|
Malwarebytes Error Codes... Hey, hier erstmal mein Log-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:00:03, on 21.05.2009 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CAP3RSK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\PROGRA~1\USBTnKey\USBTnKey.EXE C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\9129837.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\XXXXX\Desktop\Anti Malware\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE O4 - HKLM\..\Run: [USBKPDrv] C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://h**p://download.ebay.com/turb...DE/install.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - h**p://www3.snapfish.de/SnapfishActivia.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 6417 bytes So, während ich eben Malwarebytes hab laufen lassen hab ich jede Menge Error Codes bekommen, in folgender Reihenfolge: 1. Malwarebytes Error Code 721 (0, 14) 2. CTF Loader hat ein Problem festgestellt und muss beendet werden... 3. Windows-Fehler (0x0000017) 4. Windows-Fehler (0x000012d) 5. Process ID=0x254 (596) Thread ID=0xd48 (3400) 6. Malwarebytes Error Codes 722 (0, 7) 7. Generic Host Process for WIN32 Services hat ein Problem festgestellt... Ich glaube ich hab neulich irgendwas gelöscht was nicht gelöscht werde sollte.... Ich hab zu diversen Programmen keine Verknüpfung mehr,z.B, Avira. Hab eben Malwarebytes laufen lassen, hatte 6 Funde... aber der Log ist wech... Bitte helft mir bevor ich mein Laptop an die Wand schmeisse :heulen: Greetz P.S.: Bekam grad noch die Meldung das Windows nicht genügend virtuellen Speicher hat und der Messenger ein Problem hat... |
Hallo Stina307, Lade bitte folgende Datei bei Virus total hoch und schick die Auswertung: C:\WINDOWS\9129837.exe Bitte Fix folgenden Eintrag: O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe Sagen dir diese Einträge etwas? O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll Bitte lad dir den neusten Internet Explorer herunter! Deiner Version ist veraltet! Aber erst wenn dein PC "normal" läuft. Poste den Hijackthis log nochmals, und versuche einen scann mit malwarebytes durchzuführen. |
Auswertung der Datei: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.21 - AhnLab-V3 5.0.0.2 2009.05.21 - AntiVir 7.9.0.168 2009.05.21 - Antiy-AVL 2.0.3.1 2009.05.21 - Authentium 5.1.2.4 2009.05.21 - Avast 4.8.1335.0 2009.05.20 - AVG 8.5.0.339 2009.05.21 SHeur2.AGZN BitDefender 7.2 2009.05.21 - CAT-QuickHeal 10.00 2009.05.21 - ClamAV 0.94.1 2009.05.21 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.21 - eSafe 7.0.17.0 2009.05.21 Win32.Banker eTrust-Vet 31.6.6516 2009.05.21 - F-Prot 4.4.4.56 2009.05.21 - F-Secure 8.0.14470.0 2009.05.21 - Fortinet 3.117.0.0 2009.05.21 - GData 19 2009.05.21 - Ikarus T3.1.1.49.0 2009.05.21 - K7AntiVirus 7.10.741 2009.05.21 - Kaspersky 7.0.0.125 2009.05.21 - McAfee 5622 2009.05.21 - McAfee+Artemis 5622 2009.05.21 - McAfee-GW-Edition 6.7.6 2009.05.21 - Microsoft 1.4701 2009.05.21 - NOD32 4094 2009.05.21 - Norman 6.01.05 2009.05.20 - nProtect 2009.1.8.0 2009.05.21 - Panda 10.0.0.14 2009.05.21 - PCTools 4.4.2.0 2009.05.21 - Prevx 3.0 2009.05.21 Medium Risk Malware Rising 21.30.32.00 2009.05.21 - Sophos 4.42.0 2009.05.21 Mal/EncPk-HJ Sunbelt 3.2.1858.2 2009.05.20 - Symantec 1.4.4.12 2009.05.21 - TheHacker 6.3.4.1.328 2009.05.21 - TrendMicro 8.950.0.1092 2009.05.21 - VBA32 3.12.10.5 2009.05.21 suspected of Malware-Cryptor.Win32.General.3 ViRobot 2009.5.21.1745 2009.05.21 - VirusBuster 4.6.5.0 2009.05.21 - weitere Informationen File size: 29696 bytes MD5...: f8a61a9b81ce662315de7f2b98086fe1 SHA1..: 4eaf8c7232475b1c95c9d7274b2a69d84c382ff0 SHA256: 2fd729796e44495036d38ac1785e72a3a5739731f68b73d3e18950a677b66fd5 SHA512: 472c03126ee10cccbbd53120bf9fb8043578097968d1fc5aaf0a6b30b5be94d3 aaa5255484fbe2c2641ebe51029ae526bedf6c6ec3fd0190d295014d296be4f3 ssdeep: 768:db1CLPbIK1gZInn6ESg/OycjFqPgHwPoLrwXVhR:F1C7b31h6EUyw7AoLr6V h PEiD..: - TrID..: File type identification Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.1%) Win16/32 Executable Delphi generic (9.3%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2496 timedatestamp.....: 0x47d45ee9 (Sun Mar 09 22:04:25 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1796 0x1800 7.79 0ed26540313ebe8f7fd6cbbab3ee16db .rdata 0x3000 0x511e 0x5200 7.91 3542024cde72c1d99cb46d232958e970 .data 0x9000 0x125b9 0x600 6.13 3647cd0144d6f76437e68e4f9e74b612 ( 3 imports ) > GDI32.dll: GetTextExtentPoint32W, CreatePen, GetObjectW, SetBkMode > MSVCRT.dll: qsort, __getmainargs, _strcmpi, malloc, _chdir, _ltow > KERNEL32.dll: ExitProcess, GetCurrentThreadId, FormatMessageA, GetModuleHandleA, GetSystemTimeAsFileTime, GetTickCount, GetLastError, lstrcpynA, GetCommandLineA, Sleep, VerSetConditionMask ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5B25E951002FF4AC7440003284583D002D451A9A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5B25E951002FF4AC7440003284583D002D451A9A</a> |
Bitte Fix folgenden Eintrag: O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe Was genau soll ich damit machen? O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE das dürfte nix problematisches sein! O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll Ich kriege ständig pop-ups mit offersfortoday, das scheint ja hiermit was zu tun zu haben O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll Keine Ahnung was das ist |
Hallo Stina307 und :hallo: 1.) Kopiere die Dateien Code: C:\WINDOWS\System32\qclccasrnoq.dll2.) Starte HJT => Do a system scan only => Markiere: Code: O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll3.) Lade die Dateien, die du auf deinen Desktop kopiert hast und Code: C:\WINDOWS\9129837.exe4.) Klicke auf "Für alle Neuen" in meiner Anleitung, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. ciao, andreas |
Da Malwarebytes nicht upgedatet ist und ich den Scanbericht von heute abend nicht aufrufen konnte hab ich SuperAntiSpyware laufen lassen.... LOGFILE: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 05/22/2009 at 00:14 AM Application Version : 4.26.1002 Core Rules Database Version : 3895 Trace Rules Database Version: 1843 Scan type : Complete Scan Total Scan Time : 00:42:48 Memory items scanned : 409 Memory threats detected : 1 Registry items scanned : 5092 Registry threats detected : 3 File items scanned : 19548 File threats detected : 32 Trojan.Downloader-Gen/Win C:\WINDOWS\9129837.EXE C:\WINDOWS\9129837.EXE [ttool] C:\WINDOWS\9129837.EXE Rootkit.Gen/NewDrv HKLM\System\ControlSet002\Services\new_drv C:\WINDOWS\NEW_DRV.SYS HKLM\System\ControlSet002\Enum\Root\LEGACY_new_drv C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP337\A0141139.SYS C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP337\A0142138.SYS Adware.Tracking Cookie C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\*************@adserver.adtechus[1].txt C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\*************@doubleclick[1].txt C:\Dokumente und Einstellungen\Kerstin Satzinger\Cookies\***************@tribalfusion[2].txt C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***************\Cookies\*****************@advertising[1].txt.vir Rogue.SpywareGuard2008 C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\DLLS\IEMODULE.DLL Trojan.Net-SvHoster C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\APPLICATION DATA\MICROSOFT\PROTECT\SVHOST.EXE Trojan.Agent/Gen-SysPack C:\DOKUMENTE UND EINSTELLUNGEN\KERSTIN SATZINGER\LOKALE EINSTELLUNGEN\TEMP\ORZ.EXE Trojan.Dropper/YYY-Gen C:\DOKUMENTE UND EINSTELLUNGEN\*******\LOKALE EINSTELLUNGEN\TEMP\YYY18919.EXE C:\DOKUMENTE UND EINSTELLUNGEN\********\LOKALE EINSTELLUNGEN\TEMP\YYY18912.EXE C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMP\YYY18916.EXE C:\DOKUMENTE UND EINSTELLUNGEN\*********\LOKALE EINSTELLUNGEN\TEMP\YYY19023.EXE C:\DOKUMENTE UND EINSTELLUNGEN\**********\LOKALE EINSTELLUNGEN\TEMP\YYY19030.EXE C:\DOKUMENTE UND EINSTELLUNGEN\************\LOKALE EINSTELLUNGEN\TEMP\YYY19033.EXE Adware.Vundo/Variant C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP323\A0140882.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP323\A0140884.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140887.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140889.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140892.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140893.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140900.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP324\A0140901.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140975.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140982.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140983.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP330\A0141030.DLL C:\WINDOWS\SYSTEM32\RYPQILCGCWFQBWDF.DLL Adware.Vundo/Variant-0216 C:\SYSTEM VOLUME INFORMATION\_RESTORE{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP327\A0141007.DLL Trojan.Dropper/Gen-NV C:\WINDOWS\SYSTEM32\CONT_OFFERSFORTODAY-REMOVE.EXE |
@ john.doe Danke! Das werde ich morgen abend machen, weil ich jetzt mal ins Bett muss, sitz schon den ganzen abend vor der Kiste! Greetz |
Zitat:
Jetzt bekomme ich ständig eine Internet Explorer Meldung das mein PC mit Viren infiziert ist und ich irgendeinen kostenlosen Scan machen soll....was mache ich damit??? |
*Kurz reinhüpfe* Nicht beachten, das ist Rouge Software. Die installiert beim ausführen noch mehr an Trojanern auf deinem PC und gaugelt einem vor, man sei infiziert (egal ob man es ist oder nicht) bloß nicht darauf eingehen. *raushüpfe* |
Nicht machen, das ist ein Fake. Falls du es doch machst, hast du noch viel mehr auf deinem Rechner. :) Lasse schnellstmöglich Malwarebytes laufen. ciao, andreas |
Logfile Malwarebytes Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 1 22.05.2009 23:52:59 mbam-log-2009-05-22 (23-52-59).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 155507 Laufzeit: 1 hour(s), 27 minute(s), 6 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 24 Infizierte Speicherprozesse: c:\WINDOWS\ld08.exe (Trojan.KoobFace) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31c2a4cc-289d-442a-950c-b33b1b06522b} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdll (Worm.Autorun) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\121973\121973.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\aoulsu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\hpemuk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\ibtvhcfi.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\iimhojiy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\jpnjga.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\kmxgxlay.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\lalgoc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\qulasbun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\rngwfsvd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\rxmwqjvp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\swbkmptd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\wuvujcbu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\ygedbpuh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\ynfvkvpv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\yudybg.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140974.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP326\A0140998.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142141.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142142.dll (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Programme\Mozilla Firefox\components\d46b13ae-0063-4d1e-4392-e38d42292d8e.dll (Adware.Yoog) -> Quarantined and deleted successfully. c:\WINDOWS\pp10.exe (Backdoor.Bot) -> Delete on reboot. C:\Programme\Mozilla Firefox\components\nsoffersfortoday.dll (Adware.BHO) -> Delete on reboot. c:\WINDOWS\ld08.exe (Backdoor.Bot) -> Quarantined and deleted successfully. |
So, nachdem ich den ganzen Mist gemacht habe läuft mein Internet nicht mehr:teufel1: Meine WLAN Verbindung funktioniert, beim Firefox kommt die Meldung das die Verbindung zum Proxy-Server verweigert wird, Explorer kann die Seite nicht anzeigen. Und nu? Ich habe bei Malwarebytes jetzt 69 Funde in Quaratäne, soll ich die löschen? |
Zitat:
Zitat:
Zitat:
Zitat:
Das ist selbstverschuldet. Ich weiß jetzt wirklich nicht, ob es noch Sinn macht hier weiterzumachen. Deine Entscheidung. Entweder: http://www.trojaner-board.de/51262-a...sicherung.html Oder: Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. In jedem Fall von einem sauberen Rechner alle Kennwörter ändern. ciao, andreas |
