Trojaner-Board - Bei Win-Spyware Shareware das Betriebssystem neu aufsetzten?!?!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bei Win-Spyware Shareware das Betriebssystem neu aufsetzten?!?! (https://www.trojaner-board.de/75337-win-spyware-shareware-betriebssystem-neu-aufsetzten.html)

Schwester

15.07.2009 22:35

Bei Win-Spyware Shareware das Betriebssystem neu aufsetzten?!?!

Hallo ihr Profis!
Ich habe netterweise den kleinen bösen Icon in der Taskleiste, von dem ich hier bereits gelesen haben "Win-Spy Shareware".
Dieser lässt sich bekanntlich weder deinstallieren noch anklicken.
Hier hatte ich in einem Beitrag gelesen, das dieser User, der das selbe Phantom hatte, sein Betriebssystem neu aufsetzen musste. Allerdings nach einem Hjackthis Post.

Also, bisher habe ich gegooglet (auch die sonstigen unbekannten .exe dateien) und gesucht, habe HJackthis neu runtergeladen und selbst versucht zu entschlüsseln. So recht ist es mir nicht gelungen.
Den CCleaner habe ich mir auch runtergeladen -wie hier empfohlen- doch wenn ich diesen anklicke schließt er sich nach genau 2 sec. Wirklich seltsam.:eek:

Mir deucht da ist etwas böse, böse schiefgegangen...
Vielleicht finde ich hier Hilfe? Ich würde mich sehr freuen, denn die CD´s meines Betriebssystems sind nach 7 Jahren abhanden gekommen.

Hier das Ergebnis des Hjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:28, on 15.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\bin\jusched.exe
H:\iTunesHelper.exe
C:\Programme\NetServices\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetServices\wmprox.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\okkog.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
H:\Programme\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Dokumente und Einstellungen\XXX\Desktop\VisualTooltip22\VisualToolTip.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DCOM Updater] C:\Programme\NetServices\iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [RegistryDoktorMFCT] C:\Programme\Registry Doktor 2009\Registry Doktor 2009.exe
O4 - HKCU\..\Run: [okkog] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\okkog.exe" okkog
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Suche - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: SecretCity 3DChat - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - H:\\SECRET~1.EXE (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.internetcologne.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37E60540-F8CD-4583-BE12-6D294626F48C}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - h**p://www.new-dream.de/image/wallpaper/natur/blumen/blumen_13.jpg

--
End of file - 7584 bytes

Ich danke vielmals und wünsche einen schönen Abend!
Schwester:)

Most	16.07.2009 11:13

hallo

Zitat:

C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\okkog.exe
C:\Programme\Bonjour\mDNSResponder.exe

Lass mal untersuchen bei VirusTotal - Kostenloser online Viren- und Malwarescanner poste mir das Ergebniss

Schwester

16.07.2009 22:31

Hallo Most!
Ich danke dir für deine Antwort und das Befassen meines Anliegens.
Ich muss leider sagen, das ich diese Anwendungsdateien nicht mehr finde...
Ich bin erst auf "Durchsuchen"-"Laufwerk C"- "Anwendungsdateien"...aber zu finden ist weder Okkog noch Bonjour.
Tut mir leid, vielleicht stelle ich mich nur blöd an, aber heute früh habe ich es bereits versucht (hatte leider keine Zeit) und da war es vorhanden. Nun wollte ich den Bericht senden und es ist weg *schäm*

:(

john.doe

16.07.2009 23:04

Hallo Schwester und :hallo:

Höre bitte nicht mehr auf Most. Du solltest hier nur auf Leute hören, die mindestens einen roten Stern unter ihrem Nick haben.

1.) Kontrolliere bitte, ob in deiner Softwareliste (Start => Einstellungen => Systemsteuerung => Software) sich Favorit finden lässt, falls ja, dann deinstalliere ihn.

2.) Starte HJT => Do a system scan only => Markiere:

Code:

O4 - HKLM\..\Run: [DCOM Updater] C:\Programme\NetServices\iexplore.exe

O4 - HKCU\..\Run: [RegistryDoktorMFCT] C:\Programme\Registry Doktor 2009\Registry Doktor 2009.exe

O4 - HKCU\..\Run: [okkog] "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\okkog.exe" okkog

=> Fix checked => Starte den Rechner neu

3.) Klicke bitte auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Dann postest du das Log von Malwarebytes und die beiden Logs von RSIT.

ciao, andreas

Most	17.07.2009 06:59

Hallo und Sry John.doe

wollt nur sicher sicher stellen das das Infizierte dateien sind

@ John.doe

Zitat:

O4 - HKCU\..\Run: [RegistryDoktorMFCT] C:\Programme\Registry Doktor 2009\Registry Doktor 2009.exe

das ist kein Virus, sondern ein Registrierungsbereiniger

kira	17.07.2009 09:39

Zitat:

Zitat von Most (Beitrag 448724)

das ist kein Virus, sondern ein Registrierungsbereiniger

*kurzeinmisch*

Ich rate von solchen Programmen ab, die in die Windows-Systemdatenbank Registry eingreifen. Benutze lieber nur den Ccleaner um dein Computer zu reinigen
In der Registry sollte man sich äußerst vorsichtig bewegen! Tote Einträge in der Registry stören nicht, werden nicht automatisch geladen und natürlich auch nicht mehr abgefragt. Beim löschen besteht halt die Gefahr, das mal etwas gelöscht wird, was nicht gelöscht werden sollte...

Most	17.07.2009 09:52

ja da muss ich dir zustimmen coverflow.

ich empfehle daher tuneup. ich hatte damit noch nie Probleme.

MFG Most

Schwester

17.07.2009 10:35

Hallo John.doe!
Und vielen Dank!
Ich wundere mich, das hier alle so nett sind und hilfsbereit....
Okkog.exe ließ sich zwar nicht mehr finden, aber nach dieser gut geschilderten und einfachen Anleitung, habe ich alles abarbeiten können.
Nun kann ich auch endlich den CCleaner starten, der zuvor nach 2 Sekunden geschlossen wurde!
Hier ersteinmal Risit:

