Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Undefinierbares Problem (https://www.trojaner-board.de/76590-undefinierbares-problem.html)

update 20.08.2009 14:56
Undefinierbares Problem
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo zusammen.
Ich bin neu hier und habe seit heute morgen ein riesiges Problem.
Während ich surfte sprang plötzlich ein Symbol unten rechts in der Taskleiste auf. Es sah dem Sicherheitscenter von Windows sehr ähnlich, jedoch sprang dieses daraufhin auch an. Das eigentliche Sicherheitscenter zeigt mir an, dass meine Firewall deaktiviert wurde. Ich aktivierte sie wieder, jedoch war sie nach einiger Zeit wieder deaktiviert. Zusätzlich fiel mir auf, dass auch mein Antivir deaktiert war. Über die Systemsteuerung deinstallierte
ich das falsche Sicherheitscenter, leider weiß ich nicht mehr wie es hies.
Auf jeden Fall habe ich jetzt massive Probleme mit meinem Laptop (z.B. ständige Bluescreens, falsche Seiten werden im IExplorer göffnet, Programme starten nicht und als ich meine Semiararbeit weiter schreiben wollte hats die einfach nach 10 min oder so geschlossen).
In der Antivir Quarantäne befindet sich nun auch eine Menge...
Momentan versuche ich gerade das Trojanische Pferd "Crypt.Pepm.Gen", das in der Quarantäneliste ist,
mit Hilfe von ( http://www.trojaner-board.de/36931-f...-pepm-gen.html ) zu beseitigen,
allerdings wirds wohl nicht daran liegen...
Das Antivir Ergebnis ist auch dabei...
Hoffe ich habe alles soweit richtig gemacht.

Logfile Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:55, on 20.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Apoint2K\HidFind.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
G:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
G:\Programme\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
G:\Programme\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
G:\Programme\IrfanView\i_view32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "G:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKCU\..\Run: [Spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 6862 bytes


Ergebnis Antivir

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 20. August 2009 14:51

Es wird nach 1649209 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MRB

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 08.08.2009 12:08:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 05:04:39
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10.08.2009 13:04:16
ANTIVIR3.VDF : 7.1.5.139 425984 Bytes 20.08.2009 08:56:01
Engineversion : 8.2.1.3
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.25 459130 Bytes 13.08.2009 12:27:38
AESCN.DLL : 8.1.2.4 127348 Bytes 24.07.2009 14:45:24
AERDL.DLL : 8.1.2.4 430452 Bytes 17.07.2009 13:20:01
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 02.07.2009 05:04:44
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 16:48:03
AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 16:47:44
AEGEN.DLL : 8.1.1.57 356725 Bytes 18.08.2009 16:47:42
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 24.07.2009 14:45:24
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 20. August 2009 14:51

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '8868' Objekte überprüft, '5' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidfind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpyWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '63' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <win>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\msxml71.dll
[FUND] Ist das Trojanische Pferd TR/BHO.GV.12
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b054a60.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <Dateien>
Beginne mit der Suche in 'G:\' <Programme>


Ende des Suchlaufs: Donnerstag, 20. August 2009 15:38
Benötigte Zeit: 47:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8642 Verzeichnisse wurden überprüft
481898 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
481896 Dateien ohne Befall
3418 Archive wurden durchsucht
2 Warnungen
2 Hinweise
8868 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden

cosinus 20.08.2009 16:57
Hallo und :hallo:

Zitat:
Während ich surfte sprang plötzlich ein Symbol unten rechts in der Taskleiste auf. Es sah dem Sicherheitscenter von Windows sehr ähnlich, jedoch sprang dieses daraufhin auch an. Das eigentliche Sicherheitscenter zeigt mir an, dass meine Firewall deaktiviert wurde. Ich aktivierte sie wieder, jedoch war sie nach einiger Zeit wieder deaktiviert. Zusätzlich fiel mir auf, dass auch mein Antivir deaktiert war. Über die Systemsteuerung deinstallierte
ich das falsche Sicherheitscenter, leider weiß ich nicht mehr wie es hies.
So undefinierbar ist das Problem nicht. Du bist wahrscheinlich mit dem IE auf eine Schweineseite gegangen, die Dir einen Fake-Scanner wie zB WinAntiVirus installiert hat.

Bitte diese Liste abarbeiten, v.a. wegen MalwareBytes und RSIT.

update 20.08.2009 17:07
das Problem ist, dass ich nichts installieren kann...
Malware hab ich schon drauf, kann es aber nicht starten, und die Installation ging vorhin auch nicht.
Ich versuche es jetzt aber nocheinmal mit allen drei und melde mich gleich wieder...
Danke

cosinus 20.08.2009 17:16
Hab gerade gesagt bekommen, dass bei Dir kein Malwarebytes funktionieren kann, weil bei Dir ein Rootkit werkelt (uacd.sys) und AntiVir das nicht löschen kann.

Mach mal bitte nen Durchlauf mit

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]

update 20.08.2009 18:26
Also...
als erstes habe ich ccleaner durchgeführt bis in der registry kein Eintrag mehr war.

Dann hat Malware nicht funktioniert... weder installieren, noch deinstallieren, noch öffnen...

Im anschluss habe ich RSIT ausgeführt...

Dann hier im Forum den nächsten Beitrag gesehen... und ComboFix ausgeführt.

