AppData\Local\Temp\pinfect.zip]

 

23 Sep 2010 10:44:18 - ********** Die in den letzten 14 Tagen im Windows- und ROOT-Ordner erstellten/modifizierten Dateien **********

23 Sep 2010 10:44:19 - C:\Windows\system32\eEmpty.exe (34048), 23-Sep-2010, MicroWorld Technologies Inc., eScan For Windows

23 Sep 2010 10:44:19 - C:\Windows\system32\inetcomm.dll (739328), 15-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System

23 Sep 2010 10:44:19 - C:\Windows\system32\MP4SDECD.DLL (317952), 15-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System

23 Sep 2010 10:44:19 - C:\Windows\system32\usp10.dll (502272), 15-Sep-2010, Microsoft Corporation, Microsoft(R) Uniscribe Unicode script processor

23 Sep 2010 10:44:19 - C:\Windows\system32\vsdata.dll (112128), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service DLL

23 Sep 2010 10:44:19 - C:\Windows\system32\vsinit.dll (228864), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service

23 Sep 2010 10:44:19 - C:\Windows\system32\vsmonapi.dll (107520), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Client Interface

23 Sep 2010 10:44:19 - C:\Windows\system32\vspubapi.dll (302592), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service

23 Sep 2010 10:44:19 - C:\Windows\system32\vsregexp.dll (58368), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service

23 Sep 2010 10:44:19 - C:\Windows\system32\vsutil.dll (713728), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service

23 Sep 2010 10:44:19 - C:\Windows\system32\vsutil_loc0407.dll (46592), 21-Sep-2010, Zone Labs Inc., TrueVector Service

23 Sep 2010 10:44:19 - C:\Windows\system32\vswmi.dll (43008), 21-Sep-2010, Check Point Software Technologies LTD, vsmon component

23 Sep 2010 10:44:19 - C:\Windows\system32\vsxml.dll (110080), 21-Sep-2010, Check Point Software Technologies LTD, TrueVector Service

23 Sep 2010 10:44:19 - C:\Windows\system32\zlcomm.dll (69120), 21-Sep-2010, Check Point Software Technologies LTD, ZLComm

23 Sep 2010 10:44:19 - C:\Windows\system32\zlcommdb.dll (103936), 21-Sep-2010, Check Point Software Technologies LTD, ZLCommDB

23 Sep 2010 10:44:19 - C:\Windows\system32\zpeng25.dll (1238528), 21-Sep-2010, Check Point Software Technologies LTD, Check Point Endpoint Security

23 Sep 2010 10:44:19 - C:\Windows\system32\drivers\mbamswissarmy.sys (38224), 21-Sep-2010, Malwarebytes Corporation, Malwarebytes' Anti-Malware

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\BACKUP.11712189.mexe.com (2505288), 23-Sep-2010, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\bdc.exe (91904), 23-Sep-2010, MicroWorld Tech, eScan

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\bdfltlib2k.dll (231944), 23-Sep-2010, MicroWorld Technologies Inc., eScan for Windows

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\clean.bat (11), 23-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\clean.bat to ZIP FILE]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\DEVCON.EXE (61184), 23-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\download.exe (785416), 23-Sep-2010, MicroWorld Technologies Inc., eScan

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\eEmpty.exe (34048), 23-Sep-2010, MicroWorld Technologies Inc., eScan For Windows

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\encdec.dll (162824), 23-Sep-2010, MicroWorld Technologies Inc., eScan/MailScan/eConceal

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\erootdrv.sys (13832), 23-Sep-2010, MicroWorld Technologies Inc., eScan/MWAV

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\mexe.com (2505288), 23-Sep-2010, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\msvclnt.dll (236040), 23-Sep-2010, MicroWorld Technologies Inc., MailScan

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\mwavdwnl.exe (785416), 23-Sep-2010, MicroWorld Technologies Inc., eScan

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\MWAVSCAN.COM (2505288), 23-Sep-2010, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\plugins.htm (3932), 23-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\plugins.htm to ZIP FILE]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\red32.dll (10248), 23-Sep-2010, Microsoft Corporation, Microsoft® Windows® Operating System

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\reload.exe (158728), 23-Sep-2010, MicroWorld Technologies Inc., eScan for Windows

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\setpriv.exe (64520), 23-Sep-2010, MicroWorld Technologies Inc, eScan AntiVirus Toolkit Utility

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\SSUPDATE64.EXE (411376), 23-Sep-2010, SUPERAntiSpyware.com, SUPERAntiSpyware Update Application

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\unregx.exe (76296), 23-Sep-2010, MicroWorld Technologies Inc, MicroWorld AntiVirus Toolkit Utility

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\UPDLL10.DLL (856584), 23-Sep-2010, MicroWorld Technologies Inc., eScan/MailScan/MWAV

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\viewtcp.exe (574472), 23-Sep-2010, MicroWorld Technologies Inc., ViewTCP

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\~DF2FC6.tmp (98304), 22-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\~DF2FC6.tmp to ZIP FILE]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\~DF7185.tmp (98304), 22-Sep-2010 [Added C:\Users\user\AppData\Local\Temp\~DF7185.tmp to ZIP FILE]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\~DFC12E.tmp (98304), 23-Sep-2010 [Unable to Add C:\Users\user\AppData\Local\Temp\~DFC12E.tmp to ZIP FILE! ResultCode: 512]

 

23 Sep 2010 10:44:19 - C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\Fonts, 02-Nov-2006 [SR] [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\ftpcache, 12-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\Internet Logs, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\Media, 02-Nov-2006 [SR] [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\msdownld.tmp, 09-Jul-2009 [H] [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\usgwmt, 08-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\system32\svhost, 06-Jan-2010 [HSR] [Ordner]

23 Sep 2010 10:44:19 - C:\Windows\system32\ZoneLabs, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Boot, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\Documents and Settings, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\Dokumente und Einstellungen, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData, 02-Nov-2006 [H] [Ordner]

23 Sep 2010 10:44:19 - C:\Programme, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\rsit, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\AVCBack, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\FtpTemp, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\FtpTempF, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\hsperfdata_user, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\IswTmp, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\LOCK, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\Log, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\Low, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\MessengerCache, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\plugins, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\plugtmp, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\SUPERSetup, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\swtlib-32, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\tmp000063a5, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\UpdateWizard_37734, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\UpdateWizard_47241, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Local\Temp\WPDNSE, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\Malwarebytes, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\Microsoft, 07-Sep-2007 [S] [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\SecuROM, 12-Sep-2007 [HR] [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\SUPERAntiSpyware.com, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\Uniblue, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Users\user\AppData\Roaming\vlc, 12-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\!SASCORE, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Anwendungsdaten, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Application Data, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\CheckPoint, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Desktop, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Documents, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Dokumente, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Favoriten, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Malwarebytes, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Microsoft, 02-Nov-2006 [S] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\MicroWorld, 23-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\SecuROM, 30-Jul-2010 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Start Menu, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Startmenü, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\SUPERAntiSpyware.com, 22-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Templates, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\Vorlagen, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\{55A29068-F2CE-456C-9148-C869879E2357}, 15-Nov-2008 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}, 31-Oct-2009 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\..\Boot, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\..\Documents and Settings, 02-Nov-2006 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\..\Dokumente und Einstellungen, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\..\ProgramData, 02-Nov-2006 [H] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\..\Programme, 07-Sep-2007 [HS] [Ordner]