info.txt logfile of random's system information tool 1.06 2009-07-17 10:02:25

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUninst.exe -fC:\WINDOWS\system32\UninstIPP.isu
-->C:\WINDOWS\NuNInst.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Alice Software 4.9.2-->H:\Alice Software\uninst.exe
AntiVir/XP-->C:\Programme\AVPersonal\AVUNINST.EXE
Apple Mobile Device Support-->MsiExec.exe /I{162B71B8-8464-4680-A086-601D555B331D}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
a-Quip PCI Fast Ethernet Card-->C:\Programme\InstallShield Installation Information\{59061D20-CFC3-4C2E-8B41-9243678ACE8D}\setup.exe -runfromtemp -l0x0009 -removeonly
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
CCScore-->MsiExec.exe /I{B4B44FE7-41FF-4DAD-8C0A-E406DDA72992}
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Combat Arms EU-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe" -mode:uninstall -dll:ngm.nexoneu.com/cbangm/NGM/Bin/NGMDll.dll -game:50340359 -locale:EU
Conexant USB Network Adapter-->C:\Programme\Conexant\Conexant USB Network\CnxUnist.exe -w7 Conexant\Conexant USB Network
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro Trial-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
ESSBrwr-->MsiExec.exe /I{643EAE81-920C-4931-9F0B-4B343B225CA6}
ESSCDBK-->MsiExec.exe /I{AE1FA02D-E6A4-4EA0-8E58-6483CAC016DD}
ESScore-->MsiExec.exe /I{42938595-0D83-404D-9F73-F8177FDD531A}
ESSgui-->MsiExec.exe /I{91517631-A9F3-4B7C-B482-43E0068FD55A}
ESSini-->MsiExec.exe /I{8E92D746-CD9F-4B90-9668-42B74C14F765}
ESSPCD-->MsiExec.exe /I{14D4ED84-6A9A-45A0-96F6-1753768C3CB5}
ESSPDock-->MsiExec.exe /I{FCDB1C92-03C6-4C76-8625-371224256091}
ESSSONIC-->MsiExec.exe /I{073F22CE-9A5B-4A40-A604-C7270AC6BF34}
ESSTOOLS-->MsiExec.exe /I{8A502E38-29C9-49FA-BCFA-D727CA062589}
essvatgt-->MsiExec.exe /I{2D03B6F8-DF36-4980-B7B6-5B93D5BA3A8F}
fflink-->MsiExec.exe /I{608D2A3C-6889-4C11-9B54-A42F45ACBFDB}
Filzip 3.02-->C:\Programme\Filzip\unins000.exe
FoneSync-->C:\WINDOWS\IsUninst.exe -fC:\Programme\FoneSync\Uninst.isu -c"C:\Programme\FoneSync\UninstSupport.dll"
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
hp deskjet 845c series-->rundll32 hpzcon04.dll,VendorJettison hp deskjet 845c series
ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
iTunes-->MsiExec.exe /I{C26B06A9-27BB-45B0-9873-9C623EC2BA38}
Java 2 Runtime Environment Standard Edition 1.3.1_13-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{68249B73-B714-11D7-88E8-0050DA21757E}\Setup.exe" -uninst
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
kgcbaby-->MsiExec.exe /I{E18B549C-5D15-45DA-8D8F-8FD2BD946344}
kgcbase-->MsiExec.exe /I{F22C222C-3CE2-4A4B-A83F-AF4681371ABE}
kgchday-->MsiExec.exe /I{11F3F858-4131-4FFA-A560-3FE282933B6E}
kgchlwn-->MsiExec.exe /I{03EDED24-8375-407D-A721-4643D9768BE1}
kgcinvt-->MsiExec.exe /I{9BD54685-1496-46A5-AB62-357CD140ED8B}
kgckids-->MsiExec.exe /I{693C08A7-9E76-43FF-B11E-9A58175474C4}
kgcmove-->MsiExec.exe /I{A1588373-1D86-4D44-86C9-78ABD190F9CC}
kgcvday-->MsiExec.exe /I{8A8664E1-84C8-4936-891C-BC1F07797549}
LastChaosGER-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{99A37AC7-E724-4621-B167-500B5A52B69C}\setup.exe" -l0x9 -removeonly
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~3\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~3\Install.log
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Manual CanoScan LiDE 50-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A2C726E9-C3A0-4850-82C7-5D01FE0E4EB8}\setup.exe" -l0x7
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Picture It! Foto 2001-->MsiExec.exe /I{D28FDA7D-15C6-48A2-9868-6BCB28BE6254}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Word 2000-->MsiExec.exe /I{00170407-78E1-11D2-B60F-006097C998E7}
Microsoft Works 2001-Setup-Start-->C:\Programme\Microsoft Works Suite 2001\Setup\Launcher.exe D:\
Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
Multimedia Card Reader-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{07B02BD4-E799-4945-B240-166CA9A9BE2D} /l1031
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
Nero 7 Essentials-->MsiExec.exe /I{37BA50EE-C851-4394-93DD-A0A611891031}
netbrdg-->MsiExec.exe /I{4537EA4B-F603-4181-89FB-2953FC695AB1}
Next Generation Visualisations-->MsiExec.exe /I{2E376AD9-5C49-4F7D-A0BA-6A44E8FA5A3B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NVIDIA WDM Drivers-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B023185F-F1EF-4F97-B0BD-AE6D802226D1}\Setup.exe"
NVIDIA Windows 95/98/ME/2000/XP Stereo Drivers-->nvStInst.exe /uninstall /ask
OfotoXMI-->MsiExec.exe /I{B162D0A6-9A1D-4B7C-91A5-88FB48113C45}
Original-Solitaire-->C:\Programme\Original-Solitaire\uninst.exe
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Roll-->C:\WINDOWS\UniFish3.exe H:\Eigene Dateien\RollerCoaster Tycoon.log
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SHASTA-->MsiExec.exe /I{605A4E39-613C-4A12-B56F-DEFBE6757237}
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~2\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~2\INSTALL.LOG
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424)-->"C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915)-->"C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567)-->"C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912812)-->"C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446)-->"C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB916281)-->"C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
skin0001-->MsiExec.exe /I{5316DFC9-CE99-4458-9AB3-E8726EDE0210}
SKINXSDK-->MsiExec.exe /I{F4A2E7CC-60CA-4AFA-B67F-AD5E58173C3F}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
staticcr-->MsiExec.exe /I{8943CE61-53BD-475E-90E1-A580869E98A2}
tooltips-->MsiExec.exe /I{E79987F0-0E34-42CC-B8FF-6C860AEEB26A}
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
VPRINTOL-->MsiExec.exe /I{999D43F4-9709-4887-9B1A-83EBB15A8370}
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 8 Beta 2-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WIRELESS-->MsiExec.exe /I{F9593CFB-D836-49BC-BFF1-0E669A411D9F}
Word in Works Suite-Add-In-->MsiExec.exe /I{5DC02603-6642-11D3-80AC-00C04F348408}

=====HijackThis Backups=====

O4 - HKLM\..\Run: [DCOM Updater] C:\Programme\NetServices\iexplore.exe [2009-07-17]
O4 - HKCU\..\Run: [RegistryDoktorMFCT] C:\Programme\Registry Doktor 2009\Registry Doktor 2009.exe [2009-07-17]

======Security center information======

AV: AntiVir PersonalEdition Classic (disabled) (outdated)

======System event log======

Computer Name: XXX-8R364G
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet.

Record Number: 33410
Source Name: Service Control Manager
Time Written: 20090707170501.000000+120
Event Type: Informationen
User: XXX-8R364G\XXX

Computer Name: XXX-8R364G
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Record Number: 33409
Source Name: Service Control Manager
Time Written: 20090707170501.000000+120
Event Type: Fehler
User:

Computer Name: XXX-8R364G
Event Code: 7036
Message: Dienst "Anwendungsverwaltung" befindet sich jetzt im Status "Beendet".