Hab mich für die zweite Variante entschieden :) Hier ist das Ergebnis von Combo Fix ComboFix 09-05-23.04 - **** 24.05.2009 0:45.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.49.1031.18.447.139 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe AV: AntiVir Personal Edition *On-access scanning enabled* (Outdated) {F50D9AC1-6409-476C-A8D6-8F5F82336C8F} * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\****\Anwendungsdaten\wiaserva.log c:\programme\Mozilla Firefox\components\qclccasrnoq.dll c:\windows\emMON.exe c:\windows\system32\dz1.txt c:\windows\system32\p1.txt c:\windows\system32\r24.txt c:\windows\system32\sdd.txt c:\windows\system32\SYSDLL.exe c:\windows\system32\wbem\grpconv.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NEW_DRV ((((((((((((((((((((((( Dateien erstellt von 2009-04-23 bis 2009-05-23 )))))))))))))))))))))))))))))) . 2009-05-22 20:40 . 2009-05-22 20:40 51200 ----a-w c:\windows\system32\mashtuic32.dll 2009-05-22 20:22 . 2009-05-22 20:22 2967799 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-05-22 19:54 . 2009-05-22 19:54 2 ---h--w c:\windows\sonce122730.dat 2009-05-22 19:54 . 2009-05-22 21:52 -------- d-----w c:\windows\system32\121973 2009-05-21 21:00 . 2009-05-23 22:52 117760 ----a-w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\programme\SUPERAntiSpyware 2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-21 20:54 . 2009-05-21 20:54 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-05-14 20:03 . 2009-05-14 20:04 -------- d-----r c:\programme\Skype . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-23 22:50 . 2008-08-10 10:50 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-05-22 21:58 . 2004-12-13 18:30 72424 ----a-w c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-22 20:23 . 2008-08-10 13:17 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-05-14 20:04 . 2008-08-10 11:02 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-05-06 20:32 . 2008-12-29 02:57 57480 ----a-w c:\windows\system32\qclccasrnoq.dll-uninst.exe 2009-05-05 18:35 . 2009-04-10 17:57 85657 ----a-w c:\windows\system32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe 2009-04-17 22:18 . 2009-04-17 22:17 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Snapfish 2009-04-16 21:41 . 2001-08-18 10:00 86148 ----a-w c:\windows\system32\perfc007.dat 2009-04-16 21:41 . 2001-08-18 10:00 441850 ----a-w c:\windows\system32\perfh007.dat 2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FujiDirekt 2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\programme\FujiDirekt 2009-04-06 13:32 . 2008-08-10 13:17 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2008-08-10 13:17 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-03 20:30 . 2008-12-29 02:57 48269 ----a-w c:\windows\system32\cdpkroralfinwm.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6E0FAFC-2B61-4753-B3DA-D83BE96A2C39}] 2009-05-22 20:40 51200 ----a-w c:\windows\system32\mashtuic32.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312] "MSMSGS"="c:\programme\Messenger\MSMSGS.EXE" [2004-11-15 1670144] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-10 39408] "AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600] "SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CAP3ON"="c:\windows\System32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2007-01-19 28288] "SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975] "USB-TenKey"="c:\progra~1\USBTnKey\USBTnKey.EXE" [2002-05-24 94208] "USBKPDrv"="c:\progra~1\USBTnKey\KPDrv4XP.EXE" [2002-02-20 32768] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776] "Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-10 29744] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-15 185632] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308] Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-9-25 532776] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "EnableProfileQuota"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 10:05 356352 ----a-w c:\programme\SUPERAntiSpyware\SASWINLO.dll HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave1"= serwvdrv.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Statusfenster für Canon LASER SHOT LBP-1120.LNK backup=c:\windows\pss\Statusfenster für Canon LASER SHOT LBP-1120.LNKCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [14.05.2009 14:22 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [14.05.2009 14:22 72944] R2 USBKBFlt;Dritek USB Keypad Filter;c:\windows\system32\drivers\USBKBFLT.SYS [27.05.2002 04:17 29532] R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [13.12.2004 18:14 380736] R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [14.05.2009 14:22 7408] R3 tifmsi;tifmsi;c:\windows\system32\drivers\tifmsi.sys [17.02.2004 17:37 66944] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2009 22:46 1527900] S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [10.08.2008 12:51 29744] S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [24.05.2008 20:32 14208] . Inhalt des "geplante Tasks" Ordners 2009-05-23 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-10 21:38] . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-procexp90.Sys . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uInternet Settings,ProxyServer = http=localhost:7171 uInternet Settings,ProxyOverride = *.local;<local> uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ofh3oz2c.default\ FF - prefs.js: network.proxy.http - localhost FF - prefs.js: network.proxy.http_port - 7171 FF - prefs.js: network.proxy.type - 1 FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll ---- FIREFOX Richtlinien ---- FF - user.js: google.toolbar.linkdoctor.enabled - false . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-24 00:52 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(760) c:\windows\system32\ODBC32.dll c:\programme\SUPERAntiSpyware\SASWINLO.dll - - - - - - - > 'lsass.exe'(816) c:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(2880) c:\windows\System32\msi.dll c:\programme\Microsoft Office\OFFICE11\msohev.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\CAP3RSK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-05-23 1:04 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-23 23:04 ComboFix2.txt 2008-08-20 14:10 Vor Suchlauf: 18 Verzeichnis(se), 22.372.233.216 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 22.329.200.640 Bytes frei 175 --- E O F --- 2007-12-01 10:27 |
Systemdetails mit RSIT prüfen
Erstelle ein Filelisting.
ciao, andreas |
info.txt logfile of random's system information tool 1.06 2009-05-24 01:28:16 ======Uninstall list====== -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\Programme\MAGIX\Speed2_burnR_mxcdr\unwise.exe -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll" Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} AOL Instant Messenger-->C:\Programme\AIM95\uninstll.exe -LOG= C:\Programme\AIM95\install.log -OEM= ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI-Treiber-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CE65A3B9-08C3-4A2F-B2CB-8EAC3F17F440}\setup.exe" BMWA - Kleingründungen 2.1-->"C:\Programme\BMWA\Kleingründungen 2.1\unins000.exe" Browser Performance Tool Offersfortoday-->C:\WINDOWS\System32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe Canon LASER SHOT LBP-1120-->C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3UNIK.EXE CCleaner (remove only)-->"C:\Dokumente und Einstellungen\****\Desktop\Anti Malware\CCleaner\uninst.exe" Datenbank-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3CA92D20-92F8-11D5-8C94-00A0245473F8}\Setup.exe" Firebird SQL Server - MAGIX Edition-->C:\Programme\MAGIX\Common\Database\unwise.exe FujiDirekt 2.6-->"C:\Programme\FujiDirekt\unins000.exe" Google Desktop-->C:\Programme\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall Haufe Formular-Manager-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\Formular-Manager\Formular-Manager.isu Haufe iDesk-Browser-->MsiExec.exe /X{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523} Haufe iDesk-Service-->MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353} Haufe Rechnungswesen Office-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\HRO\HRO.isu Haufe Runtime-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\Runtime\1.4.2_04\Runtime.isu Haufe Steuer Office-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\HSO\HSO.isu HaufeReader-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\HaufeReader\HaufeReader.isu HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\****\Desktop\Anti Malware\HijackThis.exe" /uninstall Intel(R) 537EA Modem-->rundll32 IntelCci.dll,iSMUninstallation "Intel(R) 537EA Modem" J2SE Runtime Environment 5.0 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040} Java 2 Runtime Environment, SE v1.4.2_03-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030} Lexware anlagenverwaltung 4 (Demoversion)-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8CF99669-CD36-4F83-A3EC-2873957B8CA8}\setup.exe" Lexware buchhalter 2005-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B6C39270-57A2-46F6-96A1-C73EC1503552}\Setup.exe" -l0x7 -removeonly Lexware buchhalter 2007-->C:\Programme\InstallShield Installation Information\{09E3A2B0-6816-485B-9E40-FE46F72AA8E8}\setup.exe -runfromtemp -l0x0007 -removeonly Lexware Elster-->MsiExec.exe /I{6845AE3B-EB95-46DE-A190-EAB8D7764C60} Lexware Info Service-->MsiExec.exe /I{BEDFB0D0-CA1E-4CBA-9664-B25A74019D0C} Lexware reisekosten Steuerversion 2005-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{47DF9BE8-9AD5-4442-BA21-952546A9CF94}\Setup.exe" -l0x7 -removeonly Lexware reisekosten Steuerversion-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C47AFA6E-29EC-4F88-8A05-0C3146016BAE}\setup.exe" Macromedia Flash Player 8-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\swflash.inf,DefaultUninstall,5 MAGIX Online Druck Service 3.4.3.0 (D)-->C:\Programme\MAGIX\Online_Druck_Service\unwise.exe MAGIX Screenshare 4.3.6.1987 (D)-->C:\Programme\MAGIX\PCVisit\unwise.exe MAGIX USB-Videowandler 2-->"C:\Programme\InstallShield Installation Information\{91065458-A5CF-474C-9160-B44B974B3C25}\setup.exe" -runfromtemp -l0x0409 -removeonly MAGIX USB-Videowandler 2-->MsiExec.exe /I{91065458-A5CF-474C-9160-B44B974B3C25} MAGIXUSB-Videowandler 2 Device Driver-->C:\WINDOWS\emunist.exe Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Mein CEWE FOTOBUCH-->"C:\Programme\Mein CEWE FOTOBUCH\unins000.exe" Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft SQL Server Desktop Engine-->MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.0.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MUSTEK 1200 CU PLUS v1.2-->C:\WINDOWS\twain_32\1200CU~1\UNINST.EXE Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL PC Inspector smart recovery-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C9A87D86-FDFD-418B-BF96-EF09320973B3}\Setup.exe" -l0x7 RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\Setup.exe" -l0x7 REMOVE SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\6\SSBCUninstall.exe SAMSUNG Mobile Modem Driver Set-->C:\WINDOWS\System32\Samsung_USB_Drivers\3\SSCDUninstall.exe Samsung Mobile phone USB driver Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\5\SSSDUninstall.exe SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\1\SS_Uninstall.exe SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\2\SSM_Uninstall.exe Samsung PC Studio 3 USB Driver Installer-->"C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x0007 -removeonly Samsung PC Studio 3-->"C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x0007 -removeonly SBS Lohn - Demo-Daten Lohn-->C:\WINDOWS\unin0407.exe -fC:\SBS\W-Lohn\DemoLohn\DeIsL1.isu -cC:\SBS\W-Lohn\DemoLohn\_ISREG32.DLL SBS Lohn-->C:\WINDOWS\unin0407.exe -fC:\SBS\W-Lohn\DeIsL3.isu -cC:\SBS\W-Lohn\_ISREG32.DLL SBS steuer.net-->C:\WINDOWS\unin0407.exe -fC:\SBS\W-STEUER\DeIsL1.isu -cC:\SBS\W-STEUER\_ISREG32.DLL Search Assistant Searchersmart-->C:\WINDOWS\System32\qclccasrnoq.dll-uninst.exe Security Update für Microsoft .NET Framework 2.0 (KB922770)-->C:\WINDOWS\System32\msiexec.exe /promptrestart /uninstall {0E92DD42-76F5-4EF2-B381-F9C1D72BE23D} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 8 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB899589)-->"C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905495)-->"C:\WINDOWS\$NtUninstallKB905495$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913446)-->"C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917422)-->"C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe" Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D} Stotax Client-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E606F0F0-C352-11D3-BCBD-00104B42C50C}\Setup-Client.exe" Stotax-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BC776C54-B777-11D3-BCB0-00104B42C50C}\Setup.exe" SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall TAXMAN 2004-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FEE5B5C4-6438-11D7-9DAC-0001021625FE}\setup.exe" TAXMAN 2005-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BCADA220-5AD9-11D8-9EAF-0001021625FE}\setup.exe" TAXMAN 