23 Sep 2010 10:44:19 - C:\ProgramData\..\rsit, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\Amnesia - The Dark Descent Demo, 18-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\FastStone Image Viewer, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\JoWooD, 12-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\Malwarebytes' Anti-Malware, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\Trend Micro, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\Zone Labs, 21-Sep-2010 [Ordner]

23 Sep 2010 10:44:19 - C:\Program Files (x86)\Common Files\MicroWorld, 23-Sep-2010 [Ordner]

 

23 Sep 2010 10:44:19 - *********************************************************************************************

 

23 Sep 2010 10:44:43 - Aktuellstes  Datum der in MWAV enthaltenen Dateien: Thu Sep 23 09:10:14 2010.

23 Sep 2010 10:44:43 - Plugins FileCount: 784 Sign Version: 7.34001

23 Sep 2010 10:44:43 - Loading/Creating FileScan Database C:\ProgramData\MicroWorld\MWAV\ESCANDBX.MDB [Log: C:\Users\user\AppData\Local\Temp\ESCANDB.LOG]

23 Sep 2010 10:44:43 - Loaded/Created FileScan Database...

23 Sep 2010 10:44:43 - Loading AV Library [DB]...

23 Sep 2010 10:44:44 - AV Library Loaded [DB-DIRECT].

23 Sep 2010 10:44:44 - MWAV doing self scanning...

23 Sep 2010 10:44:44 - MWAV files are clean.
23 Sep 2010 10:45:41 - Virendatenbankdatum: 23 Sep 2010
23 Sep 2010 10:45:41 - Virendatenbankzähler: 6436757
23 Sep 2010 10:45:43 - Antiviren- und Antispywaredatenbanken werden heruntergeladen...
23 Sep 2010 10:46:00 - Erfolgreich heruntergeladen...
23 Sep 2010 10:46:02 - Indexed Spyware Databases Successfully Created...
23 Sep 2010 10:46:02 - Old Sign Version: 7.34001    New Sign Version: 7.34002
23 Sep 2010 10:46:14 - Antiviren-Signaturen wurden erfolgreich nachgeladen.
23 Sep 2010 10:46:14 - Virendatenbankdatum: 23 Sep 2010
23 Sep 2010 10:46:14 - Virendatenbankzähler: 6437736
 
23 Sep 2010 10:46:57 - **********************************************************
23 Sep 2010 10:46:57 - eScan Antivirus und Spyware Werkzeugsatz.
23 Sep 2010 10:46:57 - Copyright © MicroWorld
23 Sep 2010 10:46:57 -
23 Sep 2010 10:46:57 - Support: support@escanav.com
23 Sep 2010 10:46:57 - Web: hxxp://www.escanav.com
23 Sep 2010 10:46:57 - **********************************************************
23 Sep 2010 10:46:57 - Version 12.0.49[DB] (C:\USERS\USER\APPDATA\LOCAL\TEMP\MEXE.COM)
23 Sep 2010 10:46:57 - Logdatei: C:\Users\user\AppData\Local\Temp\MWAV.LOG
23 Sep 2010 10:46:57 - User Account: user (Administrator Mode)
23 Sep 2010 10:46:57 - Windows Root  Folder: C:\Windows
23 Sep 2010 10:46:57 - Windows Sys32 Folder: C:\Windows\system32
23 Sep 2010 10:46:57 - OS: Windows Vista 64-Bit [OS Install Date: 07 Sep 2007 17:31:55]
23 Sep 2010 10:46:57 - Ver: Personal Service Pack 2 (Build 6002)
23 Sep 2010 10:46:57 - Aktuellstes  Datum der in MWAV enthaltenen Dateien: Thu Sep 23 09:10:14 2010.
23 Sep 2010 10:46:57 - Plugins FileCount: 785 Sign Version: 7.34002
 
23 Sep 2010 10:46:58 - Vom Benutzer gewählte Optionen:
23 Sep 2010 10:46:58 - Speicherüberprüfung: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Registrierungsdatenbank: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung des Startordners: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung des Systemordners: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Dienste: Aktiviert
23 Sep 2010 10:46:58 - Scannen Spyware: Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Laufwerke: Deaktiviert
23 Sep 2010 10:46:58 - Überprüfung aller Laufwerke:Aktiviert
23 Sep 2010 10:46:58 - Überprüfung der Ordner: Aktiviert
23 Sep 2010 10:46:58 - Gewählter Ordner = C:\
23 Sep 2010 10:46:58 - SCAN: All_Files
23 Sep 2010 10:46:58 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)
 
 
23 Sep 2010 10:46:58 - ***** Speicherdateien werden gescannt *****
 
23 Sep 2010 10:47:07 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
23 Sep 2010 10:47:14 - ERROR(3)!!! Invalid Entry  = "%1" %* (in key HKCR\htafile\shell\open\command). Action Taken: Removing it.
 
23 Sep 2010 10:47:14 - *****  Startordner werden gescannt *****
 
23 Sep 2010 10:50:53 - ***** Dateien bezüglich Dienste werden gescannt *****
23 Sep 2010 10:50:53 - ERROR(2)!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\blbdrive.
23 Sep 2010 10:50:54 - ERROR(2)!!! Invalid Entry \??\C:\Program Files (x86)\MediaCoder\SysInfoX64.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\CrystalSysInfo.
23 Sep 2010 10:50:54 - ERROR(2)!!! Invalid Entry \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\esgiguard.
23 Sep 2010 10:50:54 - ERROR(2)!!! Invalid Entry C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\HotspotShieldService.
23 Sep 2010 10:50:55 - ERROR(2)!!! Invalid Entry \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP2\Sandra.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\SANDRA.
23 Sep 2010 10:50:55 - ERROR(2)!!! Invalid Entry C:\Windows\System32\uxtuneup.dll. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\UxTuneUp.
23 Sep 2010 10:50:55 - ERROR(2)!!! Invalid Entry System32\drivers\vsdatant.win7.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\vsdatant7.
 
23 Sep 2010 10:50:56 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
23 Sep 2010 10:50:56 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: C:\Users\user\AppData\Local\Temp\spydb.avs, Größe: 953464]...
23 Sep 2010 10:50:56 - Indexed Spyware Databases Successfully Created...
 