Zuerst hau ich mal die log vom Combo rein

Code:

ComboFix 09-08-19.0C - Administrator 20.08.2009 19:05.1.2 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\4c89e3.msi
c:\windows\system32\acovcnt.exe
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\drivers\UACyqxwkkltpq.sys
c:\windows\system32\msxml71.dll
c:\windows\system32\UACdaikibwibm.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACirvkjtxbdx.dll
c:\windows\system32\UACkmxelgqfqj.dll
c:\windows\system32\UACplmjwgrxob.dll
c:\windows\system32\UACtetenqodjg.dat
c:\windows\system32\UACypixdomkml.db

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


(((((((((((((((((((((((  Dateien erstellt von 2009-07-20 bis 2009-08-20  ))))))))))))))))))))))))))))))
.

2009-08-20 16:40 . 2009-08-20 16:40        --------        d-----w-        C:\rsit
2009-08-20 16:18 . 2009-08-20 16:18        --------        d-----w-        c:\programme\CCleaner
2009-08-18 17:14 . 2009-08-18 17:14        --------        d-----w-        c:\programme\xp-AntiSpy
2009-08-18 15:31 . 2009-08-18 15:31        1        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-08-18 15:31 . 2009-08-18 15:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
2009-08-18 15:31 . 2009-08-18 15:31        7424000        ----a-r-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{D765F1CE-5AE5-4C47-B134-AE58AC474740}\soffice.exe
2009-08-18 15:29 . 2009-08-18 15:29        --------        d-----w-        c:\programme\OpenOffice.org 3
2009-08-11 14:57 . 2009-08-11 14:57        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Installations
2009-08-11 14:56 . 2009-08-11 14:56        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Nokia
2009-07-31 19:44 . 2009-07-31 19:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2009-07-31 19:00 . 2009-07-31 19:00        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nseries
2009-07-31 18:25 . 2008-04-13 22:15        26112        -c--a-w-        c:\windows\system32\dllcache\usbser.sys
2009-07-31 18:25 . 2008-04-13 22:15        26112        ----a-w-        c:\windows\system32\drivers\usbser.sys
2009-07-31 18:25 . 2008-03-21 11:57        14640        ------w-        c:\windows\system32\spmsgXP_2k3.dll
2009-07-31 18:24 . 2009-07-31 19:44        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Nokia
2009-07-31 18:24 . 2009-07-31 18:25        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\PC Suite
2009-07-31 18:24 . 2009-07-31 18:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PC Suite
2009-07-31 18:24 . 2009-07-31 18:24        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nokia
2009-07-31 18:22 . 2009-08-11 14:58        --------        d-----w-        c:\programme\Nokia
2009-07-31 18:21 . 2009-07-31 18:21        --------        d-----w-        c:\programme\MSXML 6.0
2009-07-31 18:21 . 2009-07-31 18:21        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\NokiaMusic
2009-07-31 18:19 . 2009-07-31 18:20        --------        d-----w-        c:\programme\Gemeinsame Dateien\muvee Technologies
2009-07-31 18:18 . 2009-07-31 18:21        --------        d-----w-        c:\windows\Globalization
2009-07-31 18:18 . 2009-08-11 14:58        --------        d-----w-        c:\programme\Gemeinsame Dateien\Nokia
2009-07-31 18:15 . 2009-02-09 06:37        7808        ----a-w-        c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-07-31 18:15 . 2009-02-09 06:37        7808        ----a-w-        c:\windows\system32\drivers\usbser_lowerflt.sys
2009-07-31 18:15 . 2009-02-09 06:37        22016        ----a-w-        c:\windows\system32\drivers\ccdcmbo.sys
2009-07-31 18:15 . 2009-02-09 06:37        659968        ----a-w-        c:\windows\system32\nmwcdcocls.dll
2009-07-31 18:15 . 2009-02-09 06:37        17664        ----a-w-        c:\windows\system32\drivers\ccdcmb.sys
2009-07-31 18:15 . 2008-09-15 05:29        1112288        ----a-w-        c:\windows\system32\wdfcoinstaller01007.dll
2009-07-31 18:15 . 2009-02-09 06:37        91136        ----a-w-        c:\windows\system32\nmwcdcls.dll
2009-07-31 18:14 . 2008-08-26 07:26        18816        ----a-w-        c:\windows\system32\drivers\pccsmcfd.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-20 16:31 . 2008-04-12 15:36        30032        ----a-w-        c:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-20 16:21 . 2008-04-13 08:43        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-08-20 10:33 . 2009-04-20 14:54        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Azureus
2009-08-19 12:57 . 2008-04-21 19:58        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-08-19 10:57 . 2008-04-12 15:52        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-08-11 21:22 . 2008-12-19 19:33        478352        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-08-10 22:27 . 2009-05-22 10:42        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\teamspeak2
2009-08-08 12:08 . 2009-06-28 17:54        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-07-31 18:25 . 2009-07-31 18:25        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-07-31 18:25 . 2009-07-31 18:25        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-07-31 18:21 . 2004-11-11 12:00        86466        ----a-w-        c:\windows\system32\perfc007.dat
2009-07-31 18:21 . 2004-11-11 12:00        461860        ----a-w-        c:\windows\system32\perfh007.dat
2009-07-31 18:14 . 2008-04-12 20:09        --------        d-----w-        c:\programme\DIFX
2009-07-17 14:54 . 2009-07-17 14:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\xing shared
2009-07-17 14:54 . 2009-07-17 14:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\Real
2009-07-07 17:47 . 2009-07-07 17:47        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2009-07-06 07:16 . 2009-07-06 07:16        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Vodafone
2009-07-06 07:16 . 2009-07-06 07:16        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\InstallShield
2009-07-06 07:15 . 2009-07-06 07:15        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Vodafone
2009-07-06 07:15 . 2009-07-06 07:15        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Vodafone
2009-07-06 07:15 . 2009-07-06 07:15        --------        d-----w-        c:\programme\Vodafone
2009-07-06 07:15 . 2008-04-12 15:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield
2009-07-02 10:14 . 2009-07-02 07:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2009-06-29 18:53 . 2009-06-29 18:51        --------        d-----w-        c:\programme\Mobile Partner
2009-06-28 17:54 . 2009-06-28 17:54        --------        d-----w-        c:\programme\Avira
2009-06-28 17:54 . 2009-06-28 17:54        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Avira
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spy Watcher"="c:\progra~1\SPYCLE~1\SpyWatcher.exe" [2004-07-08 458752]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2006-02-21 176128]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-08-15 225280]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-07-03 7708672]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-17 198160]
"Nokia FastStart"="g:\programme\Nokia\Nokia Music\NokiaMusic.exe" [2009-02-26 2376992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2007-7-17 49152]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"g:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"g:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"g:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"g:\\Programme\\Azureus\\Azureus.exe"=
"g:\\Programme\\Call of Duty\\CoDMP.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05.10.2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28.09.2003 10:57 5504]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.06.2009 19:54 108289]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 12:52 14336]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\ATK0100\ASNDIS5.sys [12.04.2008 22:05 16269]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokume~1\ADMINI~1\ANWEND~1\Mozilla\Firefox\Profiles\n4147d8i.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: g:\programme\Netscape6\nppl3260.dll
FF - plugin: g:\programme\Netscape6\nprjplug.dll
FF - plugin: g:\programme\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-20 19:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-343818398-362288127-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:a0,d3,1a,d0,b2,81,7b,d6,c5,5a,fd,36,81,ad,19,8e,d8,03,a5,be,8f,f3,49,
  f3,04,38,31,e3,db,bc,b3,3b,e3,ad,8c,c6,ec,51,a4,a4,df,31,16,52,45,23,c2,a7,\
"??"=hex:e2,06,90,c3,a9,ab,f7,ca,1c,f7,63,d7,3e,f2,89,5d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-20 19:10
ComboFix-quarantined-files.txt  2009-08-20 17:10