Record Number: 33408
Source Name: Service Control Manager
Time Written: 20090707170501.000000+120
Event Type: Informationen
User:

Computer Name: XXX-8R364G
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Anwendungsverwaltung" gesendet.

Record Number: 33407
Source Name: Service Control Manager
Time Written: 20090707170501.000000+120
Event Type: Informationen
User: XXX-8R364G\XXX

Computer Name: XXX-8R364G
Event Code: 7023
Message: Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
Das angegebene Modul wurde nicht gefunden.

Record Number: 33406
Source Name: Service Control Manager
Time Written: 20090707170501.000000+120
Event Type: Fehler
User:

=====Application event log=====

Computer Name: XXX-8R364G
Event Code: 0
Message:
Record Number: 5
Source Name: gusvc
Time Written: 20090716130056.000000+120
Event Type: Informationen
User:

Computer Name: XXX-8R364G
Event Code: 4
Message: The LightScribe Service started successfully.

Record Number: 4
Source Name: LightScribeService
Time Written: 20090716125957.000000+120
Event Type: Informationen
User:

Computer Name: XXX-8R364G
Event Code: 0
Message:
Record Number: 3
Source Name: gusvc
Time Written: 20090716125954.000000+120
Event Type: Informationen
User:

Computer Name: XXX-8R364G
Event Code: 1
Message:
Record Number: 2
Source Name: Bonjour Service
Time Written: 20090716125954.000000+120
Event Type: Informationen
User:

Computer Name: XXX-8R364G
Event Code: 4097
Message:
Record Number: 1
Source Name: AVWUpSrv
Time Written: 20090716125953.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 0 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=000a
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;H:\Programme\lib\ext\QTJava.zip
"QTJAVA"=H:\Programme\lib\ext\QTJava.zip

-----------------EOF-----------------

Schwester

17.07.2009 10:39

Logfile of random's system information tool 1.06 (written by random/random)
Run by XXX at 2009-07-17 10:01:18
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 857 MB (9%) free of 10 GB
Total RAM: 511 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:09, on 17.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\bin\jusched.exe
H:\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
H:\Programme\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Dokumente und Einstellungen\XXX\Desktop\mbam-setup.exe
C:\DOKUME~1\SCHWEI~1\LOKALE~1\Temp\is-NBPCE.tmp\mbam-setup.tmp
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\XXX\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\XXX.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Dokumente und Einstellungen\XXX\Desktop\VisualTooltip22\VisualToolTip.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Suche - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: SecretCity 3DChat - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - H:\\SECRET~1.EXE (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.internetcologne.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{37E60540-F8CD-4583-BE12-6D294626F48C}: NameServer = 213.191.92.86 62.109.123.7
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - h**p://www.new-dream.de/image/wallpaper/natur/blumen/blumen_13.jpg

--
End of file - 7519 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Google Software Updater.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - H:\Programme\bin\ssv.dll [2008-11-10 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-03-22 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - H:\Programme\bin\jp2ssv.dll [2008-11-10 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - H:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll [2008-11-10 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinDSL MTU-Adjust"=C:\WINDOWS\system32\WinDSL_MTU.exe [2001-02-15 65536]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2004-07-15 4112384]
"nwiz"=nwiz.exe /install []
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe []
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"DAEMON Tools"=C:\Programme\DAEMON Tools\daemon.exe [2006-09-14 157592]
"Sunkist2k"=C:\Programme\Multimedia Card Reader\shwicon2k.exe [2005-10-07 139264]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-04-30 180269]
"SunJavaUpdateSched"=H:\Programme\bin\jusched.exe [2008-11-10 136600]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-01-05 413696]
"iTunesHelper"=H:\iTunesHelper.exe [2009-03-12 342312]
"VisualTooltip"=C:\Dokumente und Einstellungen\XXX\Desktop\VisualTooltip22\VisualToolTip.exe []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2004-07-15 81920]
""= []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"Microsoft Works Update Detection"=C:\Programme\Microsoft Works\WkDetect.exe []
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [2006-11-16 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DaemonTools_WhenUSave_Installer]
C:\Programme\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe [2006-05-24 148480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\Nero\Nero 7\InCD\InCD.exe [2006-11-10 1051648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Programme\MSN Messenger\msnmsgr.exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-08-06 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe [2009-01-05 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2006-04-30 180269]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
C:\Programme\Microsoft Works\wkfud.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk]
C:\PROGRA~1\GEMEIN~1\MICROS~1\WORKSS~1\wkcalrem.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
H:\PROGRA~1\KODAKE~1\bin\EASYSH~1.EXE [2007-09-19 282624]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\WEB.DE\FreePhone\SIPPS.exe"="C:\Programme\WEB.DE\FreePhone\SIPPS.exe:*:Disabled:SIPPS"
"C:\Dokumente und Einstellungen\All Users\Dokumente\firefox.exe"="C:\Dokumente und Einstellungen\All Users\Dokumente\firefox.exe:*:Enabled:Firefox"
"H:\Tobi Dateien\Games\Quake III Arena\quake3.exe"="H:\Tobi Dateien\Games\Quake III Arena\quake3.exe:*:Disabled:quake3"
"H:\Programme\ICQ6\ICQ.exe"="H:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"H:\eMule\emule.exe"="H:\eMule\emule.exe:*:Disabled:eMule"
"H:\GOA\Gunbound\GunBound.gme"="H:\GOA\Gunbound\GunBound.gme:*:Disabled:GunBound"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"H:\iTunes.exe"="H:\iTunes.exe:*:Enabled:iTunes"
"H:\Programme\bin\java.exe"="H:\Programme\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe"="C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe:*:Enabled:NEXON_EU_Download er_Engine"
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe:*:Enabled:Nexon Game Manager"
"H:\Combat Arms EU\CombatArms.exe"="H:\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe"
"H:\Combat Arms EU\Engine.exe"="H:\Combat Arms EU\Engine.exe:*Enabled:Engine.exe"
"H:\Combat Arms EU\NMService.exe"="H:\Combat Arms EU\NMService.exe:*:Enabled:Nexon Messenger Core"
"H:\CoD2MP_s.exe"="H:\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"H:\°Eigene Dateien\Phone\Skype.exe"="H:\°Eigene Dateien\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\Combat Arms EU\CombatArms.exe"="H:\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe"
"H:\Combat Arms EU\Engine.exe"="H:\Combat Arms EU\Engine.exe:*Enabled:Engine.exe"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d932aae-8e06-11dc-883d-454b47000031}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MEDION.vbs