23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{205286E5-F5F2-4306-BDB1-864245E33227}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{6C815596-821F-40b3-8A84-643B73A8EB16}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{91CA4D38-EA2B-4f3c-94DE-36C1386182FC}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{AF698A5B-24D6-4f78-AE95-204B09EDC7B6}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{AFA7FF39-1DDF-4f70-A2D5-23FCFFF02E5F}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{D1A7F7E0-D4E9-49e8-BF2C-CEAA01D2E670}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:50:57 - Offending file found: C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{E91579C0-4EA9-4a2a-A9B2-04BEF1D6DC29}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:50:57 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:50:57 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:01 - Offending file found: C:\Users\user\AppData\Roaming\Ebner\Steig ein! 7.3\{5EE4D699-36AE-4C0D-ADCC-C874FB0BDAD1}\0
23 Sep 2010 10:51:01 - System found infected with PC Sweeper (0)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:01 - Objekt "PC Sweeper" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{205286E5-F5F2-4306-BDB1-864245E33227}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{6AD1A63B-AB60-439B-AD8E-F28CAE8C631D}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{6C815596-821F-40b3-8A84-643B73A8EB16}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{91CA4D38-EA2B-4f3c-94DE-36C1386182FC}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AF698A5B-24D6-4f78-AE95-204B09EDC7B6}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AFA7FF39-1DDF-4f70-A2D5-23FCFFF02E5F}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{D1A7F7E0-D4E9-49e8-BF2C-CEAA01D2E670}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:06 - Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{E91579C0-4EA9-4a2a-A9B2-04BEF1D6DC29}\SupportTasks\0\Home Page.lnk
23 Sep 2010 10:51:06 - System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:06 - Objekt "User Account Control (Fake) Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:51:07 - Offending file found: C:\install.exe
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (C:\install.exe)! Action taken: Datei gelöscht.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKCR\Licenses\7C35CA30-D112-11cf-8E72-00A0C90F26F8
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (HKCR\Licenses\7C35CA30-D112-11cf-8E72-00A0C90F26F8)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKCU\SOFTWARE\Ms
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (HKCU\SOFTWARE\Ms)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\VideoPlugin
23 Sep 2010 10:51:07 - System found infected with combo Spyware/Adware (HKLM\SOFTWARE\Microsoft\VideoPlugin)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Offending Registry Entry found: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
23 Sep 2010 10:51:07 - System found infected with Orifice2K.plugin Trojan (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)! Action taken: Einträge entfernt.
23 Sep 2010 10:51:07 - Objekt "Orifice2K.plugin Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.

 
23 Sep 2010 10:51:07 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
23 Sep 2010 10:51:08 - Clearing Temporary sub-folders as Spyware/Adware found in system...
23 Sep 2010 10:51:09 - Few files will be deleted *ONLY* on reboot...
23 Sep 2010 10:51:09 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
23 Sep 2010 10:51:09 - ** Deleted Value of "NoActiveDesktop" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer". Its value was DWORD:1.
23 Sep 2010 10:51:09 - ** Deleted Value of "ForceActiveDesktopOn" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer". Its value was DWORD:0.
23 Sep 2010 10:51:09 - ** Deleted Value of "NoComponents" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop". Its value was DWORD:1.
23 Sep 2010 10:51:09 - ** Deleted Value of "NoAddingComponents" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop". Its value was DWORD:1.
23 Sep 2010 10:51:09 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://www.gamezone.de/
 
23 Sep 2010 10:51:09 - ***** System32-Ordner werden gescannt *****
 
 
23 Sep 2010 10:52:55 - ***** Alle Laufwerke werden gescannt *****
23 Sep 2010 10:52:55 - Laufwerk C:\ wird gescannt ...
23 Sep 2010 10:52:56 - C:\Boot\BCD konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 10:52:56 - C:\Boot\BCD.LOG konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreA.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreB.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreC.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreD.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreE.dll wird gescannt
23 Sep 2010 10:59:07 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMCoreE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesA.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesB.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesC.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesD.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesE.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMDataServicesE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreA.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreB.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreC.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreD.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreE.dll wird gescannt
23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:08 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreF.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreF.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreG.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreG.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreH.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreH.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreI.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreI.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreJ.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreJ.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchA.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchA.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchB.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchB.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchC.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchC.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchD.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchD.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchE.dll wird gescannt
23 Sep 2010 10:59:09 - Datei C:\Program Files (x86)\Common Files\Nero\Lib\NMSearchE.dll ist markiert als "NULL.Corrupted". Maßnahme ergriffen: Datei gelöscht.

23 Sep 2010 11:14:09 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4888c91b.qua wird gescannt
23 Sep 2010 11:14:09 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4888c91b.qua ist durch den Virus "Generic.Malware.SP!N!!VPk!.9037F4C2 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f32.qua wird gescannt
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f32.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f35.qua wird gescannt
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f35.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f37.qua wird gescannt
23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f37.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:14:13 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f3d.qua wird gescannt
23 Sep 2010 11:14:14 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4b783f3d.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.


DIESER LETZTE EINTRAG KOMMT NUN STÄNDIG -> ausgelassen!
....

So gehts weiter:

23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb1bfa4.qua wird gescannt
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb1bfa4.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb7bf97.qua wird gescannt
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bb7bf97.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bbcbf93.qua wird gescannt
23 Sep 2010 11:44:26 - Datei C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4bbcbf93.qua ist durch den Virus "Trojan.Generic.2934596 (DB)" infiziert!  Maßnahme ergriffen: Datei umbenannt.

23 Sep 2010 11:44:41 - C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:44:42 - C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:44:42 - C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:46:13 - C:\Users\user\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:50:55 - Datei C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p?????????  wird gescannt
23 Sep 2010 11:50:55 - ERROR(3)!!! ScanFile fails for C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p?????????
23 Sep 2010 11:50:55 - Datei C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p?????????  wird gescannt
23 Sep 2010 11:50:55 - ERROR(3)!!! ScanFile fails for C:\Users\user\AppData\Roaming\SecuROM\UserData\???????????p?????????
23 Sep 2010 11:52:35 - C:\Users\user\ntuser.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:52:35 - C:\Users\user\ntuser.dat.LOG2 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:26 - C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:26 - C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:27 - C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 11:59:43 - C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:02:07 - C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:02:07 - C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
23 Sep 2010 12:02:07 - C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
 
23 Sep 2010 12:54:20 - *****Auf bestimmte ITW-Viren wird geprüft *****
 
23 Sep 2010 12:54:21 - ***** Scannen abgeschlossen *****
 
23 Sep 2010 12:54:21 - Zahl der gescannten Objekte: 266840
23 Sep 2010 12:54:21 - Zahl der kritischen Objekte: 8025
23 Sep 2010 12:54:21 - Zahl der desinfizierten Objekte: 0
23 Sep 2010 12:54:21 - Zahl der umbenannten Objekte: 8004
23 Sep 2010 12:54:21 - Zahl der gelöschten Objekte: 46
23 Sep 2010 12:54:21 - Gesamtzahl der Fehler: 8
23 Sep 2010 12:54:21 - Zeit verstrichen: 02:05:35
23 Sep 2010 12:54:21 - Virendatenbankdatum: 23 Sep 2010
23 Sep 2010 12:54:21 - Virendatenbankzähler: 6437736
 
23 Sep 2010 12:54:21 - Scannen abgeschlossen.

Leonixx 23.09.2010 12:46
Das hat wohl eScan versucht die Dateien in Quarantäne von Antivir umzubenennen. Kannst du mir nochmal RSIT Logs posten?