Vor Suchlauf: 6.968.119.296 Bytes frei
Nach Suchlauf: 6.901.919.744 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

191

update 20.08.2009 18:31
log von RSIT

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2009-08-20 18:40:10
Microsoft Windows XP Professional Service Pack 3
System drive C: has 7 GB (45%) free of 15 GB
Total RAM: 3071 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:16, on 20.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\Apoint2K\HidFind.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
G:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
G:\Programme\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
G:\Programme\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Programme\ATK Hotkey\Hcontrol.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "G:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKCU\..\Run: [Spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 6795 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HControl"=C:\WINDOWS\ATK0100\HControl.exe [2006-10-14 110592]
"Apoint"=C:\Programme\Apoint2K\Apoint.exe [2006-02-21 176128]
"ATKHOTKEY"=C:\Programme\ATK Hotkey\Hcontrol.exe [2007-08-15 225280]
"ATKOSD2"=C:\Programme\ATKOSD2\ATKOSD2.exe [2007-07-03 7708672]
"Power_Gear"=C:\Programme\ASUS\Power4 Gear\BatteryLife.exe [2006-07-26 90112]
"ACMON"=C:\Programme\ASUS\Splendid\ACMON.exe [2007-07-10 851968]
"Wireless Console 2"=C:\Programme\Wireless Console 2\wcourier.exe [2005-10-17 987136]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]
"SMSERIAL"=C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe [2006-11-22 630784]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-07-17 198160]
"NokiaMServer"=C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []
"Nokia FastStart"=G:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2009-02-26 2376992]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Spy Watcher"=C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe [2004-07-08 458752]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-05-11 40048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2007-06-20 451872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [2008-07-04 2072576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Net4Switch]
C:\Programme\ASUS\Net4Switch\Net4Switch.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
G:\Programme\PowerISO\PWRISOVM.EXE [2008-03-15 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RGSC]
G:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
C:\WINDOWS\RTHDCPL.EXE [2007-09-27 16844800]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
C:\WINDOWS\SkyTel.EXE [2007-08-03 1826816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [2007-09-25 132496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [1999-11-04 113664]

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
CCC.lnk - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-09-21 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1
"NoRecentDocsNetHood"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"HonorAutorunSetting"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"G:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="G:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\Programme\DNA\btdna.exe"="C:\Programme\DNA\btdna.exe:*:Enabled:DNA"
"G:\Programme\BitTorrent\bittorrent.exe"="G:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"G:\Programme\Activision Value\Soldier of Fortune Payback\sof3.exe"="G:\Programme\Activision Value\Soldier of Fortune Payback\sof3.exe:*:Enabled:sof3"
"G:\Programme\Quake III Arena\quake3.exe"="G:\Programme\Quake III Arena\quake3.exe:*:Enabled:quake3"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"G:\Programme\Warcraft 3\Warcraft III.exe"="G:\Programme\Warcraft 3\Warcraft III.exe:*:Enabled:Warcraft III"
"G:\Programme\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe"="G:\Programme\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:*:Enabled:Far Cry"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"G:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe"="G:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM)"
"G:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe"="G:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM)"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"G:\Programme\THQ\Company of Heroes\RelicCOH.exe"="G:\Programme\THQ\Company of Heroes\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts"
"G:\Programme\THQ\Company of Heroes\RelicDownloader\RelicDownloader.exe"="G:\Programme\THQ\Company of Heroes\RelicDownloader\RelicDownloader.exe:*:Enabled:Relic Downloader"
"C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\f6ce4b1e848b4e239639154dbe6ba756\RelicDownloader.exe"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\f6ce4b1e848b4e239639154dbe6ba756\RelicDownloader.exe:*:Enabled:Relic Patch Download Manager"
"C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\e99d373861e14712a449fec169e27953\RelicDownloader.exe"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\e99d373861e14712a449fec169e27953\RelicDownloader.exe:*:Enabled:Relic Patch Download Manager"
"G:\Programme\Azureus\Azureus.exe"="G:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus"
"G:\Programme\Call of Duty\CoDMP.exe"="G:\Programme\Call of Duty\CoDMP.exe:*:Enabled:CoDMP"
"C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe"="C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe:*:Enabled:Nokia Software Updater"
"C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe"="C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process "
"H:\Spiele\PC\Warcraft 3\Warcraft III.exe"="H:\Spiele\PC\Warcraft 3\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:WinRAR archiver"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
shell\AutoRun\command - H:\setup_vmc_lite.exe /checkApplicationPresence