2006-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{38A2F54F-A49A-4F0A-888A-9D2D5DE20321}\Setup.exe" -l0x7 -removeonly TAXMAN 2007-->C:\Programme\InstallShield Installation Information\{C61187B9-2867-41F9-8D40-A94D302BAB51}\Setup.exe -runfromtemp -l0x0007 -removeonly TAXMAN 2008-->C:\Programme\InstallShield Installation Information\{F331FBDC-7DCF-4598-9E7C-E11865677AB4}\Setup.exe -runfromtemp -l0x0007 -removeonly TAXMAN Bibliothek 2005-->C:\WINDOWS\IsUn0407.exe -fC:\PROGRAMME\LEXWARE\TAXMAN2005\TAX_05\TAX_05.isu TAXMAN Bibliothek 2006-->C:\WINDOWS\IsUn0407.exe -fC:\PROGRAMME\LEXWARE\TAXMAN2006\TAX_06\TAX_06.isu TAXMAN Bibliothek 2007-->MsiExec.exe /X{A8E97458-4089-48D2-9BEB-6FD62D4FBB33} TAXMAN Bibliothek 2008-->MsiExec.exe /X{1716D952-F601-4A07-8988-7FCFAEDE6FDC} TAXMAN Bibliothek-->C:\WINDOWS\IsUn0407.exe -fC:\LEXWARE\TAXMAN2004\ST_TAX\ST_TAX.isu Texas Instruments PCIxx20 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{F2479411-3078-4C48-81A8-9E69F8643BA8} Turbo Lister 2-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548} Turbo Lister-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{99CC78D1-2356-497C-84C1-F239884001EC} Update für Windows XP (KB835409)-->"C:\WINDOWS\$NtUninstallKB835409$\spuninst\spuninst.exe" Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe" Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe" USB-TenKey-->C:\WINDOWS\UnInst32.exe USBTnKey.UNI Viewpoint Media Player (Remove Only)-->C:\Programme\Viewpoint\Viewpoint Media Player\mtsAxInstaller.exe /u Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows XP-Hotfix - KB834707-->C:\WINDOWS\$NtUninstallKB834707$\spuninst\spuninst.exe Windows XP-Hotfix - KB842773-->C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe" Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe Windows XP-Hotfix - KB892944-->"C:\WINDOWS\$NtUninstallKB892944$\spuninst\spuninst.exe" Windows XP-Hotfix - KB905915-->"C:\WINDOWS\$NtUninstallKB905915-IE6SP1-20051122.175908$\spuninst\spuninst.exe" Windows XP-Hotfix - KB911567-->"C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\spuninst\spuninst.exe" Windows XP-Hotfix - KB918899-->"C:\WINDOWS\$NtUninstallKB918899-IE6SP1-20060725.123917$\spuninst\spuninst.exe" WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall =====HijackThis Backups===== O2 - BHO: offersfortoday - {8bcb384f-30e1-806c-e6ac-c5acb336ca61} - C:\WINDOWS\System32\nsr2B6.dll [2009-05-22] O2 - BHO: searchersmart search enhancer - {6E05BB5F-9DAD-2EA0-4CE4-86026570A1AC} - C:\WINDOWS\System32\qclccasrnoq.dll [2009-05-22] ======System event log====== Computer Name: LAPTOP Event Code: 8033 Message: Der Suchdienst hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{CB328B17-9D5A-46A2-B1CF-E55292F07C35}" erzwungen, da der Hauptsuchdienst beendet wurde. Record Number: 7212 Source Name: BROWSER Time Written: 20081230210352.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 4201 Message: Netzwerkadapter "PRISM 802.11g Wireless Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet. Record Number: 7211 Source Name: Tcpip Time Written: 20081230210352.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 4201 Message: Netzwerkadapter "PRISM 802.11g Wireless Adapter - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet. Record Number: 7210 Source Name: Tcpip Time Written: 20081230190124.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 7036 Message: Dienst "Windows-Bilderfassung (WIA)" befindet sich jetzt im Status "Ausgeführt". Record Number: 7209 Source Name: Service Control Manager Time Written: 20081230190120.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 8033 Message: Der Suchdienst hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{CB328B17-9D5A-46A2-B1CF-E55292F07C35}" erzwungen, da der Hauptsuchdienst beendet wurde. Record Number: 7208 Source Name: BROWSER Time Written: 20081230190116.000000+060 Event Type: Informationen User: =====Application event log===== Computer Name: LAPTOP Event Code: 17176 Message: This instance of SQL Server last reported using a process id of 1064 at 25.01.2008 17:17:05 (local) 25.01.2008 16:17:05 (UTC). Record Number: 5047 Source Name: MSSQLSERVER Time Written: 20080125172642.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 17055 Message: 17104 : Serverprozess-ID ist 1768. Record Number: 5046 Source Name: MSSQLSERVER Time Written: 20080125172642.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 17055 Message: 17052 : Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 5.1 (Build 2600: Service Pack 1) Record Number: 5045 Source Name: MSSQLSERVER Time Written: 20080125172642.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 4097 Message: Record Number: 5044 Source Name: AVWUpSrv Time Written: 20080125172637.000000+060 Event Type: Informationen User: Computer Name: LAPTOP Event Code: 17055 Message: 17147 : SQL Server beendet, da das System heruntergefahren wird. Record Number: 5043 Source Name: MSSQLSERVER Time Written: 20080125171703.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Microsoft SQL Server\80\Tools\Binn;C:\Programme\Haufe\iDesk\iDeskService;C:\Programme\Samsung\Samsung PC Studio 3 "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel "PROCESSOR_REVISION"=0209 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP -----------------EOF----------------- |
Logfile of random's system information tool 1.06 (written by random/random) Run by **** at 2009-05-24 01:28:05 Microsoft Windows XP Professional Service Pack 1 System drive C: has 21 GB (56%) free of 38 GB Total RAM: 447 MB (30% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:28:12, on 24.05.2009 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CAP3RSK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\PROGRA~1\USBTnKey\USBTnKey.EXE C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\****\Desktop\RSIT.exe C:\Dokumente und Einstellungen\****\Desktop\Anti Malware\Kerstin Satzinger.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: MS extension - {D6E0FAFC-2B61-4753-B3DA-D83BE96A2C39} - mashtuic32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE O4 - HKLM\..\Run: [USBKPDrv] C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 6323 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Google Software Updater.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-26 668656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D6E0FAFC-2B61-4753-B3DA-D83BE96A2C39}] MS extension - C:\WINDOWS\system32\mashtuic32.dll [2009-05-22 51200] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\system32\msdxm.ocx [2002-08-29 845852] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "CAP3ON"=C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE [2007-01-19 28288] "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_04\bin\jusched.exe [2005-06-03 36975] "USB-TenKey"=C:\PROGRA~1\USBTnKey\USBTnKey.EXE [2002-05-24 94208] "USBKPDrv"=C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE [2002-02-20 32768] "LexwareInfoService"=C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-09-25 532776] "Google Desktop Search"=C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-08-10 29744] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-10-15 185632] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe [2002-08-29 13312] "MSMSGS"=C:\Programme\Messenger\MSMSGS.EXE [2004-11-15 1670144] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-08-10 39408] "AdobeUpdater"=C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe [2007-03-01 2321600] "SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] C:\WINDOWS\system32\Ati2mdxx.exe [2001-09-04 28672] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2004-02-24 335872] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] C:\WINDOWS\SOUNDMAN.EXE [2004-05-14 67072] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2003-11-20 499712] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2003-11-20 98304] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE [2007-01-15 38976] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] C:\PROGRA~1\WinZip\WZQKPICK.EXE [2004-09-14 118784] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableProfileQuota"=1 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDrives"=0 "NoDriveAutorun"=67108863 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======List of files/folders created in the last 1 months====== 2009-05-24 01:28:05 ----D---- C:\rsit 2009-05-24 01:04:42 ----D---- C:\WINDOWS\temp 2009-05-24 01:04:36 ----A---- C:\ComboFix.txt 2009-05-24 00:42:09 ----A---- C:\WINDOWS\PEV.exe 2009-05-22 22:42:05 ----A---- C:\WINDOWS\System32\bxx.txt 2009-05-22 22:40:03 ----A---- C:\WINDOWS\System32\mashtuic32.dll 2009-05-22 21:54:09 ----D---- C:\WINDOWS\System32\121973 2009-05-21 22:56:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-21 22:56:07 ----D---- C:\Programme\SUPERAntiSpyware 2009-05-21 22:56:06 ----D---- C:\Dokumente und Einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-21 22:54:56 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2009-05-14 22:03:58 ----RD---- C:\Programme\Skype ======List of files/folders modified in the last 1 months====== 2009-05-24 01:04:48 ----D---- C:\WINDOWS\system32 2009-05-24 01:04:48 ----D---- C:\QooBox 2009-05-24 01:04:47 ----D---- C:\WINDOWS\System32\drivers 2009-05-24 01:04:42 ----D---- C:\WINDOWS 2009-05-24 01:02:45 ----D---- C:\WINDOWS\System32\CatRoot2 2009-05-24 00:52:24 ----A---- C:\WINDOWS\system.ini 2009-05-24 00:51:01 ----SD---- C:\WINDOWS\Tasks 2009-05-24 00:50:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2009-05-24 00:50:31 ----D---- C:\WINDOWS\Debug 2009-05-24 00:48:28 ----D---- C:\WINDOWS\System32\config 2009-05-24 00:48:09 ----D---- C:\WINDOWS\erdnt 2009-05-24 00:47:10 ----D---- C:\WINDOWS\AppPatch 2009-05-24 00:47:06 ----D---- C:\Programme\Gemeinsame Dateien 2009-05-24 00:45:40 ----D---- C:\WINDOWS\System32\wbem 2009-05-24 00:43:49 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-05-23 00:37:04 ----D---- C:\Programme\Mozilla Firefox 2009-05-22 22:23:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-05-22 22:12:36 ----D---- C:\WINDOWS\Minidump 2009-05-21 22:56:42 ----SHD---- C:\WINDOWS\Installer 2009-05-21 22:56:07 ----RD---- C:\Programme 2009-05-21 22:37:55 ----D---- C:\WINDOWS\WinSxS 2009-05-20 23:19:28 ----RSHDC---- C:\WINDOWS\System32\dllcache 2009-05-18 21:31:14 ----D---- C:\WINDOWS\Prefetch 2009-05-14 22:04:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2009-05-06 22:32:56 ----A---- C:\WINDOWS\System32\qclccasrnoq.dll-uninst.exe 2009-05-05 20:35:33 ----A---- C:\WINDOWS\System32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS [] R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys [] R1 StarOpen;StarOpen; C:\WINDOWS\System32\drivers\StarOpen.sys [2006-07-24 5632] R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2001-08-17 55296] R2 USBKBFlt;Dritek USB Keypad Filter; C:\WINDOWS\System32\DRIVERS\USBKBFlt.SYS [2001-01-05 29532] R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2004-02-24 400384] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-05-15 622172] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2004-02-24 679424] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2002-08-29 13184] R3 IntelC51;IntelC51; C:\WINDOWS\System32\DRIVERS\IntelC51.sys [2004-01-20 1086853] R3 IntelC52;IntelC52; C:\WINDOWS\System32\DRIVERS\IntelC52.sys [2004-01-20 619369] R3 IntelC53;IntelC53; C:\WINDOWS\System32\DRIVERS\IntelC53.sys [2004-01-20 77925] R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] R3 mohfilt;mohfilt; C:\WINDOWS\System32\DRIVERS\mohfilt.sys [2004-01-20 31440] R3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\System32\DRIVERS\nscirda.sys [2001-08-17 23552] R3 PRISM_A00;PRISM 802.11g Driver; C:\WINDOWS\System32\DRIVERS\PRISMA00.sys [2004-02-02 380736] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 RTL8023;Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver; C:\WINDOWS\System32\DRIVERS\Rtlnic51.sys [2004-01-16 69504] R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS [] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2003-11-20 178528] R3 tifmsi;tifmsi; C:\WINDOWS\system32\drivers\tifmsi.sys [2004-02-17 66944] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2002-08-29 19328] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2002-08-29 51968] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2002-08-29 15744] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2002-08-29 21760] R4 catchme;catchme; \??