Anschließend Combofix anwenden.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren

bresch6 23.09.2010 14:21
Hier mal die RSIT Logs:

RSIT Logfile:
Code:
Logfile of random's system information tool 1.08 (written by random/random)
Run by user at 2010-09-23 15:15:47
Microsoft® Windows Vista™ Home Premium  Service Pack 2
System drive C: has 10 GB (4%) free of 238 GB
Total RAM: 4094 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:15:53, on 23.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\user\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\user.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mustermann.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://www.mustermann.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://www.mustermann.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.mustermann.com/
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.31.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525700} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c98d47b52ad115) (gupdate1c98d47b52ad115) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8380 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2010-07-17 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
Hotspot Shield Class - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll [2010-06-23 230448]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792]
"ZoneAlarm Client"=C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe [2010-06-28 1043968]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\!SASCORE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=153

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktopChanges"=1
"BindDirectlyToPropertySetStorage"=0
"NoDriveTypeAutoRun"=153

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\SysWOW64\Notepad.exe %1
.js - open - C:\Windows\SysWOW64\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-09-23 10:46:02 ----AD---- C:\Windows\VDLL.DLL
2010-09-23 10:46:02 ----AD---- C:\Windows\SysWOW64\runouce.exe
2010-09-23 10:46:02 ----AD---- C:\Windows\rundll16.exe
2010-09-23 10:46:02 ----AD---- C:\Windows\RUNDL132.EXE
2010-09-23 10:46:02 ----AD---- C:\Windows\logo1_.exe
2010-09-23 10:46:02 ----AD---- C:\Windows\logo_1.exe
2010-09-23 09:57:55 ----A---- C:\Windows\SysWOW64\msvcr80.dll
2010-09-23 09:57:54 ----A---- C:\Windows\SysWOW64\msvcp80.dll
2010-09-23 09:57:53 ----A---- C:\Windows\SysWOW64\eEmpty.exe
2010-09-23 09:57:50 ----D---- C:\Program Files (x86)\Common Files\MicroWorld
2010-09-23 09:57:48 ----D---- C:\ProgramData\MicroWorld
2010-09-22 17:37:23 ----D---- C:\Users\user\AppData\Roaming\SUPERAntiSpyware.com
2010-09-22 17:37:23 ----D---- C:\ProgramData\SUPERAntiSpyware.com
2010-09-22 17:37:20 ----D---- C:\ProgramData\!SASCORE
2010-09-21 22:21:48 ----D---- C:\rsit
2010-09-21 20:55:40 ----A---- C:\Windows\SysWOW64\drivers\mbamswissarmy.sys
2010-09-21 20:55:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2010-09-21 20:37:08 ----D---- C:\Program Files (x86)\FastStone Image Viewer
2010-09-21 19:34:45 ----A---- C:\Windows\SysWOW64\vsutil_loc0407.dll
2010-09-21 19:34:42 ----A---- C:\Windows\SysWOW64\vsregexp.dll
2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcommdb.dll
2010-09-21 19:33:47 ----A---- C:\Windows\SysWOW64\zlcomm.dll
2010-09-21 19:33:45 ----A---- C:\Windows\SysWOW64\vswmi.dll
2010-09-21 19:33:43 ----D---- C:\Windows\SysWOW64\ZoneLabs
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\zpeng25.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsxml.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vspubapi.dll
2010-09-21 19:33:43 ----A---- C:\Windows\SysWOW64\vsmonapi.dll
2010-09-21 19:33:42 ----A---- C:\Windows\SysWOW64\vsdata.dll
2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsutil.dll
2010-09-21 19:31:02 ----A---- C:\Windows\SysWOW64\vsinit.dll
2010-09-21 18:55:19 ----D---- C:\Program Files (x86)\Zone Labs
2010-09-21 18:55:12 ----D---- C:\Windows\Internet Logs
2010-09-21 18:55:12 ----D---- C:\ProgramData\CheckPoint
2010-09-21 18:35:53 ----D---- C:\Program Files (x86)\Trend Micro
2010-09-21 16:02:48 ----D---- C:\Users\user\AppData\Roaming\Malwarebytes
2010-09-21 16:02:35 ----D---- C:\ProgramData\Malwarebytes
2010-09-21 15:54:17 ----N---- C:\autoexec.bat
2010-09-21 15:53:30 ----D---- C:\Windows\95431C66CF9A4913BFFF6050785AFB65.TMP
2010-09-21 15:47:26 ----D---- C:\Users\user\AppData\Roaming\Uniblue
2010-09-18 11:15:29 ----D---- C:\Program Files (x86)\Amnesia - The Dark Descent Demo
2010-09-15 09:18:05 ----A---- C:\Windows\SysWOW64\MP4SDECD.DLL
2010-09-15 09:17:59 ----A---- C:\Windows\SysWOW64\inetcomm.dll
2010-09-15 09:17:58 ----A---- C:\Windows\SysWOW64\usp10.dll
2010-09-12 15:34:29 ----D---- C:\Users\user\AppData\Roaming\vlc
2010-09-12 10:53:13 ----D---- C:\Program Files (x86)\JoWooD
2010-09-08 13:19:33 ----D---- C:\Windows\usgwmt
2010-09-06 15:39:41 ----D---- C:\Hotspot Shield
2010-09-06 15:39:39 ----D---- C:\Program Files (x86)\Hotspot Shield
2010-08-29 18:02:35 ----D---- C:\Fraps
2010-08-27 11:33:29 ----A---- C:\Windows\SysWOW64\uxtuneup.dll
2010-08-27 11:33:24 ----A---- C:\Windows\SysWOW64\authuitu.dll
2010-08-26 22:45:40 ----D---- C:\Program Files (x86)\QuickTime