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d2348-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d2349-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d234a-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d234b-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d234c-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d235d-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176d235e-666f-11de-8cad-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e9f141a-08cb-11dd-8a90-e0c6000932a2}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe hobrfxgawhq1jz3rpow8n9ismd2810ybf4kv4ep7eud.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ade498da-87e2-11dd-8b28-001fc649d8a5}]
shell\AutoRun\command - I:\ClickMe.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59829a0-640c-11de-8cac-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59829a3-640c-11de-8cac-001fc649d8a5}]
shell\AutoRun\command - H:\setup_vmc_lite.exe /checkApplicationPresence

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59829a8-640c-11de-8cac-001fc649d8a5}]
shell\AutoRun\command - H:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f59829a9-640c-11de-8cac-001fc649d8a5}]
shell\AutoRun\command - H:\setup_vmc_lite.exe /checkApplicationPresence

update 20.08.2009 18:32
2ter Teil des log von RSIT


Code:
======List of files/folders created in the last 1 months======

2009-08-20 18:40:10 ----D---- C:\rsit
2009-08-20 18:18:12 ----D---- C:\Programme\CCleaner
2009-08-20 10:49:08 ----A---- C:\WINDOWS\system32\msxml71.dll
2009-08-19 14:25:36 ----A---- C:\WINDOWS\system32\ctfmon.exe.backup
2009-08-18 19:14:45 ----D---- C:\Programme\xp-AntiSpy
2009-08-18 17:31:35 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
2009-08-18 17:29:47 ----D---- C:\Programme\OpenOffice.org 3
2009-08-11 16:57:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2009-08-11 16:56:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2009-07-31 21:00:19 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nseries
2009-07-31 20:26:33 ----HDC---- C:\WINDOWS\$NtUninstallWudf01005$
2009-07-31 20:25:11 ----N---- C:\WINDOWS\system32\spmsgXP_2k3.dll
2009-07-31 20:25:04 ----HDC---- C:\WINDOWS\$NtUninstallWdf01007$
2009-07-31 20:24:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2009-07-31 20:24:01 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Suite
2009-07-31 20:24:00 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia
2009-07-31 20:22:02 ----D---- C:\Programme\Nokia
2009-07-31 20:21:53 ----D---- C:\Programme\MSXML 6.0
2009-07-31 20:21:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaMusic
2009-07-31 20:19:54 ----D---- C:\Programme\Gemeinsame Dateien\muvee Technologies
2009-07-31 20:18:54 ----D---- C:\WINDOWS\Globalization
2009-07-31 20:18:24 ----D---- C:\Programme\Gemeinsame Dateien\Nokia
2009-07-31 20:15:50 ----A---- C:\WINDOWS\system32\wdfcoinstaller01007.dll
2009-07-31 20:15:50 ----A---- C:\WINDOWS\system32\nmwcdcocls.dll
2009-07-31 20:15:41 ----A---- C:\WINDOWS\system32\nmwcdcls.dll

======List of files/folders modified in the last 1 months======

2009-08-20 18:38:03 ----D---- C:\WINDOWS\Temp
2009-08-20 18:38:03 ----D---- C:\WINDOWS\system32
2009-08-20 18:38:00 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-20 18:31:46 ----D---- C:\WINDOWS
2009-08-20 18:21:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-20 18:21:40 ----D---- C:\WINDOWS\Minidump
2009-08-20 18:21:40 ----D---- C:\WINDOWS\Debug
2009-08-20 18:18:12 ----RD---- C:\Programme
2009-08-20 14:50:36 ----SHD---- C:\System Volume Information
2009-08-20 14:50:36 ----D---- C:\WINDOWS\system32\Restore
2009-08-20 14:04:10 ----D---- C:\Programme\Mozilla Firefox
2009-08-20 12:33:11 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2009-08-20 12:21:37 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-20 11:53:43 ----D---- C:\WINDOWS\system32\drivers
2009-08-20 10:49:21 ----SD---- C:\WINDOWS\Tasks
2009-08-19 18:50:45 ----SHD---- C:\WINDOWS\Installer
2009-08-19 18:50:33 ----RSD---- C:\WINDOWS\Fonts
2009-08-19 14:57:12 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-08-19 14:25:47 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-19 14:25:23 ----D---- C:\Programme\Messenger
2009-08-19 13:29:35 ----D---- C:\WINDOWS\Prefetch
2009-08-19 12:57:52 ----HD---- C:\Programme\InstallShield Installation Information
2009-08-19 12:45:38 ----D---- C:\WINDOWS\WinSxS
2009-08-18 17:31:07 ----RSD---- C:\WINDOWS\assembly
2009-08-11 17:17:21 ----HD---- C:\WINDOWS\inf
2009-08-11 16:59:01 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-11 00:27:21 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2009-07-31 20:21:34 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-31 20:19:54 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-31 20:14:29 ----D---- C:\Programme\DIFX
2009-07-31 11:26:21 ----A---- C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem #2.txt
2009-07-25 11:54:30 ----A---- C:\WINDOWS\ModemLog_Motorola SM56 Speakerphone Modem.txt
2009-07-21 09:19:49 ----D---- C:\WINDOWS\Lhsp