======List of files/folders created in the last 1 months======

2009-07-17 10:01:18 ----D---- C:\rsit
2009-07-17 10:00:08 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-07-17 10:00:01 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-17 10:00:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-15 22:45:03 ----A---- C:\WINDOWS\slog.dll
2009-07-15 22:44:28 ----D---- C:\Programme\CCleaner
2009-07-15 21:03:28 ----D---- C:\Programme\Microsoft
2009-07-15 21:03:05 ----D---- C:\Programme\Windows Live SkyDrive
2009-07-15 21:02:21 ----D---- C:\Programme\Windows Live
2009-07-15 20:59:37 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live
2009-07-14 18:10:02 ----A---- C:\WINDOWS\newver.txt
2009-07-14 18:00:53 ----A---- C:\WINDOWS\xpinfo.txt
2009-07-14 17:59:26 ----A---- C:\WINDOWS\client.dll
2009-07-14 17:59:25 ----D---- C:\Programme\NetServices
2009-07-14 17:59:25 ----A---- C:\WINDOWS\MCLDR.dll
2009-07-14 17:58:45 ----D---- C:\Programme\Accessories
2009-07-05 15:54:47 ----A---- C:\WINDOWS\system32\NVUNINST.EXE
2009-07-05 12:28:09 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2009-07-05 12:27:35 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2009-07-05 12:27:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-03 23:48:49 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-06-29 23:36:46 ----D---- C:\WINDOWS\system32\NtmsData
2009-06-28 12:59:43 ----D---- C:\Programme\Pando Networks
2009-06-24 13:20:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU
2009-06-24 12:39:20 ----D---- C:\Nexon
2009-06-24 12:39:19 ----A---- C:\WINDOWS\NEXON_EU_DownloaderUpdater.exe
2009-06-21 14:14:00 ----D---- C:\Programme\coolspot AG

======List of files/folders modified in the last 1 months======

2009-07-17 10:00:03 ----D---- C:\WINDOWS\system32\drivers
2009-07-17 10:00:01 ----AD---- C:\Programme
2009-07-17 09:59:00 ----D---- C:\WINDOWS
2009-07-17 09:58:56 ----D---- C:\WINDOWS\Temp
2009-07-17 09:55:03 ----D---- C:\Programme\Mozilla Firefox
2009-07-17 09:52:32 ----SD---- C:\WINDOWS\Tasks
2009-07-17 09:49:13 ----C---- C:\WINDOWS\SchedLgU.Txt
2009-07-16 22:51:20 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-16 19:03:35 ----D---- C:\WINDOWS\Prefetch
2009-07-16 10:10:05 ----D---- C:\Programme\Microsoft Picture It! PhotoPub
2009-07-16 10:01:00 ----A---- C:\WINDOWS\PhotoSnapViewer.INI
2009-07-15 22:15:02 ----A---- C:\WINDOWS\Filzip.ini
2009-07-15 21:04:07 ----SHD---- C:\WINDOWS\Installer
2009-07-15 21:03:54 ----D---- C:\WINDOWS\system32
2009-07-15 21:03:12 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-15 21:02:34 ----RSD---- C:\WINDOWS\Fonts
2009-07-15 21:01:56 ----HD---- C:\WINDOWS\inf
2009-07-15 20:59:37 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-15 20:59:20 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-07-14 17:59:37 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-11 22:42:45 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2009-07-11 21:39:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-07-10 08:27:00 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Canon
2009-07-08 22:14:21 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-08 22:00:08 ----D---- C:\Dokumente und Einstellungen
2009-07-07 17:06:11 ----D---- C:\Programme\GameSpy Arcade
2009-07-07 16:55:38 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-05 16:01:00 ----D---- C:\WINDOWS\Help
2009-07-05 16:00:59 ----D---- C:\WINDOWS\nview
2009-06-23 12:51:16 ----A---- C:\WINDOWS\NeroDigital.ini
2009-06-23 12:51:11 ----RD---- C:\WINDOWS\Web

Schwester

17.07.2009 11:05

Schwester

17.07.2009 11:06

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\ICQLite\ICQLite.exe"="C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Programme\WEB.DE\FreePhone\SIPPS.exe"="C:\Programme\WEB.DE\FreePhone\SIPPS.exe:*:Disabled:SIPPS"
"C:\Dokumente und Einstellungen\All Users\Dokumente\firefox.exe"="C:\Dokumente und Einstellungen\All Users\Dokumente\firefox.exe:*:Enabled:Firefox"
"H:\Tobi Dateien\Games\Quake III Arena\quake3.exe"="H:\Tobi Dateien\Games\Quake III Arena\quake3.exe:*:Disabled:quake3"
"H:\Programme\ICQ6\ICQ.exe"="H:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"H:\eMule\emule.exe"="H:\eMule\emule.exe:*:Disabled:eMule"
"H:\GOA\Gunbound\GunBound.gme"="H:\GOA\Gunbound\GunBound.gme:*:Disabled:GunBound"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"H:\iTunes.exe"="H:\iTunes.exe:*:Enabled:iTunes"
"H:\Programme\bin\java.exe"="H:\Programme\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe"="C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe:*:Enabled:NEXON_EU_Download er_Engine"
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe:*:Enabled:Nexon Game Manager"
"H:\Combat Arms EU\CombatArms.exe"="H:\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe"
"H:\Combat Arms EU\Engine.exe"="H:\Combat Arms EU\Engine.exe:*Enabled:Engine.exe"
"H:\Combat Arms EU\NMService.exe"="H:\Combat Arms EU\NMService.exe:*:Enabled:Nexon Messenger Core"
"H:\CoD2MP_s.exe"="H:\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"H:\°Eigene Dateien\Phone\Skype.exe"="H:\°Eigene Dateien\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\Combat Arms EU\CombatArms.exe"="H:\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe"
"H:\Combat Arms EU\Engine.exe"="H:\Combat Arms EU\Engine.exe:*Enabled:Engine.exe"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d932aae-8e06-11dc-883d-454b47000031}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MEDION.vbs

======List of files/folders created in the last 1 months======

2009-07-17 10:01:18 ----D---- C:\rsit
2009-07-17 10:00:08 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-07-17 10:00:01 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-17 10:00:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-15 22:45:03 ----A---- C:\WINDOWS\slog.dll
2009-07-15 22:44:28 ----D---- C:\Programme\CCleaner
2009-07-15 21:03:28 ----D---- C:\Programme\Microsoft
2009-07-15 21:03:05 ----D---- C:\Programme\Windows Live SkyDrive
2009-07-15 21:02:21 ----D---- C:\Programme\Windows Live
2009-07-15 20:59:37 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live
2009-07-14 18:10:02 ----A---- C:\WINDOWS\newver.txt
2009-07-14 18:00:53 ----A---- C:\WINDOWS\xpinfo.txt
2009-07-14 17:59:26 ----A---- C:\WINDOWS\client.dll
2009-07-14 17:59:25 ----D---- C:\Programme\NetServices
2009-07-14 17:59:25 ----A---- C:\WINDOWS\MCLDR.dll
2009-07-14 17:58:45 ----D---- C:\Programme\Accessories
2009-07-05 15:54:47 ----A---- C:\WINDOWS\system32\NVUNINST.EXE
2009-07-05 12:28:09 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2009-07-05 12:27:35 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2009-07-05 12:27:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2009-07-03 23:48:49 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-06-29 23:36:46 ----D---- C:\WINDOWS\system32\NtmsData
2009-06-28 12:59:43 ----D---- C:\Programme\Pando Networks
2009-06-24 13:20:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonEU
2009-06-24 12:39:20 ----D---- C:\Nexon
2009-06-24 12:39:19 ----A---- C:\WINDOWS\NEXON_EU_DownloaderUpdater.exe
2009-06-21 14:14:00 ----D---- C:\Programme\coolspot AG