======List of files/folders modified in the last 1 months======

2010-09-23 15:15:40 ----D---- C:\Windows\Temp
2010-09-23 15:14:11 ----D---- C:\ProgramData\NVIDIA
2010-09-23 13:27:48 ----D---- C:\Users\user\AppData\Roaming\Azureus
2010-09-23 13:08:03 ----A---- C:\Windows\NeroDigital.ini
2010-09-23 13:03:08 ----D---- C:\Windows\Prefetch
2010-09-23 10:46:02 ----D---- C:\Windows\SysWOW64
2010-09-23 10:46:02 ----D---- C:\Windows
2010-09-23 09:57:50 ----D---- C:\Program Files (x86)\Common Files
2010-09-23 09:57:48 ----HD---- C:\ProgramData
2010-09-22 17:37:19 ----RD---- C:\Program Files
2010-09-22 16:28:09 ----SHD---- C:\System Volume Information
2010-09-22 15:41:52 ----SHD---- C:\Boot
2010-09-22 12:16:19 ----D---- C:\Program Files (x86)
2010-09-21 20:55:40 ----D---- C:\Windows\SysWOW64\drivers
2010-09-21 20:02:48 ----D---- C:\Windows\System32
2010-09-21 20:02:48 ----D---- C:\Windows\inf
2010-09-21 19:34:28 ----D---- C:\Windows\winsxs
2010-09-21 18:35:54 ----SHD---- C:\Windows\Installer
2010-09-21 18:22:14 ----D---- C:\Users\user\AppData\Roaming\Desktopicon
2010-09-21 16:07:40 ----D---- C:\Users\user\AppData\Roaming\uTorrent
2010-09-21 15:53:29 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2010-09-21 15:51:43 ----D---- C:\Windows\Tasks
2010-09-21 11:57:12 ----D---- C:\Windows\registration
2010-09-21 11:57:12 ----D---- C:\Users\user\AppData\Roaming\dvdcss
2010-09-21 11:57:12 ----D---- C:\Program Files (x86)\MyMicroBalance
2010-09-21 09:32:50 ----D---- C:\Users\user\AppData\Roaming\Skype
2010-09-21 09:08:50 ----D---- C:\Users\user\AppData\Roaming\skypePM
2010-09-20 15:20:20 ----RD---- C:\Users
2010-09-19 14:19:44 ----RSD---- C:\Windows\assembly
2010-09-17 09:31:33 ----D---- C:\Program Files (x86)\Mozilla Firefox
2010-09-15 09:24:15 ----D---- C:\Program Files (x86)\Windows Mail
2010-09-15 09:23:44 ----A---- C:\Windows\win.ini
2010-09-11 21:07:53 ----D---- C:\ProgramData\Tunngle
2010-09-11 21:07:52 ----D---- C:\Users\user\AppData\Roaming\Tunngle
2010-09-08 11:34:11 ----D---- C:\Program Files (x86)\iTunes
2010-09-08 11:33:37 ----D---- C:\Program Files (x86)\Common Files\Apple
2010-09-08 11:32:55 ----D---- C:\Program Files (x86)\JDownloader
2010-09-06 14:42:13 ----D---- C:\Windows\AppPatch
2010-09-06 14:12:50 ----D---- C:\ProgramData\NOS
2010-09-03 06:41:17 ----D---- C:\Program Files (x86)\Microsoft Silverlight
2010-08-29 20:34:11 ----A---- C:\Windows\SysWOW64\PnkBstrB.exe
2010-08-27 11:33:20 ----D---- C:\Program Files (x86)\TuneUp Utilities 2010
2010-08-26 16:52:59 ----A---- C:\Windows\SysWOW64\PerfStringBackup.INI
2010-08-25 21:40:07 ----SD---- C:\Windows\Downloaded Program Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 JGOGO;JMicron Hot-Plug Driver; C:\Windows\system32\DRIVERS\JGOGO.sys []
R0 JRAID;JRAID; C:\Windows\system32\DRIVERS\jraid.sys []
R0 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys []
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys []
R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [2010-02-17 14920]
R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [2010-02-17 12360]
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys []
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys []
R3 HssDrv;Hotspot Shield Helper Miniport; C:\Windows\system32\DRIVERS\HssDrv.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 tap0901t;TAP-Win32 Adapter V9 (Tunngle); C:\Windows\system32\DRIVERS\tap0901t.sys []
R3 taphss;Anchorfree HSS Adapter; C:\Windows\system32\DRIVERS\taphss.sys []
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2009-10-14 11856]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\Windows\system32\drivers\WmBEnum.sys []
R3 WmXlCore;Logitech Translation Layer Driver; C:\Windows\system32\drivers\WmXlCore.sys []
S3 ass4xu5i;ass4xu5i; C:\Windows\SysWOW64\drivers\ass4xu5i.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys []
S3 gdrv;gdrv; \??\C:\Windows\gdrv.sys [2007-09-10 22336]
S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 USBAAPL64;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl64.sys []
S3 WmFilter;Logitech Gaming HID Filter Driver; C:\Windows\system32\drivers\WmFilter.sys []
S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\Windows\system32\drivers\WmVirHid.sys []
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 xusb21;Xbox 360 Wireless Receiver Driver Service 21; C:\Windows\system32\DRIVERS\xusb21.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 !SASCORE;SAS Core Service; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [2010-06-29 128752]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-04-19 267432]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-08-13 144672]
R2 Bonjour Service;Dienst "Bonjour"; C:\Program Files (x86)\Bonjour\mDNSResponder.exe [2010-05-18 345376]
R2 HssSrv;Hotspot Shield Routing Service; C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe [2010-06-23 348208]
R2 HssWd;Hotspot Shield Monitoring Service; C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe [2010-06-23 322608]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-07-29 75064]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2010-08-26 1403200]
R2 TunngleService;TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [2010-06-24 715512]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\SysWOW64\ZoneLabs\vsmon.exe [2010-06-28 2435592]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 gupdate1c98d47b52ad115;Google Update Service (gupdate1c98d47b52ad115); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-02-12 133104]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]
S3 HssTrayService;Hotspot Shield Tray Service; C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE [2010-07-27 57640]
S3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2010-09-01 932640]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-19 19968]
S3 Steam Client Service;Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe [2010-03-03 332720]
S3 TuneUp.Defrag;@C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1; C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe [2010-08-27 607040]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
S4 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE [2006-04-18 102400]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
S4 NMIndexingService;NMIndexingService; C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S4 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files (x86)\CyberLink\Shared Files\RichVideo.exe [2005-08-08 167936]

-----------------EOF-----------------
--- --- ---


[code]info.txtRSIT Logfile:
Code:
logfile of random's system information tool 1.08 2010-09-23 15:15:55