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-01 43520]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 SCDEmu;SCDEmu; C:\WINDOWS\system32\drivers\SCDEmu.sys [2008-03-14 46652]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [1997-12-23 23936]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-08 55656]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\system32\DRIVERS\Apfiltr.sys [2006-01-08 114103]
R3 ASNDIS5;ASNDIS5 Protocol Driver; \??\C:\WINDOWS\ATK0100\ASNDIS5.SYS []
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-09-21 2418688]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-10-02 4613120]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-11-11 12288]
R3 MTsensor;ATK0100 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ATKACPI.sys [2005-02-17 5632]
R3 rimmptsk;rimmptsk; C:\WINDOWS\system32\DRIVERS\rimmptsk.sys [2005-09-17 28672]
R3 rimsptsk;rimsptsk; C:\WINDOWS\system32\DRIVERS\rimsptsk.sys [2005-09-14 50560]
R3 rismxdp;Ricoh xD-Picture Card Driver; C:\WINDOWS\system32\DRIVERS\rixdptsk.sys [2005-09-30 310016]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2006-08-14 83200]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-14 79232]
R3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2006-11-22 982272]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbvideo;USB-Videogerät (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver; C:\WINDOWS\system32\drivers\WmBEnum.sys [2004-04-14 10144]
R3 WmXlCore;Logitech WingMan Translation Layer Driver; C:\WINDOWS\system32\drivers\WmXlCore.sys [2004-04-14 44064]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S3 61883;61883-Einheitsgerät; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-14 48128]
S3 AR5416;Atheros AR5008 Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\athw.sys [2008-05-19 1312576]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
S3 Avc;AVC-Gerät; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-14 38912]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2008-02-25 101120]
S3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-14 51200]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
S3 nmwcd;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\ccdcmb.sys [2009-02-09 17664]
S3 nmwcdc;Nokia USB Generic; C:\WINDOWS\system32\drivers\ccdcmbo.sys [2009-02-09 22016]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2008-04-14 11904]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2008-04-14 11008]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2009-02-09 7808]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbser;USB Modem Driver; C:\WINDOWS\system32\drivers\usbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2009-02-09 7808]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 Wdf01000;Kernel Mode Driver Frameworks service; C:\WINDOWS\System32\Drivers\wdf01000.sys [2008-03-27 503008]
S3 WmFilter;Logitech WingMan HID Filter Driver; C:\WINDOWS\system32\drivers\WmFilter.sys [2004-04-14 21280]
S3 WmVirHid;Logitech Virtual Hid Device Driver; C:\WINDOWS\system32\drivers\WmVirHid.sys [2004-04-14 5600]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-09-21 483328]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2007-06-28 79136]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-04-13 66872]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2008-04-13 103736]
R2 VMCService;Vodafone Mobile Connect Service; C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-07-04 14336]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-08 185089]
R3 ServiceLayer;ServiceLayer; G:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe [2007-06-01 271920]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WmcCds;Windows Media Connect (WMC); c:\programme\windows media connect\mswmccds.exe [2004-08-11 483328]
S3 WmcCdsLs;Windows Media Connect-Hilfsprogramm; C:\Programme\Windows Media Connect\mswmcls.exe [2004-08-10 28160]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

update 20.08.2009 18:34
und die info von RSIT

Code:
info.txt logfile of random's system information tool 1.06 2009-08-20 18:40:18