======List of files/folders modified in the last 1 months======

2009-07-17 10:00:03 ----D---- C:\WINDOWS\system32\drivers
2009-07-17 10:00:01 ----AD---- C:\Programme
2009-07-17 09:59:00 ----D---- C:\WINDOWS
2009-07-17 09:58:56 ----D---- C:\WINDOWS\Temp
2009-07-17 09:55:03 ----D---- C:\Programme\Mozilla Firefox
2009-07-17 09:52:32 ----SD---- C:\WINDOWS\Tasks
2009-07-17 09:49:13 ----C---- C:\WINDOWS\SchedLgU.Txt
2009-07-16 22:51:20 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-16 19:03:35 ----D---- C:\WINDOWS\Prefetch
2009-07-16 10:10:05 ----D---- C:\Programme\Microsoft Picture It! PhotoPub
2009-07-16 10:01:00 ----A---- C:\WINDOWS\PhotoSnapViewer.INI
2009-07-15 22:15:02 ----A---- C:\WINDOWS\Filzip.ini
2009-07-15 21:04:07 ----SHD---- C:\WINDOWS\Installer
2009-07-15 21:03:54 ----D---- C:\WINDOWS\system32
2009-07-15 21:03:12 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-15 21:02:34 ----RSD---- C:\WINDOWS\Fonts
2009-07-15 21:01:56 ----HD---- C:\WINDOWS\inf
2009-07-15 20:59:37 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-15 20:59:20 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-07-14 17:59:37 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-11 22:42:45 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2009-07-11 21:39:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-07-10 08:27:00 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Canon
2009-07-08 22:14:21 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield
2009-07-08 22:00:08 ----D---- C:\Dokumente und Einstellungen
2009-07-07 17:06:11 ----D---- C:\Programme\GameSpy Arcade
2009-07-07 16:55:38 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-05 16:01:00 ----D---- C:\WINDOWS\Help
2009-07-05 16:00:59 ----D---- C:\WINDOWS\nview
2009-06-23 12:51:16 ----A---- C:\WINDOWS\NeroDigital.ini
2009-06-23 12:51:11 ----RD---- C:\WINDOWS\Web

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2006-11-10 31360]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2006-11-10 33792]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [1997-12-23 23936]
R2 Fallback;Fallback; C:\WINDOWS\System32\DRIVERS\HSF_FALL.sys [2001-08-17 289887]
R2 Fsks;Fsks; C:\WINDOWS\System32\DRIVERS\HSF_FSKS.sys [2001-08-17 115807]
R2 K56;K56; C:\WINDOWS\System32\DRIVERS\HSF_K56K.sys [2001-08-17 391199]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\System32\DRIVERS\mdmxsdk.sys [2004-08-03 11868]
R2 SoftFax;SoftFax; C:\WINDOWS\System32\DRIVERS\HSF_FAXX.sys [2001-08-17 199711]
R2 Tones;Tones; C:\WINDOWS\System32\DRIVERS\HSF_TONE.sys [2001-08-17 50751]
R2 V124;V124; C:\WINDOWS\System32\DRIVERS\HSF_V124.sys [2001-08-17 488383]
R3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256]
R3 AN983;a-Quip A/EL-1 10/100 Mbps PCI LAN Card; C:\WINDOWS\system32\DRIVERS\AN983.sys [2002-10-28 38528]
R3 DumaNT;DumaNT; C:\WINDOWS\system32\drivers\DumaNT.sys [2004-07-12 334976]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-01-15 23848]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv4;nv4; C:\WINDOWS\System32\DRIVERS\nv4.sys [2001-08-17 731648]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet); C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2006-11-10 102912]
S3 abf1cwvq;abf1cwvq; C:\WINDOWS\system32\drivers\abf1cwvq.sys []
S3 avgntdw;avgntdd; \??\C:\Programme\AVPersonal\AVGNTDD.SYS []
S3 basic2;basic2; C:\WINDOWS\System32\DRIVERS\HSF_BSC2.sys [2001-08-17 67167]
S3 catchme;catchme; \??\C:\DOKUME~1\SCHWEI~1\LOKALE~1\Temp\catchme.sys []
S3 CnxTrLan;Conexant USB Network Adapter Driver; C:\WINDOWS\system32\DRIVERS\CnxTrLan.sys [2003-02-10 23168]
S3 CnxTrUsb;Conexant USB Network Interface Device Driver; C:\WINDOWS\system32\DRIVERS\CnxTrUsb.sys [2003-02-10 49536]
S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys []
S3 HSF_DP;HSF_DP; C:\WINDOWS\System32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536]
S3 hsf_msft;hsf_msft; C:\WINDOWS\System32\DRIVERS\HSF_MSFT.sys [2001-08-17 542879]
S3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\System32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032]
S3 mdxgthkn;mdxgthkn; \??\C:\DOKUME~1\SCHWEI~1\LOKALE~1\Temp\mdxgthkn.sys []
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-07-15 2459712]
S3 Rksample;Rksample; C:\WINDOWS\System32\DRIVERS\HSF_SAMP.sys [2001-08-17 57471]
S3 s117bus;Sony Ericsson Device 117 driver (WDM); C:\WINDOWS\system32\DRIVERS\s117bus.sys [2007-06-25 82984]
S3 s117mdfl;Sony Ericsson Device 117 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s117mdfl.sys [2007-06-25 14888]
S3 s117mdm;Sony Ericsson Device 117 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s117mdm.sys [2007-06-25 108456]
S3 s117mgmt;Sony Ericsson Device 117 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s117mgmt.sys [2007-06-25 100264]
S3 s117nd5;Sony Ericsson Device 117 USB Ethernet Emulation SEMC117 (NDIS); C:\WINDOWS\system32\DRIVERS\s117nd5.sys [2007-06-25 22952]
S3 s117obex;Sony Ericsson Device 117 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s117obex.sys [2007-06-25 98344]
S3 s117unic;Sony Ericsson Device 117 USB Ethernet Emulation SEMC117 (WDM); C:\WINDOWS\system32\DRIVERS\s117unic.sys [2007-06-25 98856]
S3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
S3 SunkFilt;Alcor Micro Corp Reader; \??\C:\WINDOWS\System32\Drivers\sunkfilt.sys []
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2008-11-07 32000]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys []
S3 winachsf;winachsf; C:\WINDOWS\System32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056]
S3 WinDSLp;%WinDSLp_Desc%; C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2004-08-04 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-03-06 132424]
R2 AVWUpSrv;AntiVir Update; C:\Programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 InCDsrv;InCD Helper; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [2006-11-10 859136]
R2 JavaQuickStarterService;Java Quick Starter; H:\Programme\bin\jqs.exe [2008-11-10 152984]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2006-10-19 61440]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-03-12 656168]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-22 183280]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2004-07-15 114755]
S3 AntiVirService;AntiVir Service; C:\Programme\AVPersonal\AVGUARD.EXE [2005-11-04 208424]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 NBService;NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [2006-11-10 774144]
S3 npggsvc;nProtect GameGuard Service; C:\WINDOWS\system32\GameMon.des [2009-05-06 2785582]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----