======Uninstall list======

-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files (x86)\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
µTorrent-->"C:\Program Files (x86)\uTorrent\uTorrent.exe" /UNINSTALL
7-Zip 9.15 beta-->"C:\Program Files (x86)\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10i_Plugin.exe -maintain plugin
Adobe Reader 9.3.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
Adobe Shockwave Player-->C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log
Amnesia - The Dark Descent Demo-->"C:\Program Files (x86)\Amnesia - The Dark Descent Demo\unins000.exe"
Apple Application Support-->MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Ashampoo Magical Optimizer-->"C:\Program Files (x86)\Ashampoo\Ashampoo Magical Optimizer\Uninstall\1406_Uninstall.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files (x86)\Avira\AntiVir Desktop\setup.exe /REMOVE
Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E5141379-B2D9-4BBC-BB2A-5805541571DD}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}\setup.exe -runfromtemp -l0x0409
Citrix XenApp Web Plugin-->MsiExec.exe /X{EBFEEB3F-3E3B-4725-A4E0-376144CE4F76}
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Counter-Strike: Source-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/240
DivX Converter-->C:\Program Files (x86)\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files (x86)\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files (x86)\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FastStone Image Viewer 4.2-->C:\Program Files (x86)\FastStone Image Viewer\uninst.exe
Fraps-->"C:\Fraps\uninstall.exe"
Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7  -removeonly
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Gothic II - Die Nacht des Raben-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Gothic II-->C:\PROGRA~2\JoWooD\GOTHIC~1\UNWISE.EXE C:\PROGRA~2\JoWooD\GOTHIC~1\INSTALL.LOG
Grand Theft Auto IV-->"C:\Program Files (x86)\InstallShield Installation Information\{579BA58C-F33D-4970-9953-B94B43768AC3}\setup.exe" -runfromtemp -l0x0007 -removeonly
Grand Theft Auto IV-->MsiExec.exe /I{5454083B-1308-4485-BF17-1110000D8301}
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
HiJackThis-->MsiExec.exe /X{45A66726-69BC-466B-A7A4-12FCBA4883D7}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {08155812-0202-4D5F-A7FF-12A2782DC548} /qb+ REBOOTPROMPT=""
Hotspot Shield 1.49-->C:\Program Files (x86)\Hotspot Shield\Uninstall.exe
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 21-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
JDownloader-->C:\Program Files (x86)\JDownloader\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe"
Medieval II Total War-->C:\Program Files (x86)\InstallShield Installation Information\{C0698BDA-0D29-40EE-8570-A31106DF9AB1}\setup.exe -runfromtemp -l0x0007 -removeonly
Microsoft AppLocale-->MsiExec.exe /I{394BE3D9-7F57-4638-A8D1-1D88671913B7}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{8FB1B528-E260-451E-9B55-E9152F94B80B}
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{F97E3841-CA9D-4964-9D64-26066241D26F}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{6AFCA4E1-9B78-3640-8F72-A7BF33448200}
Microsoft XNA Framework Redistributable 3.0-->MsiExec.exe /I{3898934B-05AE-41CD-96BE-70DA9BFBCE1F}
Mozilla Firefox (3.6.10)-->C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MyMicroBalance-->MsiExec.exe /I{9B219133-CA46-47EF-98E1-AB12E32D53F9}
Nero 8-->MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA PhysX-->MsiExec.exe /X{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
ODF Add-in for Microsoft Office-->MsiExec.exe /I{59D1195A-7E64-4120-BB37-F053D9FD45FB}
OpenAL-->"C:\Program Files (x86)\OpenAL\oalinst.exe" /U
PDF24 Creator-->"C:\Program Files (x86)\pdf24\unins000.exe"
Portal-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/400
PowerDVD-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe"  -uninstall
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
QuickTime-->MsiExec.exe /I{EB900AF8-CC61-4E15-871B-98D1EA3E8025}
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe"  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Shared Add-in Extensibility Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{09959E11-AD5D-408E-96AF-E3346954D6B8}
Shared Add-in Support Update for Microsoft .NET Framework 2.0 (KB908002)-->MsiExec.exe /X{64F3B15C-24C7-4B2B-9B72-65CCBBD7F06B}
Shockwave-->C:\Windows\System32\Macromed\SHOCKW~2\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~2\Install.log
Skype™ 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Source SDK Base - Orange Box-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/218
Source SDK Base-->"C:\Program Files (x86)\Valve\Steam\steam.exe" steam://uninstall/215
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
TuneUp Utilities-->C:\Program Files (x86)\TuneUp Utilities 2010\TUInstallHelper.exe --Trigger-Uninstall
Tunngle beta-->"C:\Program Files (x86)\Tunngle\unins000.exe"
TweakNow RegCleaner Standard-->"C:\Program Files (x86)\TweakNow RegCleaner Std\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->c:\Windows\SysWOW64\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VLC media player 1.1.4-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Vuze-->C:\Program Files (x86)\Vuze\uninstall.exe
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files (x86)\WinRAR\uninstall.exe
WinSCP 4.0.7-->"C:\Program Files (x86)\WinSCP\unins000.exe"
WinZip 11.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}
Wolfenstein(TM) 1.1 Patch-->C:\Program Files (x86)\InstallShield Installation Information\{E03B44A3-9237-4B55-B7A5-DB1DD46920D3}\setup.exe -runfromtemp -l0x0409
ZoneAlarm-->C:\Program Files (x86)\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

AS: Avira AntiVir PersonalEdition
AS: Windows-Defender
AS: SUPERAntiSpyware (disabled)

======System event log======

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Benachrichtigungsdienst für Systemereignisse" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244712
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "COM+-Ereignissystem" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244711
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "TuneUp Designerweiterung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244710
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Softwarelizenzierung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244709
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 7036
Message: Dienst "Designs" befindet sich jetzt im Status "Ausgeführt".
Record Number: 244708
Source Name: Service Control Manager
Time Written: 20100306110300.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: MUSTERMANN
Event Code: 900
Message: Der Softwarelizenzierungsdienst wird gestartet.

Record Number: 43101
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090716155041.000000-000
Event Type: Informationen
User:

Computer Name: MUSTERMANN
Event Code: 1531
Message: Der Benutzerprofildienst wurde erfolgreich gestartet. 


Record Number: 43100
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090716155041.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MUSTERMANN
Event Code: 2
Message: Der Zertifikatdiensteclient wurde angehalten.
Record Number: 43099
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090716154945.883996-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MUSTERMANN
Event Code: 1530
Message: Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß. 

 DETAIL -
 2 user registry handles leaked from \Registry\User\S-1-5-21-3249559707-4023531275-2317400115-1000_Classes:
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000_CLASSES
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000_CLASSES

Record Number: 43098
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090716154939.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: MUSTERMANN
Event Code: 1530
Message: Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß. 

 DETAIL -
 19 user registry handles leaked from \Registry\User\S-1-5-21-3249559707-4023531275-2317400115-1000:
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 296 (\Device\HarddiskVolume1\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\trust
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\Root
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Policies\Microsoft\SystemCertificates
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\My
Process 1232 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-3249559707-4023531275-2317400115-1000\Software\Microsoft\SystemCertificates\CA

Record Number: 43097
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090716154939.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MUSTERMANN$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        5

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x280
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Arbeitsstationsname:       
        Quellnetzwerkadresse:        -
        Quellport:                -

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                Advapi 
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 84200
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.885139-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MUSTERMANN$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Zielserver:
        Zielservername:        localhost
        Weitere Informationen:        localhost

Prozessinformationen:
        Prozess-ID:                0x280
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Netzwerkadresse:        -
        Port:                        -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 84199
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.885139-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7

Berechtigungen:                SeAssignPrimaryTokenPrivilege
                        SeTcbPrivilege
                        SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeAuditPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege
Record Number: 84198
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.876139-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MUSTERMANN$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7

Anmeldetyp:                        5

Neue Anmeldung:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
        Prozess-ID:                0x280
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Arbeitsstationsname:       
        Quellnetzwerkadresse:        -
        Quellport:                -

Detaillierte Authentifizierungsinformationen:
        Anmeldeprozess:                Advapi 
        Authentifizierungspaket:        Negotiate
        Übertragene Dienste:        -
        Paketname (nur NTLM):        -
        Schlüssellänge:                0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
        - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 84197
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.876139-000
Event Type: Überwachung erfolgreich
User:

Computer Name: MUSTERMANN
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
        Sicherheits-ID:                S-1-5-18
        Kontoname:                MUSTERMANN$
        Kontodomäne:                WORKGROUP
        Anmelde-ID:                0x3e7
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
        Kontoname:                SYSTEM
        Kontodomäne:                NT-AUTORITÄT
        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}

Zielserver:
        Zielservername:        localhost
        Weitere Informationen:        localhost

Prozessinformationen:
        Prozess-ID:                0x280
        Prozessname:                C:\Windows\System32\services.exe

Netzwerkinformationen:
        Netzwerkadresse:        -
        Port:                        -

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 84196
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090916110121.876139-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\Wbem;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=2
"asl.log"=Destination=file;OnFirstLog=command,environment
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"CLASSPATH"=.;C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files (x86)\Java\jre6\lib\ext\QTJava.zip
"tvdumpflags"=8

-----------------EOF-----------------
--- --- ---

bresch6 23.09.2010 14:38
Zitat:
Zitat von Leonixx (Beitrag 571281)
Anschließend Combofix anwenden.
Hm, scheinbar funktioniert Combofix nicht unter Vista 64-Bit... CCleaner konnte ich aber normal ausführen.