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->G:\Programme\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E47302B-8081-46D3-9FEA-BEB2E5F5C3EC}\setup.exe" -l0x7 anything
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 7.0-->C:\WINDOWS\ISUNINST.EXE -f"G:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"G:\Programme\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 8.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
Alcohol 120%-->MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
ALPS Touch Pad Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}\setup.exe" UNINSTALL
ASUS InstantFun-->MsiExec.exe /I{57B15AD4-8C9D-4164-82BB-E33D8644E757}
ASUS Splendid Video Enhancement Technology-->C:\Programme\InstallShield Installation Information\{C0FC1C14-4824-4A73-87A6-9E888C9C3102}\setup.exe -runfromtemp -l0x0007 -removeonly
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
ATK Hotkey-->C:\Programme\InstallShield Installation Information\{AFA4634D-F8D4-4F2B-9BE2-79143F369902}\setup.exe -runfromtemp -l0x0007 -removeonly
ATK0100 ACPI UTILITY-->C:\WINDOWS\ATK0100\XPunin.exe
ATKOSD2-->C:\Programme\InstallShield Installation Information\{5C1DB4ED-E9B4-402D-BB14-D75D97D6C1A6}\setup.exe -runfromtemp -l0x0009 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Azureus-->G:\Programme\Azureus\Uninstall.exe
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
Call of Duty(R) - World at War(TM)-->C:\Programme\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Programme\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0407
Call of Duty-->G:\PROGRA~1\CALLOF~1\Uninstall\Unwise.exe /u G:\PROGRA~1\CALLOF~1\Uninstall\Install.log
ccc-Branding-->MsiExec.exe /I{6E32B134-CA8D-49DD-B94C-0DB155CE70B5}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
ClearProg 1.5.0 Final-->G:\Programme\ClearProg\Uninstall.exe
Company of Heroes - FAKEMSI-->MsiExec.exe /I{14574B7F-75D1-4718-B7F2-EBF6E2862A35}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{199E6632-EB28-4F73-AECB-3E192EB92D18}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{25724802-CC14-4B90-9F3B-3D6955EE27B1}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{50193078-F553-4EBA-AA77-64C9FAA12F98}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{51D718D1-DA81-4FAD-919F-5C1CE3C33379}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{66F78C51-D108-4F0C-A93C-1CBE74CE338F}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{80D03817-7943-4839-8E96-B9F924C5E67D}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{97E5205F-EA4F-438F-B211-F1846419F1C1}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{99A7722D-9ACB-43F3-A222-ABC7133F159E}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{BA801B94-C28D-46EE-B806-E1E021A3D519}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{D4D244D1-05E0-4D24-86A2-B2433C435671}
Company of Heroes - FAKEMSI-->MsiExec.exe /I{EAF636A9-F664-4703-A659-85A894DA264F}
Company of Heroes-->"G:\Programme\THQ\Company of Heroes\Uninstall_German.exe"
DH Mobility Modder.NET-->C:\Programme\MobilityDotNET\Uninstall.exe
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DVD Shrink 3.2-->"G:\Programme\DVD Shrink\unins000.exe"
FLV Player 2.0 (build 25)-->G:\Programme\FLV Player\uninst.exe
Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe"
Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
GIGA F-Tasten v6.0-->"G:\Programme\GIGA F-Tasten\unins000.exe"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
ImgBurn-->"G:\Programme\ImgBurn\uninstall.exe"
IrfanView (remove only)-->G:\Programme\IrfanView\iv_uninstall.exe
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
L&H TTS3000 British English-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSENG.inf, Uninstall
L&H TTS3000 Deutsch-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSGED.inf, Uninstall
Lernout & Hauspie TruVoice American English TTS Engine-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\tv_enua.inf, Uninstall
LesefixPRO-->MsiExec.exe /X{51B97C44-00B8-4140-AC25-8050A80C2479}
LifeFrame2-->MsiExec.exe /I{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}
Logitech Gaming Software-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B9242864-2841-4ADE-86E0-8F90F91B04DD}\setup.exe" -l0x7
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0 German Language Pack-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{59E4543A-D49D-4489-B445-473D763C79AF}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7-->"C:\WINDOWS\$NtUninstallWdf01007$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWudf01005$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Windows-Journal-Viewer-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
Mobile Partner-->C:\Programme\Mobile Partner\uninst.exe
Motorola SM56 Speakerphone Modem-->rundll32.exe sm56co6a.dll,SM56UnInstaller
Mozilla Firefox (3.0.13)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Essentials-->MsiExec.exe /X{BC61F51E-8AF7-46B9-AF20-B33B5EE81031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /I{52D02A2B-03D2-4E34-A358-DC5D951FD296}
Nokia Map Loader-->MsiExec.exe /I{45D4F727-43B5-49CD-B474-B9866A8F4FB8}
Nokia Music-->MsiExec.exe /I{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}
Nokia Ovi Application Installer 6.85.3011-->msiexec /qn /x {42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Application Installer-->MsiExec.exe /I{42B74521-4706-412A-9A27-AED12B83E886}
Nokia Ovi Content Copier 6.85.3011-->msiexec /qn /x {6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi Content Copier-->MsiExec.exe /X{6442DEDF-AC2F-4CBA-85DE-42E459C5006C}
Nokia Ovi One Touch Access 6.85.3011-->msiexec /qn /x {4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi One Touch Access-->MsiExec.exe /I{4AE48A64-6C6A-4E5A-95FA-55F5131DECF9}
Nokia Ovi Suite-->MsiExec.exe /I{150C6C87-D187-4105-BF7A-090378D7AE2A}
Nokia Ovi System Utilities 6.85.3014-->msiexec /qn /x {C7CDB2AC-A0AB-4D83-B046-187E24D9EA68}
Nokia Ovi System Utilities-->MsiExec.exe /X{C7CDB2AC-A0AB-4D83-B046-187E24D9EA68}
Nokia Photos-->MsiExec.exe /I{B0B49C20-D2D1-437B-80F0-C2298F5DCD2B}
Nokia Software Updater-->MsiExec.exe /X{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}
OpenOffice.org 3.1-->MsiExec.exe /I{D765F1CE-5AE5-4C47-B134-AE58AC474740}
PC Connectivity Solution-->MsiExec.exe /I{D848D140-41C3-4A53-86D8-E866A100B4CD}
PokerStars.net-->"G:\Programme\PokerStars.NET\PokerStarsUninstall.exe" /u:PokerStars.net
Power4 Gear-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4462AD13-F2AA-4CBD-9F95-293C38EED870}\Setup.exe" -l0x9
PowerDVD-->C:\WINDOWS\IsUn0407.exe -fG:\Programme\CyberLink\PowerDVD\Uninst.isu
PowerISO-->"G:\Programme\PowerISO\uninstall.exe"
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Programme\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Spy Cleaner Gold 9.0 Trial Version-->C:\PROGRA~1\SPYCLE~1\UNWISE.EXE C:\PROGRA~1\SPYCLE~1\INSTALL.LOG
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
TeamSpeak 2 RC2-->G:\Programme\Teamspeak2_RC2\unins000.exe
Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe"
VLC media player 0.9.9-->G:\Programme\VideoLAN\VLC\uninstall.exe
Vodafone Mobile Connect Lite-->MsiExec.exe /X{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}
Winamp-->"G:\Programme\Winamp\UninstWA.exe"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Connect-->msiexec.exe /I {F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}
Windows Media Connect-->MsiExec.exe /I{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_C710CEED791003E4D635992B02471584893356A0\amdk8.inf
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WinZip 11.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}
Wireless Console 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83F73CB1-7705-49D1-9852-84D839CA2A45}\setup.exe" -l0x9  -removeonly
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
xp-AntiSpy 3.97-3-->C:\Programme\xp-AntiSpy\Uninstall.exe