\C:\DOKUME~1\KERSTI~1\LOKALE~1\Temp\catchme.sys [] S1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2001-08-18 14080] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2002-08-29 57344] S3 Bridge;MAC-Brücke; C:\WINDOWS\System32\DRIVERS\bridge.sys [2002-08-29 68864] S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\System32\DRIVERS\bridge.sys [2002-08-29 68864] S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2003-02-17 16384] S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 MPE;BDA MPE Filter; C:\WINDOWS\System32\DRIVERS\MPE.sys [2003-02-17 15104] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2002-12-12 5504] S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2003-02-17 83968] S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2003-02-17 10112] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2002-08-29 57984] S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2001-08-17 23070] S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service; C:\WINDOWS\system32\drivers\usbscan.sys [2002-08-29 14208] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2003-02-17 10880] S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\System32\DRIVERS\sscdbus.sys [2007-07-03 80552] S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\WINDOWS\System32\DRIVERS\sscdmdfl.sys [2007-07-03 11944] S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\WINDOWS\System32\DRIVERS\sscdmdm.sys [2007-07-03 106792] S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2003-02-17 14976] S3 USB28xxBGA;USB 2861 Device; C:\WINDOWS\System32\DRIVERS\emBDA.sys [2008-03-06 530944] S3 USB28xxOEM;USB 28xx OEM Filter; C:\WINDOWS\System32\DRIVERS\emOEM.sys [2007-04-25 45696] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2002-08-29 56832] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2002-08-29 28160] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2002-08-29 24960] S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2003-02-17 18688] S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2004-02-24 397312] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2001-08-18 12800] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-26 183280] S2 MSSQLSERVER;MSSQLSERVER; C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe [2002-12-17 7520337] S2 SQLSERVERAGENT;SQLSERVERAGENT; C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE [2002-12-17 311872] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245; C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-08-10 29744] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] -----------------EOF----------------- |
Wird der Google-Desktop benötitgt? Ist das ein gewerblich/geschäftlich genutzter Rechner? ciao, andreas |
Google Desktop? Ich glaube nicht. Ist mein privates Laptop. |
Wo ist der Link zum Filelisting? ciao, andreas |
http://www.materialordner.de/q891WCawpu0QYudyxLUJKgOjVMPPT5.html Sorry, hatte ich vergessen, ist schon bissl spät... Greetz |
1.) Lade die Dateien Code: C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE2.) Deinstalliere:
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Ok das werde ich morgen früh machen, hab schon viereckige Augen. Danke schonmal! Greetz |
Die Dateien hab ich hochgeladen, die eine hab ich grad festgestellt ist nur eine Verknüpfung, ist irgendwas von meinem Canon Drucker. Macromedia Flash Player lässt sich nicht deinstallieren! Was soll ich machen? |
Zitat:
Code: Datei mashtuic32.dll empfangen 2009.05.24 19:20:51 (UTC)Zitat:
ciao, andreas |
Ok, alles erledigt. Log: ComboFix 09-05-23.04 - **** 24.05.2009 21:21.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.49.1031.18.447.197 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\cfscript.txt AV: AntiVir Personal Edition *On-access scanning enabled* (Outdated) {F50D9AC1-6409-476C-A8D6-8F5F82336C8F} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: c:\windows\sonce122730.dat c:\windows\System32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe c:\windows\System32\bxx.txt c:\windows\system32\mashtuic32.dll c:\windows\System32\qclccasrnoq.dll-uninst.exe c:\windows\Tasks\Google Software Updater.job . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\sonce122730.dat c:\windows\System32\121973 c:\windows\System32\bxx.txt c:\windows\system32\dz1.txt c:\windows\system32\mashtuic32.dll c:\windows\system32\p1.txt c:\windows\System32\qclccasrnoq.dll-uninst.exe c:\windows\system32\r24.txt c:\windows\system32\sdd.txt . ((((((((((((((((((((((( Dateien erstellt von 2009-04-24 bis 2009-05-24 )))))))))))))))))))))))))))))) . 2009-05-23 23:28 . 2009-05-23 23:28 -------- d-----w C:\rsit 2009-05-22 20:22 . 2009-05-22 20:22 2967799 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-05-21 20:56 . 2009-05-21 20:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-21 20:56 . 2009-05-24 19:04 -------- d-----w c:\programme\SUPERAntiSpyware 2009-05-21 20:56 . 2009-05-24 19:04 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-14 20:03 . 2009-05-14 20:04 -------- d-----r c:\programme\Skype . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-24 18:46 . 2008-08-10 10:50 -------- d-----w c:\programme\Google 2009-05-24 18:43 . 2004-12-20 11:24 -------- d-----w c:\programme\Java 2009-05-24 18:41 . 2004-12-14 12:06 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-05-22 21:58 . 2004-12-13 18:30 72424 ----a-w c:\dokumente und einstellungen\++++\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-22 20:23 . 2008-08-10 13:17 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-05-14 20:04 . 2008-08-10 11:02 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-04-17 22:18 . 2009-04-17 22:17 -------- d-----w c:\dokumente und einstellungen\++++\Anwendungsdaten\Snapfish 2009-04-16 21:41 . 2001-08-18 10:00 86148 ----a-w c:\windows\system32\perfc007.dat 2009-04-16 21:41 . 2001-08-18 10:00 441850 ----a-w c:\windows\system32\perfh007.dat 2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FujiDirekt 2009-04-15 19:52 . 2009-04-15 19:52 -------- d-----w c:\programme\FujiDirekt 2009-04-06 13:32 . 2008-08-10 13:17 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2008-08-10 13:17 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-03 20:30 . 2008-12-29 02:57 48269 ----a-w c:\windows\system32\cdpkroralfinwm.exe . ((((((((((((((((((((((((((((( SnapShot@2009-05-23_22.52.18 ))))))))))))))))))))))))))))))))))))))))) . + 2007-01-19 10:19 . 2007-01-19 10:19 28288 c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE - 2004-12-15 10:03 . 2007-01-19 10:19 28288 c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE . ((((((((((((((((((((((((((((((((((((((( System Restore ))))))))))))))))))))))))))))))))))))))))))))))))))) . c:\32788r22fwjfw\pv.exe 02.03.2006 23:42 73728 \RP338\A0142429.exe 02.03.2006 23:42 73728 \RP342\A0142934.exe c:\avenger\nsoffersfortoday.dll 08.10.2008 17:13 354816 \RP338\A0142413.dll c:\avenger\pp10.exe 22.05.2009 21:54 13824 \RP338\A0142414.exe c:\dokumente und einstellungen\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll \RP338\A0142142.dll c:\dokumente und einstellungen\All Users\Application Data\Microsoft\Protect\svhost.exe 11.01.2009 22:07 3076608 \RP338\A0142143.exe c:\dokumente und einstellungen\++++\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 21.05.2009 23:28 117760 \RP338\A0142153.DLL 24.05.2009 20:48 117760 \RP342\A0142924.DLL c:\dokumente und einstellungen\++++\Desktop\20080428112052375_Samsung_PC_Studio_313_HB6.exe 27.01.2009 22:19 64751125 \RP337\A0141114.exe c:\dokumente und einstellungen\****\Desktop\20080428112052375_Samsung_USB_Driver_Installer.exe 27.01.2009 21:48 8420211 \RP337\A0141115.exe c:\dokumente und einstellungen\****\Desktop\CAP3ONN.EXE 19.01.2007 12:19 28288 \RP342\A0142927.EXE c:\dokumente und einstellungen\****\Desktop\listing0.bat 23.05.2009 02:49 4767 \RP342\A0142930.bat c:\dokumente und einstellungen\****\Desktop\mashtuic32.dll 22.05.2009 22:40 51200 \RP342\A0142926.dll c:\dokumente und einstellungen\****\Desktop\nsr2B6.dll 10.04.2009 16:53 685056 \RP342\A0142929.dll c:\dokumente und einstellungen\****\Desktop\qclccasrnoq.dll 06.05.2009 15:27 565760 \RP342\A0142928.dll c:\programme\Adobe\Acrobat 5.0\Reader\AceLite.dll 16.04.2001 16:39 397312 \RP339\A0142573.dll c:\programme\Adobe\Acrobat 5.0\Reader\ACROFX32.DLL 16.04.2001 16:39 53248 \RP339\A0142574.DLL c:\programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe 24.09.2001 17:15 3891268 \RP339\A0142566.exe c:\programme\Adobe\Acrobat 5.0\Reader\Agm.dll 05.09.2001 14:10 1138688 \RP339\A0142571.dll c:\programme\Adobe\Acrobat 5.0\Reader\Bib.dll 16.04.2001 16:39 147456 \RP339\A0142572.dll c:\programme\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll 10.09.2001 03:47 103344 \RP339\A0142580.dll c:\programme\Adobe\Acrobat 5.0\Reader\CoolType.dll 26.10.2001 13:41 1441792 \RP339\A0142570.dll c:\programme\Adobe\Acrobat 5.0\Reader\OPP.dll 19.06.2001 12:02 86016 \RP339\A0142576.dll c:\programme\Adobe\Acrobat 5.0\Reader\plug_ins\Movie\QT2.dll 15.03.2001 08:00 24576 \RP339\A0142578.dll c:\programme\Adobe\Acrobat 5.0\Reader\plug_ins\Movie\QT3.dll 15.03.2001 08:00 32768 \RP339\A0142577.dll c:\programme\Adobe\Acrobat 5.0\Reader\plug_ins\Movie\QT4.dll 15.03.2001 08:01 36864 \RP339\A0142579.dll c:\programme\Adobe\Acrobat 5.0\Reader\WHA Library.dll 10.09.2001 04:02 172032 \RP339\A0142575.dll c:\programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll 22.08.2001 17:15 81920 \RP339\A0142622.dll c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe 10.10.2008 23:47 168432 \RP328\A0141014.exe 26.03.2009 23:38 183280 \RP339\A0142665.exe c:\programme\Google\Google Desktop Search\gcdtmp1\GoogleDesktopCommon.dll 10.08.2008 12:51 203776 \RP339\A0142638.dll c:\programme\Google\Google Desktop Search\gcdtmp1\GoogleDesktopResources_de.dll 10.08.2008 12:51 571904 \RP339\A0142639.dll c:\programme\Google\Google Desktop Search\gcdtmp2\GoogleDesktopCommon.dll 24.05.2009 20:41 203776 \RP340\A0142785.dll c:\programme\Google\Google Desktop Search\gcdtmp2\GoogleDesktopResources_de.dll 24.05.2009 20:41 571904 \RP340\A0142786.dll c:\programme\Google\Google Desktop Search\GoogleDesktopSetup.exe 10.08.2008 12:51 1843248 \RP340\A0142789.exe c:\programme\Google\Google Desktop Search\GoogleGadgetPluginIEWin.dll 19.12.2007 12:35 331264 \RP339\A0142640.dll c:\programme\Google\Google Desktop Search\pdftotext.exe \RP335\A0141100.exec:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater\cache\packdata_ci_sky_4.0.0.215_en_setup.exe 14.05.2009 22:03 19526952 \RP337\A0141110.exe c:\programme\Google\Google Desktop Search\temp\tempB621__GoogleServices.dll 10.08.2008 12:52 1993728 \RP339\A0142642.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktop.exe 10.08.2008 12:51 29744 \RP339\A0142643.exe c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopActions.dll 10.08.2008 12:52 66048 \RP339\A0142644.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopAPI2.dll 10.08.2008 12:52 500224 \RP339\A0142645.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopCommon.dll 10.08.2008 12:52 203776 \RP339\A0142646.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopDeskbar2.dll 10.08.2008 12:52 162816 \RP340\A0142787.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopHyper.dll 10.08.2008 12:52 135168 \RP339\A0142647.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopIE.dll 10.08.2008 12:52 103936 \RP339\A0142648.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopMail.dll 10.08.2008 12:52 112640 \RP339\A0142649.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopMozilla.dll 10.08.2008 12:52 122880 \RP339\A0142650.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopNetwork3.dll 10.08.2008 12:52 113664 \RP339\A0142652.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopOffice.dll 10.08.2008 12:52 205824 \RP339\A0142653.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopResources_de.dll 10.08.2008 12:51 571904 \RP340\A0142788.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleDesktopSSD.dll 10.08.2008 12:52 150016 \RP339\A0142654.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__GoogleUIEngine.dll 10.08.2008 12:52 406528 \RP339\A0142655.