Schwester

17.07.2009 11:11

Wo finde ich denn das LOG von Malwarebytes, ist es einfach das wo „Anbieter-Kategorie-Objekte-sonstige-ergriffene Maßnamen“ steht? Tut mir leid, vielleicht stell ich mich blöd an...
Und habe ich dich jetzt nicht hoffnungslos zugemüllt mit diesen seltsamen Hieroglyphen?

Schwester

17.07.2009 11:14

Zitat:

Zitat von Coverflow (Beitrag 448742)

Was ist denn die Registry? Ich hab es wohl irgendwann runtergeladen, weil ich über google erfahren wollte wie ich mich vor viren schütze...Dumm, das ich nicht einmal weiß was das ist...:uglyhammer:

Most	17.07.2009 12:22

Die Registry bildet unter Windows die Konfigurationszentrale für System, Hardware und Software. Sie besteht unter Windows 2000/XP/Vista aus folgenden Binär-Dateien unter %windir%\System32\Config:

software
system
default
security
sam
Der Inhalt des Schlüssels „Hkey_Current_User“ (also die Einstellungen des aktuell angemeldeten Users) bezieht Windows aus der Datei Ntuser.DAT unter %userprofile%

Die fünf unter Regedit repräsentierten Hauptschlüssel

HKEY_Classes_Root (HKCR, im Wesentlichen die Definition der Shellerweiterungen, Dateitypen, zugehörige Anwendungen)
HKEY_Current_User (HKCU, die System- und Software-Einstellungen des aktuellen Benutzers)
HKEY_Local_Machine (HKLM, die für das gesamte System geltenden Einstellungen, Hardware, System-kritische Dienste und Treiber)
HKEY_Users (HKU, System- und Software-Einstellungen der eingerichteten Benutzer plus Default-Konto)
HKEY_Current_Config (HKCC, aktuelle Hardware-Einstellungen)
reduzieren sich auf die zwei realen Hauptschlüssel HKEY_Local_Machine und HKEY_Users.

HKEY_Classes_Root ist eine Spiegelung von HKEY_Local_Machine\Software\Classes. HKEY_Current_User ist eine Spiegelung von HKEY_Users\<SID> (<SID> ist die eindeutige Security-ID des aktiven Users). HKEY_Current_Config ist eine Spiegelung von HKEY_Local_Machine\System\CurrentControlset\Hardware Profiles\Current. Diese Spiegelungen dienen nur der einfacheren Navigation und Pfadverkürzung.

Jeder Registry-Eintrag hat drei wesentliche Bestandteile:

Schlüssel mit eindeutigem Pfad (etwa HKEY_Current_User\Software\PC-Welt\pcwMegaloader)
Name (etwa "SourceFolder")
Wert (etwa "1")
Die Einträge können verschiedene Formate aufweisen:

Zeichenfolge (REG_SZ)
mehrteilige Zeichenfolge (REG_Multi_SZ)
1_Byte-Hexwert (REG_DWORD)
2_Byte-Hexwert (REG_QWORD, nur Vista)
Binärwert ohne definierte Länge (REG-BINARY)
Die Registry hat die Aufgabe, zahllose Konfigurationseinstellungen (die sich in älteren Windows-Versionen quer über die Festplatte in INI- und CFG-Dateien verteilten) an einer zentralen und sprachunabhängigen Stelle zu versammeln. Diese Zentralisierung hat den Vorteil einfacher Sicherung und guter Performance. Sie hat aber auch klare Nachteile: Die heterogene Registry enthält System-kritische Einstellungen (insbesondere unter Hkey_Local_Machine\System\CurrentControlSet) neben ungezählten belanglosen Einträgen: Gezielte Fehlersuche und gezielter Export von Einstellungen (Migration von Software-Einstellungen auf andere Rechner) ist im Wust dieser enormen Datenhalde meist nur Experten vorbehalten, das Zuordnen von Programmen zu ihren Registry-Einträgen gelingt in der Regel nur mit speziellen Monitor-Tools wie etwa dem Prozess-Monitor von Sysinternals.

besser sind gar keine reinigungstools

MFG Most.

Schwester

17.07.2009 12:56

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2447
Windows 5.1.2600 Service Pack 2

17.07.2009 13:51:45
mbam-log-2009-07-17 (13-51-35).txt

Scan-Methode: Vollständiger Scan (C:\|H:\|)
Durchsuchte Objekte: 164538
Laufzeit: 1 hour(s), 32 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Registry Doktor 2009 (Rogue.RegistryDoktor2009) -> No action taken.

Infizierte Dateien:
c:\dokumente und einstellungen\schweizer\Desktop\desktopelemente\Original-Solitaire_setup.exe (Adware.NaviPromo) -> No action taken.
c:\programme\msn messenger\riched20.dll (Adware.MyWeb.FunWeb) -> No action taken.
c:\programme\registry doktor 2009\R_DSchedule.txt (Rogue.RegistryDoktor2009) -> No action taken.
C:\WINDOWS\system32\MSVolume.dll (Fake.Dropped.Malware) -> No action taken.
C:\Dokumente und Einstellungen\Schweizer\Cookies\MM2048.DAT (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Schweizer\Cookies\MM256.DAT (Trojan.Agent) -> No action taken.

john.doe

17.07.2009 16:03

@Most

Zitat:

C:\Programme\Registry Doktor 2009 (Rogue.RegistryDoktor2009)

Ist dir jetzt klar, warum ich das gefixt habe?

Lies dir das bei Gelegenheit durch und halte dich aus diesem Thread raus. Du verunsicherst nur den TO.

@Schwester

Hast du die Funde auch löschen lassen? Dort steht No action taken.

ciao, andreas

Schwester

18.07.2009 10:55

Danke, ich habe nun gelöscht was zu löschen war. Ich glaube sogar der Icon ist weg...und selstamer/erfreulicher Weise öffnen sich auch nicht mehr diese nervigen Werbefenster!
Wirklich, ich danke vielmals für die ganze Mühe, es lebe das Trojanerboard!