=====HijackThis Backups=====

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" [2008-10-05]
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-01-05]
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-01-05]

======Hosts File======

127.0.0.1        www.007guard.com
127.0.0.1        007guard.com
127.0.0.1        008i.com
127.0.0.1        www.008k.com
127.0.0.1        008k.com
127.0.0.1        www.00hq.com
127.0.0.1        00hq.com
127.0.0.1        010402.com
127.0.0.1        www.032439.com
127.0.0.1        032439.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: MRB
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".

Record Number: 57239
Source Name: Service Control Manager
Time Written: 20090722165711.000000+120
Event Type: Informationen
User:

Computer Name: MRB
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 57238
Source Name: Service Control Manager
Time Written: 20090722165711.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MRB
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 57237
Source Name: Service Control Manager
Time Written: 20090722165711.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: MRB
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 57236
Source Name: Service Control Manager
Time Written: 20090722165710.000000+120
Event Type: Informationen
User:

Computer Name: MRB
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 57235
Source Name: Service Control Manager
Time Written: 20090722165710.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: MRB
Event Code: 0
Message: OnStart -> 49 ms

Record Number: 5788
Source Name: VMCService
Time Written: 20090722165700.000000+120
Event Type: Informationen
User:

Computer Name: MRB
Event Code: 0
Message: conflictManagerTypeValue

Record Number: 5787
Source Name: VMCService
Time Written: 20090722165700.000000+120
Event Type: Fehler
User:

Computer Name: MRB
Event Code: 0
Message: CreateEventSource -> 3 ms

Record Number: 5786
Source Name: VMCService
Time Written: 20090722165700.000000+120
Event Type: Informationen
User:

Computer Name: MRB
Event Code: 1
Message:
Record Number: 5785
Source Name: Bonjour Service
Time Written: 20090722165659.000000+120
Event Type: Informationen
User:

Computer Name: MRB
Event Code: 4
Message: The LightScribe Service started successfully.

Record Number: 5784
Source Name: LightScribeService
Time Written: 20090722165659.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=G:\Programme\Nokia\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 72 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4802
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
Vielen Dank

Ist das Problem jetzt behoben? Ich kann jetzt Malware installieren... und lasse es drüberlaufen...
Ich habe noch eine externe Festplatte. Kann die in Mitleidenschaft gezogen worden sein?
Oder beschränkt sich sowas nur auf C:\ ?

update 20.08.2009 19:38
hier das log von Malware

Code:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2665
Windows 5.1.2600 Service Pack 3

20.08.2009 20:36:57
mbam-log-2009-08-20 (20-36-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 173947
Laufzeit: 40 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACirvkjtxbdx.dll.vir (Rogue.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACplmjwgrxob.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7B595A33-E6A8-4DC1-9C37-48B176732C3C}\RP0\A0000002.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7B595A33-E6A8-4DC1-9C37-48B176732C3C}\RP0\A0000003.dll (Rogue.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

cosinus 20.08.2009 20:34
Zitat:
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Sagmal, die combofix.exe solltest Du doch schon umbenannt abspeichern, hast Du das nicht gemacht? Die Logs seh ich mir sofort an.

update 20.08.2009 20:59
doch schon... ich hab sie als smss.exe auf dem desktop gespeichert und ausgeführt...
Während combo gelaufen ist hat es gemeint, ich soll die combofix.exe von zwei bestimmten quellen runterladen und neu installieren... hab ok geklickt, dann hats auf meinem desktop alles nach links verschoben und die smss.exe hieß wieder combofix.exe und Combofix lief weiter...
Ich bin ja nicht so der Profi, wusste dann nicht, ob ich es abbrechen kann.
hat es denn nicht funktioniert?

Ach.. und vielen vielen Dank für die Mühe!

cosinus 20.08.2009 21:01
Nee ich hab mir nur ein wenig gewundert, hab auch erst vor kurzem den Tipp bekommen mit dem Umbenennen der combofix.exe, und da ich combofix an meinen Kisten rel. selten ausführe, wusste ich noch nicht so genau wie sich das Tool verhält wenn es umbenannt ausgeführt wird. Ich denke das passt schon alles bei Dir.

update 20.08.2009 21:34
Zitat:
Zitat von cosinus (Beitrag 458014)
Ich denke das passt schon alles bei Dir.
bezieht sich nur auf das umbenennen oder? :-D

Kann es sein, dass die Partitionen oder Externen betroffen sind?
Würd sonst das System neu aufsetzen... geht ja wesentlich schneller...

nochmal danke :aplaus:

cosinus 20.08.2009 21:43
Wenn Du auf Nummer sicher gehen willst...ja dann setze neu auf, sowas kann ich begrüßen, denn beim Bereinigen hat man keine Garantie.