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__gzlib.dll 10.08.2008 12:52 34816 \RP339\A0142656.dll c:\programme\Google\Google Desktop Search\temp\tempE5C3__plugin_common.vbs 10.08.2008 12:51 5918 \RP339\A0142657.vbs c:\programme\Google\Google Updater\2.4.1368.5602\ci.dll 10.10.2008 23:47 1119232 \RP328\A0141016.dll c:\programme\Google\Google Updater\2.4.1368.5602\cires.dll 10.10.2008 23:47 94208 \RP328\A0141017.dll c:\programme\Google\Google Updater\2.4.1368.5602\GoogleUpdater-2.4.1536.6592\googleupdater.exe 25.03.2009 22:37 1075696 \RP328\A0141023.exe c:\programme\Google\Google Updater\2.4.1368.5602\GoogleUpdaterAdminPrefs.exe 10.10.2008 23:47 228336 \RP328\A0141018.exe c:\programme\Google\Google Updater\2.4.1368.5602\GoogleUpdaterInstallMgr.exe 10.10.2008 23:47 834032 \RP328\A0141019.exe c:\programme\Google\Google Updater\2.4.1368.5602\GoogleUpdaterRestartManager.exe 10.10.2008 23:47 161264 \RP328\A0141020.exe c:\programme\Google\Google Updater\2.4.1368.5602\GoogleUpdaterSetup.exe 10.10.2008 23:47 175600 \RP328\A0141021.exe c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll 10.10.2008 23:47 94208 \RP328\A0141022.dll c:\programme\Google\Google Updater\2.4.1536.6592\ci.dll 26.03.2009 23:38 1204208 \RP339\A0142666.dll c:\programme\Google\Google Updater\2.4.1536.6592\cires.dll 26.03.2009 23:38 100848 \RP339\A0142667.dll c:\programme\Google\Google Updater\2.4.1536.6592\GoogleUpdaterAdminPrefs.exe 26.03.2009 23:38 227824 \RP339\A0142668.exe c:\programme\Google\Google Updater\2.4.1536.6592\GoogleUpdaterInstallMgr.exe 26.03.2009 23:38 169968 \RP339\A0142669.exe c:\programme\Google\Google Updater\2.4.1536.6592\GoogleUpdaterRestartManager.exe 26.03.2009 23:38 161776 \RP339\A0142670.exe c:\programme\Google\Google Updater\2.4.1536.6592\GoogleUpdaterSetup.exe 26.03.2009 23:38 176112 \RP339\A0142671.exe c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll 26.03.2009 23:38 99824 \RP339\A0142672.dll c:\programme\Google\Google Updater\GoogleUpdater.exe 10.10.2008 23:47 161264 \RP328\A0141015.exe 26.03.2009 23:38 161776 \RP339\A0142664.exe c:\programme\Google\GoogleToolbarNotifier\4.1.805.4472\gth.dll 10.10.2008 23:48 10736 \RP334\A0141074.dll c:\programme\Google\GoogleToolbarNotifier\4.1.805.4472\gtn.dll 10.10.2008 23:48 114672 \RP334\A0141073.dll c:\programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll 10.10.2008 23:48 652784 \RP334\A0141072.dll c:\programme\Google\GoogleToolbarNotifier\5.1.1309.3572\gth.dll 26.03.2009 23:38 10736 \RP339\A0142660.dll c:\programme\Google\GoogleToolbarNotifier\5.1.1309.3572\gtn.dll 26.03.2009 23:38 119280 \RP339\A0142659.dll c:\programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll 26.03.2009 23:38 668656 \RP339\A0142658.dll c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 10.08.2008 12:50 39408 \RP339\A0142661.exe c:\programme\Internet Explorer\PLUGINS\nppdf32.dll 10.05.2007 22:52 95864 \RP339\A0142627.dll 06.04.2009 15:32 73360 c:\programme\Malwarebytes' Anti-Malware\mbam.dll 30.07.2008 20:07 61048 \RP338\A0142396.dll 06.04.2009 15:32 1277584 c:\programme\Malwarebytes' Anti-Malware\mbam.exe 30.07.2008 20:07 1187448 \RP338\A0142398.exe 06.04.2009 15:32 179856 c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe 30.07.2008 20:07 110200 \RP338\A0142401.exe c:\programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe 30.07.2008 20:07 372344 \RP338\A0142395.exe 22.05.2009 22:23 690832 c:\programme\Malwarebytes' Anti-Malware\unins000.exe 10.08.2008 15:17 688760 \RP338\A0142406.exe 06.04.2009 15:32 77968 c:\programme\Malwarebytes' Anti-Malware\zlib.dll 30.07.2008 20:07 77944 \RP338\A0142400.dll c:\programme\Mozilla Firefox\components\d46b13ae-0063-4d1e-4392-e38d42292d8e.dll 10.04.2009 16:53 678912 \RP335\A0141090.dll 10.04.2009 16:53 678912 \RP338\A0142407.dll c:\programme\Mozilla Firefox\components\qclccasrnoq.dll 20.02.2009 13:23 475648 \RP327\A0141012.dll 06.05.2009 15:27 424960 \RP339\A0142491.dll c:\windows\9129837.exe 20.05.2009 23:18 29696 \RP338\A0142148.exe c:\windows\emMON.exe 07.11.2007 18:07 65536 \RP339\A0142486.exe c:\windows\fdsv.exe 31.08.2000 08:00 89504 \RP338\A0142471.exe c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe 21.05.2009 22:56 18944 \RP342\A0142921.exe c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe 21.05.2009 22:56 65024 \RP342\A0142922.exe c:\windows\new_drv.sys \RP337\A0141139.sys \RP338\A0142141.sys c:\windows\system32\_qclccasrnoq.dll 20.02.2009 13:34 609792 \RP334\A0141071.dll 24.03.2009 11:58 630784 \RP337\A0141134.dll c:\windows\system32\_rypqilcgcwfqbwdf.dll \RP327\A0141007.dll c:\windows\system32\Adobe\SVG Viewer\AceLite.dll 16.04.2001 16:39 397312 \RP339\A0142629.dll c:\windows\system32\Adobe\SVG Viewer\Agm.dll 05.09.2001 14:10 1138688 \RP339\A0142631.dll c:\windows\system32\Adobe\SVG Viewer\Bib.dll 16.04.2001 16:39 147456 \RP339\A0142628.dll c:\windows\system32\Adobe\SVG Viewer\CoolType.dll 26.10.2001 13:41 1441792 \RP339\A0142630.dll c:\windows\system32\Adobe\SVG Viewer\NPSVGVw.dll 14.03.2001 14:10 299059 \RP339\A0142618.dll c:\windows\system32\Adobe\SVG Viewer\SVGControl.dll 14.03.2001 14:14 491574 \RP339\A0142569.dll c:\windows\system32\Adobe\SVG Viewer\SVGRSRC.DLL 14.03.2001 14:37 12288 \RP339\A0142621.DLL c:\windows\system32\Adobe\SVG Viewer\SVGView.dll 14.03.2001 14:07 1597491 \RP339\A0142619.dll c:\windows\system32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe 10.04.2009 19:57 85657 \RP335\A0141091.exe c:\windows\system32\bc29e6a0-f94f-c6bb-2430-8ddb472eae74.exe 05.05.2009 20:35 85657 \RP339\A0142564.exe c:\windows\system32\cont_offersfortoday-remove.exe 17.02.2009 23:37 102172 \RP338\A0142145.exe c:\windows\system32\dllcache\grpconv.exe 18.08.2001 12:00 37888 \RP337\A0141129.exe c:\windows\system32\dllcache\proquota.exe 18.08.2001 12:00 45568 \RP337\A0141131.exe 06.04.2009 15:32 15504 c:\windows\system32\drivers\mbam.sys 30.07.2008 20:07 17144 \RP338\A0142402.sys 06.04.2009 15:32 38496 c:\windows\system32\drivers\mbamswissarmy.sys 30.07.2008 20:07 38472 \RP338\A0142399.sys c:\windows\system32\drivers\plrf.sys 22.05.2009 23:55 61440 \RP338\A0142409.sys c:\windows\system32\grpconv.exe 18.08.2001 12:00 37888 \RP337\A0141128.exe c:\windows\system32\java.exe 03.06.2005 03:24 49248 \RP340\A0142674.exe 19.11.2003 17:36 24681 \RP341\A0142796.exe c:\windows\system32\javaw.exe 03.06.2005 03:24 49250 \RP340\A0142675.exe 19.11.2003 17:36 28779 \RP341\A0142797.exe c:\windows\system32\javaws.exe 03.06.2005 04:52 127078 \RP340\A0142676.exe c:\windows\system32\mashtuic32.dll 24.05.2009 21:21 51200 \RP342\A0142949.dll c:\windows\system32\nsh793.dll 10.04.2009 16:53 685056 \RP335\A0141089.dll c:\windows\system32\nsr2B6.dll 10.04.2009 16:53 685056 \RP338\A0142155.dll c:\windows\system32\nsz205.dll \RP330\A0141030.dll c:\windows\system32\proquota.exe 18.08.2001 12:00 45568 \RP337\A0141130.exe c:\windows\system32\qclccasrnoq.dll-uninst.exe 23.02.2009 10:44 57394 \RP327\A0141013.exe 08.04.2009 21:11 57399 \RP335\A0141093.exe c:\windows\system32\qclccasrnoq.dll-uninst.exe 24.05.2009 21:21 57480 \RP342\A0142950.exe c:\windows\system32\qclccasrnoq.dll 06.05.2009 15:27 565760 \RP338\A0142154.dll c:\windows\system32\rypqilcgcwfqbwdf.dll 02.03.2009 21:14 299520 \RP338\A0142144.dll c:\windows\system32\SYSDLL.exe 22.05.2009 21:54 16896 \RP339\A0142487.exe c:\windows\system32\wbem\grpconv.exe 29.08.2002 04:43 26112 \RP339\A0142488.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CAP3ON"="c:\windows\System32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2007-01-19 28288] "USB-TenKey"="c:\progra~1\USBTnKey\USBTnKey.EXE" [2002-05-24 94208] "USBKPDrv"="c:\progra~1\USBTnKey\KPDrv4XP.EXE" [2002-02-20 32768] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308] Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-9-25 532776] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "EnableProfileQuota"= 1 (0x1) HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 "wave1"= serwvdrv.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Statusfenster für Canon LASER SHOT LBP-1120.LNK backup=c:\windows\pss\Statusfenster für Canon LASER SHOT LBP-1120.LNKCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup R2 USBKBFlt;Dritek USB Keypad Filter;c:\windows\system32\drivers\USBKBFLT.SYS [27.05.2002 04:17 29532] R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [13.12.2004 18:14 380736] R3 tifmsi;tifmsi;c:\windows\system32\drivers\tifmsi.sys [17.02.2004 17:37 66944] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2009 22:46 1527900] S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service;c:\windows\system32\drivers\UsbScan.sys [24.05.2008 20:32 14208] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyServer = http=localhost:7171 uInternet Settings,ProxyOverride = *.local;<local> uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Kerstin Satzinger\Anwendungsdaten\Mozilla\Firefox\Profiles\ofh3oz2c.default\ FF - prefs.js: network.proxy.http - localhost FF - prefs.js: network.proxy.http_port - 7171 FF - prefs.js: network.proxy.type - 1 ---- FIREFOX Richtlinien ---- FF - user.js: google.toolbar.linkdoctor.enabled - false . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-24 21:27 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(764) c:\windows\system32\ODBC32.dll - - - - - - - > 'lsass.exe'(820) c:\windows\System32\dssenh.dll - - - - - - - > 'explorer.exe'(712) c:\windows\System32\msi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\CAP3RSK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE c:\windows\system32\spool\drivers\w32x86\3\CAP3SWK.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-05-24 21:34 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-24 19:34 ComboFix2.txt 2009-05-23 23:04 ComboFix3.txt 2008-08-20 14:10 Vor Suchlauf: 20 Verzeichnis(se), 23.558.471.680 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 23.548.739.584 Bytes frei 400 --- E O F --- 2007-12-01 10:27 |
Funktioniert Internet wieder? Wie geht es dem Rechner? 1.) Deaktiviere den Wächter von Avira. 2.) Packe den Ordner c:\qoobox mit ZIP oder RAR, lade das Archiv bei einem Filehoster (z.B. www.materialordner.de hoch und schicke mir den Link als PN. 3.) Aktiviere den Wächter von Avira. 4.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen ciao, andreas |
Hast PN, Internet geht mit dem Explorer, Firefox nicht. Rest kommt gleich! Avira klappt überhaupt nicht mehr, ich kann die alte Version nicht löschen, nicht öffnen und deshalb auch nicht neu installieren oder updaten. Greetz |
Ja, die neuen gehen alle auf den Firefox los. :( Arbeite diese Anleitung ab: http://www.trojaner-board.de/411645-post19.html Mach noch einmal einen Vollscan mit Malwarebytes, führe vorher ein Update durch, dient nur dazu zu kontrollieren, ob MbAM wieder einwandfrei läuft. Zitat:
ciao, andreas |
Hier der Log von Kaspersky: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Montag, 25. Mai 2009 07:51:14 Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 24/05/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2023689 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ E:\ F:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 85854 Viren gefunden: 12 Infizierte Objekte gefunden: 26 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 02:34:52 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Desktop\Anti Malware\backups\backup-20090522-215055-810.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bexp übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\QooBox\Quarantine\C\Programme\Mozilla Firefox\components\qclccasrnoq.dll.vir Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bexr übersprungen C:\QooBox\Quarantine\C\WINDOWS\system32\idytcrjc.dll.vir Infizierte Objekte: Trojan.Win32.Monder.bwjt übersprungen C:\QooBox\Quarantine\C\WINDOWS\system32\SYSDLL.exe.vir Infizierte Objekte: Trojan.Win32.Agent2.jvx übersprungen C:\QooBox\Quarantine\C\WINDOWS\system32\wbem\grpconv.exe.vir Infizierte Objekte: Trojan.Win32.Agent.chwa übersprungen C:\QooBox\Quarantine\[4]-Submit_2009-05-24_21.21.35.zip/mashtuic32.dll Infizierte Objekte: Trojan-Banker.Win32.Banker.aibh übersprungen C:\QooBox\Quarantine\[4]-Submit_2009-05-24_21.21.35.zip ZIP: infiziert - 1 übersprungen C:\QooBox.zip/QooBox/Quarantine/C/Programme/Mozilla Firefox/components/qclccasrnoq.dll.vir Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bexr übersprungen C:\QooBox.zip/QooBox/Quarantine/C/WINDOWS/system32/idytcrjc.dll.vir Infizierte Objekte: Trojan.Win32.Monder.bwjt übersprungen C:\QooBox.zip/QooBox/Quarantine/C/WINDOWS/system32/SYSDLL.exe.vir Infizierte Objekte: Trojan.Win32.Agent2.jvx übersprungen C:\QooBox.zip/QooBox/Quarantine/C/WINDOWS/system32/wbem/grpconv.exe.vir Infizierte Objekte: Trojan.Win32.Agent.chwa übersprungen C:\QooBox.zip/QooBox/Quarantine/[4]-Submit_2009-05-24_21.21.35.zip/mashtuic32.dll Infizierte Objekte: Trojan-Banker.Win32.Banker.aibh übersprungen C:\QooBox.zip/QooBox/Quarantine/[4]-Submit_2009-05-24_21.21.35.zip Infizierte Objekte: Trojan-Banker.Win32.Banker.aibh übersprungen C:\QooBox.zip ZIP: infiziert - 6 übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP329\A0141026.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.becz übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP330\A0141028.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bdzt übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP335\A0141092.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bedg übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142143.exe Infizierte Objekte: Trojan-Dropper.Win32.Joiner.hs übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP338\A0142154.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bexp übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142487.exe Infizierte Objekte: Trojan.Win32.Agent2.jvx übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142488.exe Infizierte Objekte: Trojan.Win32.Agent.chwa übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142491.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bexr übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP342\A0142926.dll Infizierte Objekte: Trojan-Banker.Win32.Banker.aibh übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP342\A0142928.dll Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bexp übersprungen C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP342\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\ajgrrtyuts.exe Infizierte Objekte: Trojan-Dropper.Win32.Agent.aqbf übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\proquota.exe Infizierte Objekte: Trojan.Win32.Agent.chwe übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