Lieben Gruß und einen schönen Tag!
Schwester

john.doe

18.07.2009 11:26

Du glaubst doch nicht etwa, dass wir schon fertig sind? :lach:

Da sind noch 2 Einträge bei den Diensten, die mir gar nicht gefallen. Versuchen wir die erstmal auf die "sanfte" Tour zu entfernen.

http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung befolgen).

ciao, andreas

Schwester

18.07.2009 14:33

Oha! Eigentlich ists verantortungslos, das sich ganz normale User einen PC halten! Man hat ja so im Grunde keine Übersicht. Hättest du nichts gesagt, wär ich jetzt froh in dem Gewissen einen sauberen PC zu haben weiter rumgesurft;)

Also ich mache grad den Scan mit SuperANTI-Spyware... das dauert ja;)
Bis nachher wenn ich den LOG poste:)

john.doe

18.07.2009 14:53

OK, drei Minuten warte ich noch. ;)

ciao, andreas

Schwester

18.07.2009 15:11

SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 07/18/2009 at 03:58 PM

Application Version : 4.26.1006

Core Rules Database Version : 4003
Trace Rules Database Version: 1943

Scan type : Complete Scan
Total Scan Time : 00:56:35

Memory items scanned : 451
Memory threats detected : 0
Registry items scanned : 5645
Registry threats detected : 2
File items scanned : 14652
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und

Einstellungen\XXX\Cookies\XXX@adserver.71i[1].txt
C:\Dokumente und

Einstellungen\XXX\Cookies\XXX@doubleclick[1].txt

Adware.MyWebSearch/FunWebProducts

HKU\S-1-5-21-2025429265-1715567821-1417001333-1004\SOFTWARE\FunWeb

Products

Adware.IST/ISTBar (Slotch Bar)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main#BandRest [

Never ]

Adware.WhenU
C:\PROGRAMME\DAEMON TOOLS\SETUPDTSB.EXE

C:\PROGRAMME\DAEMONTOOLS_WHENUSAVE_INSTALLER\DAEMONTOOLS_WHENUSAVE

_INSTALLER.EXE

john.doe

18.07.2009 17:46

Bitte poste das Log vollständig.

ciao, andreas

Schwester

21.07.2009 10:02

Aber das war doch alles... Was fehlt denn noch? Tut mir leid...

john.doe

21.07.2009 15:44

Er hat sie leider nicht erwischt.

1.) Deinstalliere SuperAntiSpyware.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Schwester

21.07.2009 22:37

Super AntiSpyware habe ich schon gelöscht und wollte gern den Rest befolgen. Nur, ich sollte alles an Hardware anschließen, ich habe einen Scanner, einen Kartenleser, ein Headset, einen Drucker (...) und die stecke ich je nach gebrauch in einen USB Ausgang...
Also muss ich mir eines dieser Geräte aussuchen?

John.doe, ich bin echt schwierig:(

john.doe

21.07.2009 22:39

Nein, nur Datenträger, in deinem Fall der Kartenleser mit Karten.

ciao, andreas

Schwester

23.07.2009 21:39

ComboFix 09-07-23.01 - XXX 23.07.2009 21:55.1.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\QUAD Utilities
c:\programme\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
c:\windows\client.dll
c:\windows\MCLDR.dll
c:\windows\slog.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 ))))))))))))))))))))))))))))))
.

2009-07-23 17:40 . 2009-07-23 17:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-07-23 15:40 . 2009-07-23 15:40 4096 ----a-w- c:\windows\d3dx.dat
2009-07-23 15:38 . 2009-07-23 16:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-18 12:54 . 2009-07-18 12:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-18 12:53 . 2009-07-21 21:39 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-18 12:53 . 2009-07-21 21:39 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-07-17 08:01 . 2009-07-17 08:04 -------- d-----w- C:\rsit
2009-07-17 08:00 . 2009-07-17 08:00 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-07-17 08:00 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-17 08:00 . 2009-07-17 11:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-17 08:00 . 2009-07-17 08:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-17 08:00 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-15 20:44 . 2009-07-15 20:44 -------- d-----w- c:\programme\CCleaner
2009-07-15 19:05 . 2009-07-23 19:41 -------- d-----w- c:\dokumente und einstellungen\XXX\Tracing
2009-07-15 19:03 . 2009-07-15 20:13 -------- d-----w- c:\programme\Microsoft
2009-07-15 19:03 . 2009-07-15 19:03 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-07-15 19:02 . 2009-07-15 19:03 -------- d-----w- c:\programme\Windows Live
2009-07-15 18:59 . 2009-07-15 18:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-07-14 15:59 . 2009-07-14 15:59 -------- d-----w- c:\programme\NetServices
2009-07-14 15:58 . 2009-07-14 15:58 -------- d-----w- c:\programme\Accessories
2009-07-05 13:54 . 2009-04-26 22:42 457248 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-07-05 10:28 . 2009-07-11 22:41 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype
2009-07-05 10:27 . 2009-07-05 10:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-07-05 10:27 . 2009-07-05 10:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-03 21:48 . 2004-08-03 22:57 21504 ----a-w- c:\windows\system32\hidserv.dll
2009-07-03 21:48 . 2004-08-03 21:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2009-07-03 21:48 . 2004-08-03 21:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-06-29 21:36 . 2009-06-29 21:37 -------- d-----w- c:\windows\system32\NtmsData
2009-06-28 10:59 . 2009-07-07 14:43 -------- d-----w- c:\programme\Pando Networks
2009-06-24 11:20 . 2009-07-07 17:46 81920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll
2009-06-24 11:20 . 2009-07-07 17:46 98304 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\nxgameeu.dll
2009-06-24 11:20 . 2009-07-07 17:46 258352 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\unicows.dll
2009-06-24 11:20 . 2009-07-07 17:46 532480 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGMDll.dll
2009-06-24 11:20 . 2009-07-07 17:46 331776 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGMResource.dll
2009-06-24 11:20 . 2009-07-07 17:46 155648 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\NGM.exe
2009-06-24 11:20 . 2009-06-24 11:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU
2009-06-24 10:39 . 2009-06-24 10:39 -------- d-----w- C:\Nexon
2009-06-24 10:39 . 2009-06-24 10:39 421888 ----a-w- c:\windows\NEXON_EU_DownloaderUpdater.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-21 12:00 . 2005-03-09 19:06 -------- d-----w- c:\programme\Microsoft Picture It! PhotoPub
2009-07-20 20:13 . 2004-10-17 12:20 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-07-18 16:04 . 2007-07-12 18:43 -------- d-----w- c:\programme\DaemonTools_WhenUSave_Installer
2009-07-18 16:04 . 2007-07-12 18:42 -------- d-----w- c:\programme\DAEMON Tools
2009-07-17 17:53 . 2008-08-05 10:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-07-15 19:04 . 2004-10-17 13:07 58528 -c--a-w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-11 20:42 . 2009-04-24 10:42 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM
2009-07-10 06:27 . 2004-11-02 20:40 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Canon
2009-07-07 15:06 . 2008-04-08 11:23 -------- d-----w- c:\programme\GameSpy Arcade
2009-07-07 14:55 . 2004-10-17 12:24 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-21 12:14 . 2009-06-21 12:14 -------- d-----w- c:\programme\coolspot AG
2009-06-20 14:38 . 2009-06-20 14:38 288256 ----a-w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\wywkoqw.exe
2009-06-04 12:10 . 2004-10-17 11:03 -------- d-----w- c:\programme\Microsoft Works
2005-11-02 23:57 . 2005-11-02 23:57 3499 ----a-w- c:\programme\data
2005-09-28 14:49 . 2005-09-28 14:49 21 -c--a-w- c:\programme\AVPersonalAVWIN.INI
2005-07-31 17:16 . 2005-07-31 17:16 774144 ----a-w- c:\programme\RngInterstitial.dll
2009-06-29 11:50 . 2008-07-28 14:43 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2007-07-14 19:14 . 2007-07-14 19:14 56 -csh--r- c:\windows\system32\44FD0633C0.sys
2007-07-14 19:14 . 2007-07-14 19:14 1682 -csha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-15 4112384]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-09-14 157592]
"Sunkist2k"="c:\programme\Multimedia Card Reader\shwicon2k.exe" [2005-10-07 139264]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-30 180269]
"SunJavaUpdateSched"="h:\programme\bin\jusched.exe" [2008-11-10 136600]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="H:\iTunesHelper.exe" [2009-03-12 342312]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-07-15 81920]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" - c:\windows\system32\WinDSL_MTU.exe [2001-02-14 65536]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-07-15 843776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen in Microsoft Works-Kalender.lnk
backup=c:\windows\pss\Erinnerungen in Microsoft Works-Kalender.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=c:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"h:\\iTunes.exe"=
"h:\\Programme\\bin\\java.exe"=
"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"=
"h:\combat arms eu\CombatArms.exe"= h:\combat arms eu\CombatArms.exe:*Enabled:CombatArms.exe
"h:\combat arms eu\Engine.exe"= h:\combat arms eu\Engine.exe:*Enabled:Engine.exe
"h:\\Combat Arms EU\\NMService.exe"=
"h:\\°Eigene Dateien\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"h:\\Programme\\ICQ6.5\\ICQ.exe"=