Leonixx 23.09.2010 18:50
Sorry, mein Fehler. Vergiss CB.

Diese Datei bei Virustotal prüfen und Ergebnis posten.

C:\Windows\logo1_.exe

bresch6 23.09.2010 21:20
Zitat:
Zitat von Leonixx (Beitrag 571424)
Sorry, mein Fehler. Vergiss CB.

Diese Datei bei Virustotal prüfen und Ergebnis posten.

C:\Windows\logo1_.exe
Hm, das scheint keine Datei, sondern nur ein leerer Ordner zu sein... Soll ich den löschen?

Leonixx 24.09.2010 09:30
Geschützte Systemdateien eingeblendet bzw. versteckte Dateien und Ordner eingeschaltet?

bresch6 24.09.2010 10:23
Also ich hab jetzt unter "Ordneroptionen" im Reiter "Ansicht" unter "Versteckte Dateien und Ordner" auf "Alle Dateien und Ordner anzeigen" geklickt. Der Ordner logo1_.exe enthält aber nach wie vor keine Datei...

Leonixx 24.09.2010 10:25
Ok, dann bin ich erstmal mit meinem Latein am Ende. Bitte den Rechner in den nächsten Tagen mit Malwarebytes scannen. Wenn noch Probleme auftreten, dann hier wieder melden.

bresch6 28.09.2010 14:56
Jetzt muss ich den Thread leider doch noch mal hervorholen. Zwar ist mir "Winserv.exe" nicht mehr untergekommen, allerdings taucht nun seit gestern hin und wieder der Prozess "i4jdel0.exe" auf. Wenn der Prozess läuft, lassen sich weder Firefox noch IE starten. Wenn ich ihn beende, normalisiert sich das System wieder. Hab keine Ahnung was das soll... Irgendwelche Tipps?

Leonixx 28.09.2010 15:12
Hast du den Pfad du dieser exe Datei? Wenn ja, dann bei virustotal www.virustotal.com hochladen und auswerten.

Redwulf 28.09.2010 15:16
Hallo Bresch

Ich möchte da nicht meinem Vorredner ins Gehege kommen, dennoch die Frage nach der vollständigen Pfadangabe dieses Files.

Bitte lade dieses File auch mal bei Virustotal hoch und lasse es analysieren...

Poste dann bitte das Ergebnis hier....

bresch6 28.09.2010 15:53
Zitat:
Zitat von Redwulf (Beitrag 572887)
Hallo Bresch

Ich möchte da nicht meinem Vorredner ins Gehege kommen, dennoch die Frage nach der vollständigen Pfadangabe dieses Files.

Bitte lade dieses File auch mal bei Virustotal hoch und lasse es analysieren...

Poste dann bitte das Ergebnis hier....
Hallo Redwulf!

Unter dem Pfad "C:/users/user/appdata/local/temp" gibt es sowohl das File "i4jdel0.exe" als auch einen Ordner namens "e4j21D2.tmp_dir31596" in dem sich (ohne 0) nochmals "i4jdel.exe" sowie eine Datei mit dem Namen "exe4jlib.jar" befinden.

Ich habe alle drei Dateien bei Virustotal checken lassen und es wurde nichts gefunden!

"exe4jlib.jar" -->

Code:
Antivirus results
AhnLab-V3 - 2010.09.28.03 - 2010.09.28 - -
AntiVir - 7.10.12.59 - 2010.09.28 - -
Antiy-AVL - 2.0.3.7 - 2010.09.28 - -
Authentium - 5.2.0.5 - 2010.09.28 - -
Avast - 4.8.1351.0 - 2010.09.28 - -
Avast5 - 5.0.594.0 - 2010.09.28 - -
AVG - 9.0.0.851 - 2010.09.27 - -
BitDefender - 7.2 - 2010.09.28 - -
CAT-QuickHeal - 11.00 - 2010.09.28 - -
ClamAV - 0.96.2.0-git - 2010.09.28 - -
Comodo - 6224 - 2010.09.28 - -
DrWeb - 5.0.2.03300 - 2010.09.28 - -
eSafe - 7.0.17.0 - 2010.09.26 - -
eTrust-Vet - 36.1.7880 - 2010.09.28 - -
F-Prot - 4.6.2.117 - 2010.09.28 - -
F-Secure - 9.0.15370.0 - 2010.09.28 - -
Fortinet - 4.1.143.0 - 2010.09.28 - -
GData - 21 - 2010.09.28 - -
Ikarus - T3.1.1.90.0 - 2010.09.28 - -
Jiangmin - 13.0.900 - 2010.09.28 - -
K7AntiVirus - 9.63.2618 - 2010.09.27 - -
Kaspersky - 7.0.0.125 - 2010.09.28 - -
McAfee - 5.400.0.1158 - 2010.09.28 - -
McAfee-GW-Edition - 2010.1C - 2010.09.28 - -
Microsoft - 1.6201 - 2010.09.28 - -
NOD32 - 5486 - 2010.09.28 - -
Norman - 6.06.06 - 2010.09.28 - -
nProtect - 2010-09-28.01 - 2010.09.28 - -
Panda - 10.0.2.7 - 2010.09.27 - -
PCTools - 7.0.3.5 - 2010.09.28 - -
Prevx - 3.0 - 2010.09.28 - -
Rising - 22.66.06.01 - 2010.09.27 - -
Sophos - 4.58.0 - 2010.09.28 - -
Sunbelt - 6938 - 2010.09.28 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.28 - -
Symantec - 20101.1.1.7 - 2010.09.28 - -
TheHacker - 6.7.0.0.038 - 2010.09.28 - -
TrendMicro - 9.120.0.1004 - 2010.09.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.28 - -
VBA32 - 3.12.14.1 - 2010.09.27 - -
ViRobot - 2010.8.31.4017 - 2010.09.28 - -
VirusBuster - 12.66.3.0 - 2010.09.28 - -
File info:
MD5: 175af9881da79a20c6b871be65887f18
SHA1: 63be5f293added67991921f82076405129628ff6
SHA256: 8701e6cb23498ef3c75500fff2c5274693e20b2cd3c4f06a9599842842b93d72
File size: 27329 bytes
Scan date: 2010-09-28 14:41:39 (UTC)
Sowie "i4jdel.exe" -->
Code:
Antivirus results
AhnLab-V3 - 2010.09.28.03 - 2010.09.28 - -
AntiVir - 7.10.12.59 - 2010.09.28 - -
Antiy-AVL - 2.0.3.7 - 2010.09.28 - -
Authentium - 5.2.0.5 - 2010.09.28 - -
Avast - 4.8.1351.0 - 2010.09.28 - -
Avast5 - 5.0.594.0 - 2010.09.28 - -
AVG - 9.0.0.851 - 2010.09.27 - -
BitDefender - 7.2 - 2010.09.28 - -
CAT-QuickHeal - 11.00 - 2010.09.28 - -
ClamAV - 0.96.2.0-git - 2010.09.28 - -
Comodo - 6224 - 2010.09.28 - -
DrWeb - 5.0.2.03300 - 2010.09.28 - -
Emsisoft - 5.0.0.50 - 2010.09.28 - -
eSafe - 7.0.17.0 - 2010.09.26 - -
eTrust-Vet - 36.1.7880 - 2010.09.28 - -
F-Prot - 4.6.2.117 - 2010.09.28 - -
F-Secure - 9.0.15370.0 - 2010.09.28 - -
Fortinet - 4.1.143.0 - 2010.09.28 - -
GData - 21 - 2010.09.28 - -
Ikarus - T3.1.1.90.0 - 2010.09.28 - -
Jiangmin - 13.0.900 - 2010.09.28 - -
K7AntiVirus - 9.63.2618 - 2010.09.27 - -
Kaspersky - 7.0.0.125 - 2010.09.28 - -
McAfee - 5.400.0.1158 - 2010.09.28 - -
McAfee-GW-Edition - 2010.1C - 2010.09.28 - -
Microsoft - 1.6201 - 2010.09.28 - -
NOD32 - 5486 - 2010.09.28 - -
Norman - 6.06.06 - 2010.09.28 - -
nProtect - 2010-09-28.01 - 2010.09.28 - -
Panda - 10.0.2.7 - 2010.09.27 - -
PCTools - 7.0.3.5 - 2010.09.28 - -
Prevx - 3.0 - 2010.09.28 - -
Rising - 22.66.06.01 - 2010.09.27 - -
Sophos - 4.58.0 - 2010.09.28 - -
Sunbelt - 6938 - 2010.09.28 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.28 - -
Symantec - 20101.1.1.7 - 2010.09.28 - -
TheHacker - 6.7.0.0.038 - 2010.09.28 - -
TrendMicro - 9.120.0.1004 - 2010.09.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.28 - -
VBA32 - 3.12.14.1 - 2010.09.27 - -
ViRobot - 2010.8.31.4017 - 2010.09.28 - -
VirusBuster - 12.66.3.0 - 2010.09.28 - -
File info:
MD5: 08af557c8e6e74d7d92314f6b2c86273
SHA1: 58a84133704750fabf75db76b471f976790d7a09
SHA256: d7eeb1357b85be3d88e1841932d3b0ba911b2f33b5801e0b7ddd1a3e954b405d
File size: 4608 bytes
Scan date: 2010-09-28 14:47:04 (UTC)
und "i4jdel0.exe" -->