Jetzt weiß ich nicht, ob du die alten Anweisungen gelesen hast, zur Sicherheit nochmal: 1.) Arbeite diese Anleitung ab: http://www.trojaner-board.de/411645-post19.html 2.) Mach noch einmal einen Vollscan mit Malwarebytes, führe vorher ein Update durch, dient nur dazu zu kontrollieren, ob MbAM wieder einwandfrei läuft. 3.) Start => Ausführen => combofix /u => OK 4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 5.) Lade dir ein neues ComboFix. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hi, Punkt 1 hab ich gemacht, lasse mbam jetzt nochmal laufen. Scripten mit Combofix hab ich gestern abend gemacht und gepostet, soll ich das nochmal machen? Greetz |
Das ist ein neues Script. :) Genau der Reihe nach abarbeiten. ciao, andreas |
Logfile Malwarebytes: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2178 Windows 5.1.2600 Service Pack 1 25.05.2009 22:20:36 mbam-log-2009-05-25 (22-20-25).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 164546 Laufzeit: 59 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\system32\SYSDLL.exe.vir (Worm.Koobface) -> No action taken. C:\QooBox\Quarantine\C\WINDOWS\system32\wbem\grpconv.exe.vir (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142487.exe (Worm.Koobface) -> No action taken. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142488.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\wbem\proquota.exe (Trojan.Downloader) -> No action taken. C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> No action taken. |
Lasse die Funde löschen, dort steht No action taken. ciao, andreas |
Sorry, hier nochmal: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2178 Windows 5.1.2600 Service Pack 1 25.05.2009 22:24:26 mbam-log-2009-05-25 (22-24-26).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 164546 Laufzeit: 59 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\system32\SYSDLL.exe.vir (Worm.Koobface) -> Quarantined and deleted successfully. C:\QooBox\Quarantine\C\WINDOWS\system32\wbem\grpconv.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142487.exe (Worm.Koobface) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP339\A0142488.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wbem\proquota.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> Quarantined and deleted successfully. |
So ist besser. :daumenhoc Also MbAM läuft wieder ohne Probleme. Jetzt die Liste bitte zügig bis zuende abarbeiten, sonst werden wir nie fertig. ciao, andreas |
Link per PN! Greetz |
1.) Start => Ausführen => combofix /u => OK 2.) Lade die Dateien Code: c:\windows\system32\cdpkroralfinwm.exe3.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung) 4.) http://www.trojaner-board.de/61465-a...ty-2009-a.html ciao, andreas |
Seit wann genau hast du Probleme? Funktinioniert der FireFox wieder? Lade bitte die Datei Code: c:\windows\system32\ajgrrtyuts.execiao, andreas |
Punkt 1-3 hab ich erledigt, keine Schädlinge gefunden mit Superantispy! Ich bekomme beim Start des PC immer die Meldung das grpconv nicht gestartet werden konnte, hat das was zu bedeuten? |
Die anderen Punkte abarbeiten und die Fragen noch beantworten. Da ist noch etwas. 1.) Systemdetails mit RSIT prüfen
2.) GMER - Rootkit Detection http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
ciao, andreas |
c:\windows\system32\ajgrrtyuts.exe Diese Datei finde ich nicht, auch per Suche nicht! Diese Meldung kommt erst seit ca. 2 Tagen, also irgendwann zwischen der ganzen PC-Aufräumaktion! FireFox läuft wieder einwandfrei! |
Zitat:
Zitat:
ciao, andreas |
Na ja ich bin froh wenn die Datei weg ist :) Weiss nicht so genau seit wann ich befallen bin, gemerkt hab ich das vor ner Woche, maximal 10 Tagen. Ist das eigentlich normal das die Scans so ewig lange dauern? Greetz |
Das kommt darauf an, wieviel man installiert hat. Die längste Reinigung hat sieben Tage gedauert. :D ciao, andreas |
Ok, das überbiete ich locker wenn das so weitergeht :singsing: Greetz |
Ja. Neuinstallation ist nunmal schneller und sicherer, aber das scheuen einige, als wenn sie in die Hölle müssten. :D ciao, andreas |
Ja ok Du hast mich... :) Es hat einen Grund warum ich nicht so heiss drauf bin neu zu installieren, aber das schreib ich lieber per PN. Soooo, und jetzt kann ich noch Service Pack 2 installieren damit Kaspersky läuft ich könnte grad mal :headbang: Aber der Abend hat ja erst angefangen ;) Greetz |
Brauchst du nicht, ich habe die Softwareliste gesehen und es gab schon einen Grund, warum ich damals gefragt habe. :D ciao, andreas |
Ja nee das weiss ich selber das Du die Software Liste sehen kannst. Aber da gibt es noch ein Problem....aber dazu würde ich Dich fragen wenn wir fertig sind, das macht jetzt keinen Sinn. Natürlich nur wenn das ok ist! :) Greetz |
Es gibt auch einen Grund, warum ich damals nicht aufgehört habe. ;) ciao, andreas |
Vollständige Suche: abgeschlossen 27.05.2009 01:03:45 (Ereignis: 33, Objekte: 325020, Zeit: 02:11:59) 26.05.2009 22:35:27 Aufgabe wurde abgeschlossen 26.05.2009 22:27:56 Aufgabe wurde gestartet Vollständige Suche: abgeschlossen 27.05.2009 01:03:45 (Ereignis: 33, Objekte: 325020, Zeit: 02:11:59) 26.05.2009 22:51:46 Aufgabe wurde gestartet 26.05.2009 22:55:10 Gefunden: http://www.viruslist.com/de/advisories/29320 c:\programme\microsoft office\office11\outlook.exe 26.05.2009 22:55:32 Gefunden: http://www.viruslist.com/de/advisories/33954 c:\programme\microsoft office\office11\excel.exe 26.05.2009 22:55:32 Gefunden: http://www.viruslist.com/de/advisories/34572 c:\programme\microsoft office\office11\powerpnt.exe 26.05.2009 22:55:48 Gefunden: http://www.viruslist.com/de/advisories/30285 c:\programme\microsoft office\office11\winword.exe 26.05.2009 22:56:59 Gefunden: http://www.viruslist.com/de/advisories/27620 c:\programme\real\realplayer\realplay.exe 26.05.2009 22:57:03 Gefunden: http://www.viruslist.com/de/advisories/30150 c:\programme\microsoft office\office11\mspub.exe 26.05.2009 23:32:31 Gefunden: Trojan-Downloader.Win32.Zlob.bexp c:\Dokumente und Einstellungen\****\Desktop\Anti Malware\backups\backup-20090522-215055-810.dll 26.05.2009 23:32:38 Nicht desinfizierte Objekte: Trojan-Downloader.Win32.Zlob.bexp c:\Dokumente und Einstellungen\***\Desktop\Anti Malware\backups\backup-20090522-215055-810.dll Zurückgestellt 26.05.2009 23:42:52 Gefunden: Email-Worm.Win32.Sober.y C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Service@Ebay.com][Subject:Sehr geehrter Ebay-Kunde][Time:2006/01/05 17:11:18]/Ebay-User29704_RegC.zip/File-packed_dataInfo.exe 26.05.2009 23:42:53 Nicht desinfizierte Objekte: Email-Worm.Win32.Sober.y C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Service@Ebay.com][Subject:Sehr geehrter Ebay-Kunde][Time:2006/01/05 17:11:18]/Ebay-User29704_RegC.zip/File-packed_dataInfo.exe Zurückgestellt 27.05.2009 00:01:45 Gefunden: http://www.viruslist.com/de/advisories/34924 c:\programme\Adobe\Reader 8.0\Reader\plug_ins\Annots.DEU 27.05.2009 00:01:48 Gefunden: http://www.viruslist.com/de/advisories/34924 c:\programme\Adobe\Reader 8.0\Reader\plug_ins\Annots.api 27.05.2009 00:06:14 Gefunden: Email-Worm.Win32.Sober.y C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Posteingang\[From:BKA.Bund@bka.bund.de][Subject:Ermittlungsverfahren_wurde_eingeleitet][Time:2005/12/20 16:47:05]/Akte2784.zip Kontrollsumme 27.05.2009 00:09:07 Gefunden: http://www.viruslist.com/de/advisories/31744 c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL 27.05.2009 00:19:03 Gefunden: http://www.viruslist.com/de/advisories/32991 c:\programme\Haufe\Runtime\1.4.2_04\bin\eula.dll 27.05.2009 00:28:47 Gefunden: http://www.viruslist.com/de/advisories/33954 c:\programme\microsoft office\office11\excel.exe 27.05.2009 00:28:51 Gefunden: http://www.viruslist.com/de/advisories/30150 c:\programme\microsoft office\office11\mspub.exe 27.05.2009 00:28:52 Gefunden: http://www.viruslist.com/de/advisories/29320 c:\programme\microsoft office\office11\outlook.exe 27.05.2009 00:28:53 Gefunden: http://www.viruslist.com/de/advisories/34572 c:\programme\microsoft office\office11\powerpnt.exe 27.05.2009 00:28:55 Gefunden: http://www.viruslist.com/de/advisories/30285 c:\programme\microsoft office\office11\winword.exe 27.05.2009 00:30:01 Gefunden: http://www.viruslist.com/de/advisories/27620 c:\programme\real\realplayer\realplay.exe 27.05.2009 00:50:10 Gefunden: http://www.viruslist.com/de/advisories/26003 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe 27.05.2009 00:59:57 Gefunden: http://www.viruslist.com/de/advisories/23655 c:\WINDOWS\system32\msxml4.dll 27.05.2009 01:01:54 Gefunden: http://www.viruslist.com/de/advisories/34012 c:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx 27.05.2009 01:02:53 Gefunden: http://www.viruslist.com/de/advisories/23655 c:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.1.0.0_x-ww_b319d8da\msxml4.dll 27.05.2009 01:03:04 Gefunden: Trojan-Downloader.Win32.Zlob.bexp c:\Dokumente und Einstellungen\***\Desktop\Anti Malware\backups\backup-20090522-215055-810.dll 27.05.2009 01:03:35 Gelöscht: Trojan-Downloader.Win32.Zlob.bexp c:\Dokumente und Einstellungen\***\Desktop\Anti Malware\backups\backup-20090522-215055-810.dll 27.05.2009 01:03:38 Gefunden: Email-Worm.Win32.Sober.y c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Service@Ebay.com][Subject:Message is infected : Sehr geehrter Ebay-Kunde][Time:2006/01/05 17:11:18]/Ebay-User29704_RegC.zip/File-packed_dataInfo.exe 27.05.2009 01:03:39 Gelöscht: Email-Worm.Win32.Sober.y c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:Service@Ebay.com][Subject:Message is infected : Sehr geehrter Ebay-Kunde][Time:2006/01/05 17:11:18]/Ebay-User29704_RegC.zip/File-packed_dataInfo.exe 27.05.2009 01:03:40 Gefunden: Email-Worm.Win32.Sober.y c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Posteingang\[From:BKA.Bund@bka.bund.de][Subject:Message is infected : Ermittlungsverfahren_wurde_eingeleitet][Time:2005/12/20 16:47:05]/Akte2784.zip Kontrollsumme 27.05.2009 01:03:40 Durch früher desinfizierte Kopie ersetzt: Email-Worm.Win32.Sober.y c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Posteingang\[From:BKA.Bund@bka.bund.de][Subject:Message is infected : Ermittlungsverfahren_wurde_eingeleitet][Time:2005/12/20 16:47:05]/Akte2784.zip 27.05.2009 01:03:45 Aufgabe wurde abgeschlossen |
Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-05-27 22:51:34 Microsoft Windows XP Professional Service Pack 2 System drive C: has 19 GB (49%) free of 38 GB Total RAM: 447 MB (22% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:52:01, on 27.05.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\USBTnKey\USBTnKey.EXE C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe C:\Dokumente und Einstellungen\***\Desktop\Anti Malware\Kerstin Satzinger.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE O4 - HKLM\..\Run: [USBKPDrv] C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 4912 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}] IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "CAP3ON"=C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE [2007-01-19 28288] "USB-TenKey"=C:\PROGRA~1\USBTnKey\USBTnKey.EXE [2002-05-24 94208] "USBKPDrv"=C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE [2002-02-20 32768] "LexwareInfoService"=C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-09-25 532776] "AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-05-26 206088] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SUPERAntiSpyware"=C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [2009-05-14 1830128] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] C:\WINDOWS\system32\Ati2mdxx.exe [2001-09-04 28672] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2004-02-24 335872] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] C:\WINDOWS\SOUNDMAN.EXE [2004-05-14 67072] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2003-11-20 499712] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2003-11-20 98304] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE [2007-01-15 38976] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] C:\PROGRA~1\WinZip\WZQKPICK.EXE [2004-09-14 118784] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA ~1\KASPER~1\KASPER~1\kloehk.