R3 avgntdw;avgntdd;c:\programme\AVPersonal\AVGNTDD.SYS [x]
R3 mdxgthkn;mdxgthkn;c:\dokume~1\SCHWEI~1\LOKALE~1\Temp\mdxgthkn.sys [x]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-05-06 2785582]
R3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S2 AVWUpSrv;AntiVir Update;c:\programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
S3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]

.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:34]

2009-07-23 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-05 17:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
IE: Suche - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: {{D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - h:\\SECRET~1.EXE
TCP: {37E60540-F8CD-4583-BE12-6D294626F48C} = 213.191.92.86 62.109.123.7
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\w64bmjp3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll
FF - plugin: c:\program files\JavaSoft\JRE\1.3.1_13\bin\NPJava11.dll
FF - plugin: c:\program files\JavaSoft\JRE\1.3.1_13\bin\NPJava12.dll
FF - plugin: c:\program files\JavaSoft\JRE\1.3.1_13\bin\NPJava131_13.dll
FF - plugin: c:\program files\JavaSoft\JRE\1.3.1_13\bin\NPJava32.dll
FF - plugin: c:\program files\JavaSoft\JRE\1.3.1_13\bin\NPOJI600.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npracplug.dll
FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - plugin: h:\mozilla plugins\npitunes.dll
FF - plugin: h:\programme\bin\new_plugin\npdeploytk.dll
FF - plugin: h:\programme\bin\new_plugin\npjp2.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-07-23 22:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_IMAGING_USE_ART]
@DACL=(02 0000)
@=""
"waol.exe"=dword:00000001
"cs.exe"=dword:00000001
"wm.exe"=dword:00000001
.
Zeit der Fertigstellung: 2009-07-23 22:12
ComboFix-quarantined-files.txt 2009-07-23 20:11

Vor Suchlauf: 674.107.392 Bytes frei
Nach Suchlauf: 716.877.824 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

187

john.doe

23.07.2009 22:45

1.) Deinstalliere (falls möglich):

Apple Software Update
Bonjour
Google Updater
ICQ6
Java 2 Runtime Environment Standard Edition 1.3.1_13
Java(TM) 6 Update 11
Macromedia Shockwave Player
Mozilla Firefox (3.0.11)
Shockwave

2.) Installiere (Toolbars immer abwählen, Haken weg):

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

InCDPass

incdrm

InCDfs

abf1cwvq

catchme

EagleNT

mdxgthkn

Bonjour Service

gusvc
 

RegLock::

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_IMAGING_USE_ART]
 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DaemonTools_WhenUSave_In staller]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d932aae-8e06-11dc-883d-454b47000031}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

"msnmsgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"=-

"TkBellExe"=-

"SunJavaUpdateSched"=-

"QuickTime Task"=-

"iTunesHelper"=-

"WinDSL MTU-Adjust"=-

"nwiz"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
 

Folder::

C:\rsit

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

C:\Programme\Bonjour

c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

c:\programme\SUPERAntiSpyware
 

Files::

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

C:\WINDOWS\tasks\Google Software Updater.job
 

DirLook::

C:\Programme\Pando Networks

C:\Nexon
 

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Schwester

24.07.2009 14:25

Ich habe 2 mal erfolglos versucht das Service Pack zu installieren (einmal auf Laufwerk C, einmal auf H) zuletzt:
"Die Installation des Service Pack 3 wurde nicht abgeshclossen.
Klicken Sie auf "OK", um die durchgeführten Änderungen zurückzunehmen."

„Die Installation des Service Pack 3 wurde nicht abgeschlossen.
Windows XP wurde teilweise aktualisiert und funktioniert eventuell nicht richtig.“

Der Rest ist erfolgreich installiert. Nun befasse ich mich mit Combofix...(obowhl, wäre das noch ratsam?)
Ach muss ich mich nun fürchten, wegen der warnung?

john.doe

24.07.2009 16:29

Zitat:

Ach muss ich mich nun fürchten, wegen der warnung?

Nein.

Zitat:

Die Installation des Service Pack 3 wurde nicht abgeschlossen.

Es ist möglich, dass einer von den Schädlingen die Rechte in der Registry verschraubt hat. Versuche erstmal dieses => When you try to install Windows XP Service Pack, you receive the error message "Access is denied" or "Service Pack installation did not complete"

Zitat:

obowhl, wäre das noch ratsam?

Ja.

ciao, andreas

Alle Zeitangaben in WEZ +1. Es ist jetzt 04:05 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27