Code:
Antivirus results
AhnLab-V3 - 2010.09.28.03 - 2010.09.28 - -
AntiVir - 7.10.12.59 - 2010.09.28 - -
Antiy-AVL - 2.0.3.7 - 2010.09.28 - -
Authentium - 5.2.0.5 - 2010.09.28 - -
Avast - 4.8.1351.0 - 2010.09.28 - -
Avast5 - 5.0.594.0 - 2010.09.28 - -
AVG - 9.0.0.851 - 2010.09.27 - -
BitDefender - 7.2 - 2010.09.28 - -
CAT-QuickHeal - 11.00 - 2010.09.28 - -
ClamAV - 0.96.2.0-git - 2010.09.28 - -
Comodo - 6224 - 2010.09.28 - -
DrWeb - 5.0.2.03300 - 2010.09.28 - -
Emsisoft - 5.0.0.50 - 2010.09.28 - -
eSafe - 7.0.17.0 - 2010.09.28 - -
eTrust-Vet - 36.1.7880 - 2010.09.28 - -
F-Prot - 4.6.2.117 - 2010.09.28 - -
F-Secure - 9.0.15370.0 - 2010.09.28 - -
Fortinet - 4.1.143.0 - 2010.09.28 - -
GData - 21 - 2010.09.28 - -
Ikarus - T3.1.1.90.0 - 2010.09.28 - -
Jiangmin - 13.0.900 - 2010.09.28 - -
K7AntiVirus - 9.63.2618 - 2010.09.27 - -
Kaspersky - 7.0.0.125 - 2010.09.28 - -
McAfee - 5.400.0.1158 - 2010.09.28 - -
McAfee-GW-Edition - 2010.1C - 2010.09.28 - -
Microsoft - 1.6201 - 2010.09.28 - -
NOD32 - 5486 - 2010.09.28 - -
Norman - 6.06.06 - 2010.09.28 - -
nProtect - 2010-09-28.01 - 2010.09.28 - -
Panda - 10.0.2.7 - 2010.09.27 - -
PCTools - 7.0.3.5 - 2010.09.28 - -
Prevx - 3.0 - 2010.09.28 - -
Rising - 22.66.06.01 - 2010.09.27 - -
Sophos - 4.58.0 - 2010.09.28 - -
Sunbelt - 6938 - 2010.09.28 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.28 - -
Symantec - 20101.1.1.7 - 2010.09.28 - -
TheHacker - 6.7.0.0.038 - 2010.09.28 - -
TrendMicro - 9.120.0.1004 - 2010.09.28 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.28 - -
VBA32 - 3.12.14.1 - 2010.09.27 - -
ViRobot - 2010.8.31.4017 - 2010.09.28 - -
VirusBuster - 12.66.3.0 - 2010.09.28 - -
File info:
MD5: 8c800f6bfe1323cbb2741af23ed2cf68
SHA1: b5281cafb52035502feae43a31ebd9ebd4b3f7b7
SHA256: fd9bfb8e7ec268e610ec0ed06c669a83208256fda391ef5df5ccb31e0d07880c
File size: 4608 bytes
Scan date: 2010-09-28 14:50:09 (UTC)
Trotzdem lässt sich, wie oben geschrieben, weder Firefox noch IE öffnen wenn der Prozess läuft... Woran kann das liegen?

Leonixx 28.09.2010 17:29
Finde selbst nichts über diese .exe Datei. Scheinbar handelt es sich aber nicht um einen Schädling. Welches Programm das verursacht ist mir noch schleierhaft. Im Prinzip kannst nichts anders tun als den Prozess bzw. die Dateien zu löschen. Vielleicht gehört das auch zu einem Browseradd-on ?

bresch6 28.09.2010 17:50
Zitat:
Zitat von Leonixx (Beitrag 572942)
Finde selbst nichts über diese .exe Datei. Scheinbar handelt es sich aber nicht um einen Schädling. Welches Programm das verursacht ist mir noch schleierhaft. Im Prinzip kannst nichts anders tun als den Prozess bzw. die Dateien zu löschen. Vielleicht gehört das auch zu einem Browseradd-on ?
Ich glaube mittlerweile, dass es im Zusammenhang mit meinem Bittorrent-Client stehen könnte... Hab den jetzt mal deinstalliert und beobachte mal ob der Prozess in nächster Zeit wieder auftaucht...

Larusso 28.09.2010 17:58
Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131