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon] C:\WINDOWS\system32\klogon.dll [2008-11-11 218376] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDrives"=0 "NoDriveAutorun"=67108863 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======List of files/folders created in the last 1 months====== 2009-05-26 22:19:14 ----D---- C:\Programme\Kaspersky Lab 2009-05-26 22:19:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-05-26 22:07:11 ----D---- C:\WINDOWS\LastGood 2009-05-26 22:05:19 ----D---- C:\WINDOWS\Prefetch 2009-05-26 21:59:53 ----HDC---- C:\WINDOWS\$NtUninstallKB923191$ 2009-05-26 21:58:27 ----HDC---- C:\WINDOWS\$NtUninstallKB920683$ 2009-05-26 21:56:58 ----HDC---- C:\WINDOWS\$NtUninstallKB920670$ 2009-05-26 21:55:33 ----HDC---- C:\WINDOWS\$NtUninstallKB919007$ 2009-05-26 21:54:05 ----HDC---- C:\WINDOWS\$NtUninstallKB917953$ 2009-05-26 21:52:36 ----HDC---- C:\WINDOWS\$NtUninstallKB917422$ 2009-05-26 21:51:06 ----HDC---- C:\WINDOWS\$NtUninstallKB917344$ 2009-05-26 21:49:35 ----HDC---- C:\WINDOWS\$NtUninstallKB914389$ 2009-05-26 21:48:03 ----HDC---- C:\WINDOWS\$NtUninstallKB914388$ 2009-05-26 21:46:32 ----HDC---- C:\WINDOWS\$NtUninstallKB913580$ 2009-05-26 21:45:04 ----HDC---- C:\WINDOWS\$NtUninstallKB913446$ 2009-05-26 21:43:26 ----HDC---- C:\WINDOWS\$NtUninstallKB912919$ 2009-05-26 21:41:48 ----HDC---- C:\WINDOWS\$NtUninstallKB910437$ 2009-05-26 21:39:51 ----HDC---- C:\WINDOWS\$NtUninstallKB908531$ 2009-05-26 21:38:22 ----HDC---- C:\WINDOWS\$NtUninstallKB908519$ 2009-05-26 21:36:54 ----HDC---- C:\WINDOWS\$NtUninstallKB905749$ 2009-05-26 21:35:20 ----HDC---- C:\WINDOWS\$NtUninstallKB905414$ 2009-05-26 21:33:40 ----HDC---- C:\WINDOWS\$NtUninstallKB902400$ 2009-05-26 21:32:08 ----HDC---- C:\WINDOWS\$NtUninstallKB901214$ 2009-05-26 21:30:27 ----HDC---- C:\WINDOWS\$NtUninstallKB900725$ 2009-05-26 21:28:58 ----HDC---- C:\WINDOWS\$NtUninstallKB899589$ 2009-05-26 21:27:28 ----HDC---- C:\WINDOWS\$NtUninstallKB896428$ 2009-05-26 21:25:53 ----HDC---- C:\WINDOWS\$NtUninstallKB896358$ 2009-05-26 21:24:16 ----HDC---- C:\WINDOWS\$NtUninstallKB891781$ 2009-05-26 21:22:31 ----HDC---- C:\WINDOWS\$NtUninstallKB890859$ 2009-05-26 21:20:53 ----HDC---- C:\WINDOWS\$NtUninstallKB890046$ 2009-05-26 21:19:05 ----HDC---- C:\WINDOWS\$NtUninstallKB888302$ 2009-05-26 21:18:27 ----A---- C:\WINDOWS\imsins.BAK 2009-05-26 21:11:48 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP 2009-05-26 21:10:42 ----A---- C:\WINDOWS\setuplog.txt 2009-05-26 21:10:09 ----A---- C:\WINDOWS\setup.ini 2009-05-26 21:08:09 ----N---- C:\WINDOWS\system32\comsdupd.exe 2009-05-26 21:07:47 ----N---- C:\WINDOWS\system32\auditusr.exe 2009-05-26 21:07:47 ----N---- C:\WINDOWS\system32\ativtmxx.dll 2009-05-26 21:07:47 ----N---- C:\WINDOWS\system32\ati2dvaa.dll 2009-05-26 21:07:47 ----N---- C:\WINDOWS\system32\ati2cqag.dll 2009-05-26 21:07:46 ----N---- C:\WINDOWS\system32\cmsetacl.dll 2009-05-26 21:07:46 ----N---- C:\WINDOWS\system32\btpanui.dll 2009-05-26 21:07:46 ----N---- C:\WINDOWS\system32\bthserv.dll 2009-05-26 21:07:46 ----N---- C:\WINDOWS\system32\bthci.dll 2009-05-26 21:07:46 ----N---- C:\WINDOWS\system32\blastcln.exe 2009-05-26 21:07:44 ----N---- C:\WINDOWS\system32\fsquirt.exe 2009-05-26 21:07:44 ----N---- C:\WINDOWS\system32\fltmc.exe 2009-05-26 21:07:44 ----N---- C:\WINDOWS\system32\fltlib.dll 2009-05-26 21:07:44 ----N---- C:\WINDOWS\system32\extmgr.dll 2009-05-26 21:07:43 ----N---- C:\WINDOWS\system32\ieencode.dll 2009-05-26 21:07:43 ----N---- C:\WINDOWS\system32\httpapi.dll 2009-05-26 21:07:43 ----N---- C:\WINDOWS\system32\hsfcisp2.dll 2009-05-26 21:07:43 ----N---- C:\WINDOWS\system32\fwcfg.dll 2009-05-26 21:07:42 ----N---- C:\WINDOWS\system32\ir50_qcx.dll 2009-05-26 21:07:42 ----N---- C:\WINDOWS\system32\ir50_qc.dll 2009-05-26 21:07:42 ----N---- C:\WINDOWS\system32\ir50_32.dll 2009-05-26 21:07:42 ----N---- C:\WINDOWS\system32\ir41_qcx.dll 2009-05-26 21:07:42 ----N---- C:\WINDOWS\system32\ir41_qc.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\mdmxsdk.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdukx.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdsmsno.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdsmsfi.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdno1.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdmlt48.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdmlt47.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdmaori.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdinmal.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdinben.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdinbe1.dll 2009-05-26 21:07:41 ----N---- C:\WINDOWS\system32\kbdfi1.dll 2009-05-26 21:07:39 ----N---- C:\WINDOWS\system32\msdadiag.dll 2009-05-26 21:07:38 ----N---- C:\WINDOWS\system32\mtxparhd.dll 2009-05-26 21:07:38 ----N---- C:\WINDOWS\system32\mspmsnsv.dll 2009-05-26 21:07:37 ----N---- C:\WINDOWS\system32\nv4_disp.dll 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\powercfg.exe 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\pnrpnsp.dll 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\p2psvc.dll 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\p2pnetsh.dll 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\p2pgraph.dll 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\p2pgasvc.dll 2009-05-26 21:07:36 ----N---- C:\WINDOWS\system32\p2p.dll 2009-05-26 21:07:35 ----N---- C:\WINDOWS\system32\s3gnb.dll 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\smbinst.exe 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\slserv.exe 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\slrundll.exe 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\slgen.dll 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\slextspk.dll 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\slcoinst.dll 2009-05-26 21:07:34 ----N---- C:\WINDOWS\system32\sdhcinst.dll 2009-05-26 21:07:33 ----N---- C:\WINDOWS\system32\w3ssl.dll 2009-05-26 21:07:33 ----N---- C:\WINDOWS\system32\twext.dll 2009-05-26 21:07:33 ----N---- C:\WINDOWS\system32\strmfilt.dll 2009-05-26 21:07:32 ----N---- C:\WINDOWS\system32\wmerror.dll 2009-05-26 21:07:32 ----N---- C:\WINDOWS\system32\winshfhc.dll 2009-05-26 21:07:31 ----N---- C:\WINDOWS\system32\wmpasf.dll 2009-05-26 21:07:31 ----N---- C:\WINDOWS\system32\wmp.dll 2009-05-26 21:07:30 ----N---- C:\WINDOWS\system32\wmpdxm.dll 2009-05-26 21:07:29 ----N---- C:\WINDOWS\system32\wshbth.dll 2009-05-26 21:07:29 ----N---- C:\WINDOWS\system32\wscsvc.dll 2009-05-26 21:07:29 ----N---- C:\WINDOWS\system32\wscntfy.exe 2009-05-26 21:07:28 ----N---- C:\WINDOWS\system32\xmlprovi.dll 2009-05-26 21:07:28 ----N---- C:\WINDOWS\system32\xmlprov.dll 2009-05-26 21:07:28 ----N---- C:\WINDOWS\slrundll.exe 2009-05-26 20:59:05 ----D---- C:\WINDOWS\ServicePackFiles 2009-05-26 20:50:01 ----A---- C:\WINDOWS\002491_.tmp 2009-05-26 20:45:10 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2009-05-26 19:43:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2009-05-26 19:17:42 ----SHD---- C:\RECYCLER 2009-05-25 23:25:19 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2009-05-25 22:55:12 ----D---- C:\WINDOWS\temp 2009-05-25 22:55:10 ----A---- C:\ComboFix.txt 2009-05-25 21:12:58 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla 2009-05-24 21:05:02 ----A---- C:\WINDOWS\system32\cds.txt 2009-05-24 01:28:05 ----D---- C:\rsit 2009-05-21 22:56:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-21 22:56:07 ----D---- C:\Programme\SUPERAntiSpyware 2009-05-21 22:56:06 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2009-05-14 22:03:58 ----RD---- C:\Programme\Skype |
======List of files/folders modified in the last 1 months====== 2009-05-27 22:50:17 ----HD---- C:\WINDOWS\inf 2009-05-27 22:50:16 ----HD---- C:\WINDOWS\$hf_mig$ 2009-05-27 22:50:14 ----D---- C:\WINDOWS 2009-05-27 22:48:55 ----D---- C:\WINDOWS\system32\CatRoot2 2009-05-27 22:39:31 ----D---- C:\Programme\Mozilla Firefox 2009-05-26 22:40:56 ----D---- C:\WINDOWS\system32\drivers 2009-05-26 22:27:40 ----D---- C:\WINDOWS\Debug 2009-05-26 22:25:54 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-05-26 22:22:30 ----SHD---- C:\WINDOWS\Installer 2009-05-26 22:20:18 ----D---- C:\WINDOWS\system32 2009-05-26 22:19:14 ----RD---- C:\Programme 2009-05-26 22:07:13 ----D---- C:\WINDOWS\system32\inetsrv 2009-05-26 22:04:31 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-05-26 22:04:31 ----D---- C:\WINDOWS\msagent 2009-05-26 22:04:30 ----D---- C:\WINDOWS\AppPatch 2009-05-26 22:04:29 ----D---- C:\WINDOWS\system32\wbem 2009-05-26 22:04:27 ----RSD---- C:\WINDOWS\Fonts 2009-05-26 22:00:30 ----D---- C:\WINDOWS\system32\CatRoot 2009-05-26 21:34:25 ----D---- C:\WINDOWS\system32\Com 2009-05-26 21:10:45 ----RASH---- C:\boot.ini 2009-05-26 21:08:47 ----D---- C:\WINDOWS\security 2009-05-26 21:08:25 ----D---- C:\WINDOWS\WinSxS 2009-05-26 21:08:15 ----D---- C:\Programme\Messenger 2009-05-26 21:08:11 ----D---- C:\WINDOWS\system32\Setup 2009-05-26 21:08:11 ----D---- C:\WINDOWS\EHome 2009-05-26 21:08:09 ----D---- C:\WINDOWS\Help 2009-05-26 21:08:07 ----D---- C:\WINDOWS\ime 2009-05-26 21:07:28 ----D---- C:\WINDOWS\system32\oobe 2009-05-26 21:07:28 ----D---- C:\Programme\Windows Media Player 2009-05-26 21:07:26 ----D---- C:\Programme\Internet Explorer 2009-05-26 21:07:24 ----D---- C:\WINDOWS\peernet 2009-05-26 21:07:24 ----D---- C:\Programme\Movie Maker 2009-05-26 21:07:22 ----D---- C:\WINDOWS\Media 2009-05-26 20:57:42 ----D---- C:\WINDOWS\system32\Restore 2009-05-26 20:57:42 ----D---- C:\WINDOWS\system32\npp 2009-05-26 20:57:38 ----D---- C:\WINDOWS\srchasst 2009-05-26 20:57:35 ----D---- C:\Programme\NetMeeting 2009-05-26 20:57:26 ----D---- C:\Programme\Windows NT 2009-05-26 20:57:26 ----D---- C:\Programme\Outlook Express 2009-05-26 20:57:14 ----D---- C:\Programme\Gemeinsame Dateien\System 2009-05-26 20:56:37 ----D---- C:\WINDOWS\system32\usmt 2009-05-26 20:56:26 ----D---- C:\WINDOWS\system 2009-05-26 20:53:25 ----D---- C:\WINDOWS\system32\1031 2009-05-26 20:53:24 ----RD---- C:\WINDOWS\Web 2009-05-26 20:52:59 ----RASH---- C:\NTDETECT.COM 2009-05-26 20:50:00 ----D---- C:\WINDOWS\system32\ReinstallBackups 2009-05-26 19:18:40 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-05-25 23:25:19 ----D---- C:\Programme\Gemeinsame Dateien 2009-05-25 23:19:25 ----SHD---- C:\System Volume Information 2009-05-25 23:19:23 ----D---- C:\WINDOWS\erdnt 2009-05-25 22:48:39 ----A---- C:\WINDOWS\system.ini 2009-05-25 20:42:05 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Talkback 2009-05-24 21:49:44 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2009-05-24 20:46:21 ----D---- C:\Programme\Google 2009-05-24 20:43:49 ----D---- C:\Programme\Java 2009-05-24 20:42:53 ----SD---- C:\WINDOWS\Tasks 2009-05-24 20:41:23 ----D---- C:\Programme\Adobe 2009-05-24 20:41:22 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2009-05-24 00:48:28 ----D---- C:\WINDOWS\system32\config 2009-05-22 22:23:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-05-22 22:12:36 ----D---- C:\WINDOWS\Minidump 2009-05-14 22:04:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192] R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-05-26 226832] R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS [] R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys [] R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2006-07-24 5632] R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2004-08-03 87424] R2 USBKBFlt;Dritek USB Keypad Filter; C:\WINDOWS\System32\DRIVERS\USBKBFlt.SYS [2001-01-05 29532] R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2004-02-24 400384] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-05-15 622172] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2004-02-24 679424] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080] R3 IntelC51;IntelC51; C:\WINDOWS\System32\DRIVERS\IntelC51.sys [2004-01-20 1086853] R3 IntelC52;IntelC52; C:\WINDOWS\System32\DRIVERS\IntelC52.sys [2004-01-20 619369] R3 IntelC53;IntelC53; C:\WINDOWS\System32\DRIVERS\IntelC53.sys [2004-01-20 77925] R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640] R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592] R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] R3 mohfilt;mohfilt; C:\WINDOWS\System32\DRIVERS\mohfilt.sys [2004-01-20 31440] R3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\System32\DRIVERS\nscirda.sys [2004-08-03 28672] R3 PRISM_A00;PRISM 802.11g Driver; C:\WINDOWS\System32\DRIVERS\PRISMA00.sys [2004-02-02 380736] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 RTL8023;Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver; C:\WINDOWS\System32\DRIVERS\Rtlnic51.sys [2004-01-16 69504] R3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS [] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2003-11-20 178528] R3 tifmsi;tifmsi; C:\WINDOWS\system32\drivers\tifmsi.sys [2004-02-17 66944] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2004-08-04 14848] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800] S3 Bridge;MAC-Brücke; C:\WINDOWS\System32\DRIVERS\bridge.sys [2004-08-03 71552] S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\System32\DRIVERS\bridge.sys [2004-08-03 71552] S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-08-03 17024] S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 MPE;BDA MPE Filter; C:\WINDOWS\System32\DRIVERS\MPE.sys [2004-08-03 15360] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504] S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-08-03 85376] S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-08-03 10880] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824] S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992] S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service; C:\WINDOWS\system32\drivers\usbscan.sys [2004-08-03 15104] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-08-03 11136] S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\System32\DRIVERS\sscdbus.sys [2007-07-03 80552] S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\WINDOWS\System32\DRIVERS\sscdmdfl.sys [2007-07-03 11944] S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\WINDOWS\System32\DRIVERS\sscdmdm.sys [2007-07-03 106792] S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-08-03 15360] S3 USB28xxBGA;USB 2861 Device; C:\WINDOWS\System32\DRIVERS\emBDA.sys [2008-03-06 530944] S3 USB28xxOEM;USB 28xx OEM Filter; C:\WINDOWS\System32\DRIVERS\emOEM.sys [2007-04-25 45696] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2004-02-24 397312] R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-05-26 206088] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] S2 MSSQLSERVER;MSSQLSERVER; C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe [2002-12-17 7520337] S2 SQLSERVERAGENT;SQLSERVERAGENT; C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE [2002-12-17 311872] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 MSSQLServerADHelper;MSSQLServerADHelper; C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe [2002-12-17 66112] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] -----------------EOF----------------- |
GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-05-27 23:02:45 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB2FAB0F2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB2FAB15A] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- EOF - GMER 1.0.15 ---- |
Sag mal, was machst du da eigentlich? Warum sicherst du die ganzen Schädlinge auf einem Ordner auf dem Desktop. Ich habe schon per Script versucht, diesen Ordner zu löschen, aber du hast wohl meine Anleitung entweder nicht genau gelesen oder untergräbst mich absichtlich. Lösche umgehend den Ordner Code: c:\Dokumente und Einstellungen\****\Desktop\Anti MalwareSind die Probleme mit Avira mittlerweile behoben? ciao, andreas |
Da waren nur die Antivirenprogramme drin...Du hast nicht gesagt das ich die ganzen Scan Programme nach den Scans wieder löschen soll...:( ich hab alles so gemacht wie Du gesagt hast... ich wäre viel zu blöd Dich zu untergraben. Nee Avira geht noch nicht. Soll ich Kaspersky auch wieder löschen? |
Ich bin noch immer auf der Suche nach Schädlingen, Kleinigkeiten werden am Schluss erledigt, wenn die Schädlinge erledigt sind. Hast du dich denn an Avira gewandt oder an das Forum? ciao, andreas |
Ich hab mich an Avira gewandt, mal sehen was die sagen. |
Kaspersky Online Scan kann deinstalliert werden. Du hast da jede Menge verseuchter Emails, versuche die anhand des Kaspersky-Logs zu löschen. Lösche sie anschliessend aus dem Papierkorb deines Emailprogrammes. Weiter mit: 1.) CureIT Dr.Web
2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
DrWeb cureit: Ergebnis: Keine Viren gefunden! |
:daumenhoc ciao, andreas |
;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-05-30 00:00:16 PROTECTIONS: 2 MALWARE: 2 SUSPECTS: 3 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir Personal Edition 6.28.0.106 Yes No Kaspersky Internet Security 8.0.0.506 No Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 01895149 Malicious Packer SecRisk No 0 Yes No C:\Stotax\_OnlineUpdate\Client\update.exe 01895149 Malicious Packer SecRisk No 0 Yes No C:\Stotax\_OnlineUpdate\Client_Auto\update.exe 01895149 Malicious Packer SecRisk No 0 Yes No C:\Stotax\update.exe 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP375\A0147502.dll 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{0C6783B5-4AE2-4B60-AFE7-F6DDE56992E7}\RP375\A0147410.dll ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ? ;===================================================================================================================================================== ============================== No C:\Programme\Gemeinsame Dateien\Lexware\netviewer\NV_o2o_Teilnehmer_DE.exe ? No C:\WINDOWS\Installer\{A4B3804B-0B81-487D-A946-B4764699E9F5}\TAXMAN 2008.msi[unk_0069][nv_o2o_teilnehmer_de.C3689185_4222_4F18_9E97_15FEFA5BB00F] No C:\WINDOWS\system32\cdpkroralfinwm.exe ? ;===================================================================================================================================================== ============================== |
VULNERABILITIES Id Severity Description ? MS08-002 ? 184379 MEDIUM MS08-001 ? 182048 HIGH MS07-069 ? 182046 HIGH MS07-067 ? 182043 HIGH MS07-064 ? 179553 HIGH MS07-061 ? 176382 HIGH MS07-057 ? 176383 HIGH MS07-058 ? 170911 HIGH MS07-050 ? 170907 HIGH MS07-046 ? 170906 HIGH MS07-045 ? 170904 HIGH MS07-043 ? 164915 HIGH MS07-035 ? 164913 HIGH MS07-033 ? 164911 HIGH MS07-031 ? 160623 HIGH MS07-027 ? 157262 HIGH MS07-022 ? 157261 HIGH MS07-021 ? 157260 HIGH MS07-020 ? 157259 HIGH MS07-019 ? 156477 HIGH MS07-017 ? 150253 HIGH MS07-016 ? 150249 HIGH MS07-013 ? 150248 HIGH MS07-012 ? 150247 HIGH MS07-011 ? 150243 HIGH MS07-008 ? 150242 HIGH MS07-007 ? 150241 MEDIUM MS07-006 ? 141034 HIGH MS06-076 ? 141033 MEDIUM MS06-075 ? 141030 HIGH MS06-072 ? 137571 HIGH MS06-070 ? 137568 HIGH MS06-067 ? 133387 MEDIUM MS06-065 ? |
133386 medium ms06-064 ? 133385 medium ms06-063 ? 131654 high ms06-055 ? 129977 medium ms06-053 ? 126087 high ms06-046 ? 126083 high ms06-042 ? 126081 high ms06-040 ? 123420 high ms06-035 ? 120818 high ms06-025 ? 120815 high ms06-022 ? 120814 high ms06-021 ? 114664 high ms06-013 ? 108744 medium ms06-008 ? 96574 high ms05-053 ? |
Was soll ich jetzt noch machen? |
1.) Lösche die Datei Code: C:\WINDOWS\system32\cdpkroralfinwm.exe2.) Überprüfe deinen Rechner mit Prevx 3.0 Download. ciao, andreas |
1) Datei gelöscht! 2)PrevX Scan Logfile: http://www.materialordner.de/ieAWij7...gz1K8JSbT.html Greetz |
Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten? ciao, andreas |
Also ich kann momentan nix feststellen! Soll ich zur Sicherheit noch irgendeinen kompletten Scan machen oder sowas? Welche der Antivirensoftware soll ich drauflassen und was kann ich jetzt wieder rauswerfen? Greetz P.S.: Mit 12 Tagen liege ich doch jetzt sicher ganz weit vorne oder? ;) |
Läuft Avira denn mittlerweile wieder? Falls ja, dann mit diesen Einstellungen scannen: http://www.trojaner-board.de/54192-a...tellungen.html Alles deinstallieren, bis auf:
Poste bitte noch ein letztes HJT-Log. ciao, andreas |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:14:38, on 01.06.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\USBTnKey\USBTnKey.EXE C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Prevx\prevx.exe C:\Programme\Prevx\prevx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\msiexec.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [USB-TenKey] C:\PROGRA~1\USBTnKey\USBTnKey.EXE O4 - HKLM\..\Run: [USBKPDrv] C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 4963 bytes habe soeben Kaspersky deinstalliert und während diesem Vorgang kam wiederholt die meldung das die Datei "grpconv" nicht gefunden/geöffnt werden kann. Die war vorher schonmal da und nach dem ich die ganzen Antivirenprogramme draufhatte nicht mehr... und jetzt wieder.... |
Benutzt du jetzt Kaspersky? 1.) Deinstalliere:
Code: Alle R0, R1, O2, O8, O9 und O16-Einträgte3.) Installiere:
5.) Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) http://virus-protect.org/artikel/bilder/bobby.gif Folgenden Text einfügen: Code: grpconvciao, andreas |
Nein aber im Verlauf unserer Säuberungsaktion sollte ich auch Kaspersky runterladen. Jetzt wollte ich dann alles mal wieder deinstallieren und zack- war die blöde Meldung wieder da :( Punkte 1+2 sind schon erledigt, Punkt 3 wird wohl länger dauern. Ich poste wieder wenn alles erledigt ist! Greetz |
Zitat:
ciao, andreas |
Punkt 3 erledigt Punkt 4: Keine bösartige Software, Viren o.ä. gefunden! Punkt 5: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 02.06.2009 23:18:40 for strings: ; 'grpconv' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\grpconv.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\GrpConv] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups] [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\GrpConv] [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups] [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\GrpConv] [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups] [HKEY_USERS\S-1-5-21-1659004503-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\GrpConv] [HKEY_USERS\S-1-5-21-1659004503-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\GrpConv] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups] ; End Of The Log... Habe Punkt 5 auch mal Avira suchen lassen: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 02.06.2009 23:21:42 for strings: ; 'avira' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-1659004503-926492609-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603] "000"="Avira" ; End Of The Log... In der Suche mit regedit kam dies: Name: 000 TYP: REG_SZ Wert: Avira Wie kommt das? Greetz |
Welche Meldung erhältst du genau bzgl. grpconv bei welcher Aktion? ciao, andreas p.s.: Irgendwie habe ich bzgl. Avira den Faden verloren. Dein HJT-Log zeigt, dass du z.Z. Kaspersky einsetzt. Wie ist denn nun der Stand der Dinge und warum hast du mit Registry Search nach Avira gesucht? |
Also: Kaspersky habe ich doch nur installiert, weil Du mir das gesagt hast (Kaspersky Online irgendwas 2009). Nachdem wir ja jetzt fast fertig waren habe ich alles deinstalliert bis auf die Komponenten die Du mir ein paar Posts vorher genannt hast. Und genau bei der Deinstallation von Kaspersky kam wieder die Meldung das grpconv nicht geöffnet werden kann, aber erste seitdem. Während ich deinstalliert habe kam die Meldung gefühlte 100 Mal. Ganz zu Beginn dieser ganzen Aktion tauchte die Meldung bei Hochfahren auf. Seit gestern noch nicht wieder....grrr. Hab keine Ahnung was dieses grpconv eigentlich sein soll??? Avira nutze ich seit Jahren. Aber seit der ganzen Virengeschichte lief Avira nicht mehr (ich schrieb doch das ich Avira nicht mehr updaten kann, auch nicht neuinstallieren und offensichtlich auch nicht ganz löschen.) Da ich bisher noch keine wirkliche Info hatte woran das lag dachte ich ich suche mal, warum immer die Meldung kommt ich hätte noch Avira auf dem PC und kann deshalb nicht neu installieren sondern soll erst die alte Version löschen. Und das hab ich eben gemacht und da kam eben das raus was ich gepostet habe. Den HJT-Log habe ich erstellt bevor ich kaspersky gelöcht hatte, vielleicht etwas verwirrend :confused: Greetz |
Äh, ja, jetzt wird es klarer. :) Start => Ausführen => sfc /scannow => ok (Windows-CD bereithalten) Der Schädling hat eine Systemdatei ersetzt, die muss wiederhergestellt werden. Bezgl. Avira, versuche diesen Weg: Avira Produkte - Wissensdatenbank Problemlösungen ciao, andreas |
So, damit Du nicht aus der Übung kommst ;) Ich habe nur eine Medion Recovery CD, reicht das? Next problem....mein CD-Rom läuft nicht, habe vor ein paar Monaten ein neues einbauen lassen. Ging ne Weile und dann nix mehr... hatte aber bisher keine Zeit und Lust das Ding schon wieder wegzubringen.. ich brauch ja auch kaum CD's. Ja ich weiss ich weiss.... schande über mein Haupt...:kloppen: So, und nun??? |
Zitat:
Ja, die ist genau richtig. Zitat:
Neuen Computer kaufen. :) Bei dem neuen Laufwerk müsste doch noch Garantie bestehen (24 Monate). Umtauschen. ciao, andreas |
:headbang: das hab ich geahnt... wieso hab ich immer son pech... und ohne cd is nich....?:heulen: |
Versuche es einfach ohne, falls du Glück hast, dann muss er nicht auf die CD zugreifen. ciao, andreas |
ja gut und wenn er cd doch braucht? |
Dann brauchst du ein funktionierendes CD-Laufwerk. :) Ich sehe gerade, du bist ja noch mit SP2 unterwegs, dann gibt es einen anderen Weg. Installiere:ciao, andreas |
Zitat:
Start => Ausführen => sfc /scannow => ok (Windows-CD bereithalten) Das? Greetz |
Stimmt, habe ich übersehen. :( Zitat:
ciao, andreas |
Schade, geht net ohne CD. Also werd ich die Kiste wegbringen müssen... Greetz |
Oder das CD/DVD-Laufwerk umtauschen. :) ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board