Die ext. Platte kann infizierte Daten beinhalten, die aktiven Schädlinge habens aber fast immer auf Systembereiche abgesehen. Wenn, dann legen sie immer eine Schädlingsdatei irgendwo auf dem ext. Datenträger (auch zB ein USB-Stick) ab und konfigurieren eine autorun.inf, in der dann durch den Autostart beschrieben wird, immer die Schädlingsdatei zu starten.

Da Windows standardmäßig IMMER den Autostart an hat und ca. 99,999 % der User ( :D) immer mit Adminrechten unterwegs sind, ist die Wahrscheinlichkeit groß, einen Computer zu infizieren, wenn nun ein solches infiziertes ext. Gerät angeschlossen wird.

update 20.08.2009 22:10
Ich werde morgen folgendes machen...
1. die externen mit allem was ich habe überprüfen
2. alle daten von den partitionen auf die externen ziehen
3. alle partitionen formatieren
4. system neu aufsetzen

Zitat:
Wenn, dann legen sie immer eine Schädlingsdatei irgendwo auf dem ext. Datenträger (auch zB ein USB-Stick) ab und konfigurieren eine autorun.inf, in der dann durch den Autostart beschrieben wird, immer die Schädlingsdatei zu starten.
Wie kann ich das herausfinden? Wäre ja sinnvoll das zu wissen, bevor ich das zeug woanders dransteck oder das system neu aufsetze...

Aber grundsätzlich sind die Probleme jetzt behoben oder?
Waren die log files soweit in Ordnung?

DANKE!!!!

cosinus 20.08.2009 22:14
Du könntest erstmal Dir alle Dateien anzeigen lassen. Auch die versteckten und die geschützten Systemdateien.

Schau dann mal auf die ext. Platten ob da eine autorun.inf vorhanden ist.

Normalerweise solltest Du auch alle ausführbaren Dateien nicht mehr ins neu aufgesetzte System übernehmen, also behalte keine Programm, Spiele sowie deren Setupdateien auf der ext. Platte.

Im log ist mir nur das aufgefallen:

Code:
R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05.10.2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28.09.2003 10:57 5504]
Du könntest mal die betroffenen Dateien auswerten lassen, denn bei denen bin ich mir nicht ganz sicher:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
c:\windows\system32\drivers\sojubus.sys
c:\windows\system32\drivers\sojuscsi.sys

update 20.08.2009 22:42
Zitat:
alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Das habe ich jetzt nicht so ganz verstanden... aber ich bin auch gerade nicht mehr zu Hause.
Ich mache das morgen... wird sich wahrscheinlich von allein lösen...

Edit: hab jetzt bisschen im Forum rumgeschaut, wie das andere machen.... einfach das was mir virustotal ausspuckt hier rein posten ja? ^^ Sowas wie Dateigrößen und Prüfsummen werden da wohl schon dabei sein :-D

Die autrun.inf kann man ja einfach löschen und nach nem neustart wird sie neu erstellt oder?

Ich sag mal Gute Nacht und nochmal vielen Dank!

update 21.08.2009 09:17
sojubus.sys --> 0/41

Code:
 
Datei sojubus.sys empfangen 2009.08.21 08:25:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt.
Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
 Filter Drucken der Ergebnisse 
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ).
Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten,
oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen",
damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
 Email: 
 

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.20 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.21 -
BitDefender 7.2 2009.08.21 -
CAT-QuickHeal 10.00 2009.08.20 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2043 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 -
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6692 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 -
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.823 2009.08.20 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5715 2009.08.20 -
McAfee+Artemis 5715 2009.08.20 -
McAfee-GW-Edition 6.8.5 2009.08.21 -
Microsoft 1.4903 2009.08.21 -
NOD32 4353 2009.08.20 -
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.20 -
PCTools 4.4.2.0 2009.08.20 -
Prevx 3.0 2009.08.21 -
Rising 21.43.41.00 2009.08.21 -
Sophos 4.44.0 2009.08.21 -
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 -
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1894 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.20 -
weitere Informationen
File size: 123520 bytes
MD5...: 218bfa61acdc109df7df6c8aaed1422c
SHA1..: 729e3ca20f696c74788b80e0c95dbb5a7c24254c
SHA256: f1370e56dd1281671a291b18db8736064736c63d3a9a33b726d881d4e5ee28ba
ssdeep: 3072:CzMi7aGMQTUtoBIepjzRci3c4N7nzeAe/PuWUzKZPqn3CFY8Z:CzXa1mUto
B1pj+i3RNLzOuNOZPUC7Z
 
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x19a8a
timedatestamp.....: 0x3f7ef9b7 (Sat Oct 04 16:47:51 2003)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x11f4b 0x11f80 6.73 ef028e3a7d760a2ffe4d5018554818fd
.rdata 0x12300 0x26b 0x280 4.96 9f8f694f7bcfc58a51ca2a05901895c7
.data 0x12580 0x2ec0 0x2f00 5.89 2307cf546c093a2a195ecd7d7a62fb51
PAGE 0x15480 0x4574 0x4580 6.56 0837a7972e24bd65abbeed0769676089
.edata 0x19a00 0x47 0x80 2.36 bb21e040f68623fbb957bea59db9c9fa
INIT 0x19a80 0x325c 0x3280 6.89 92c4e15f0ca27df3626cab8652754d79
.rsrc 0x1cd00 0x340 0x380 3.11 ec2b15d6485e61e67bc8a6330efe4c7a
.reloc 0x1d080 0x11ea 0x1200 6.59 3273db78631b8b84dea2f5fd18a2ead1

( 2 imports )
> ntoskrnl.exe: IofCompleteRequest, KeClearEvent, IofCallDriver, ObfReferenceObject, IoDeleteSymbolicLink, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlAppendUnicodeStringToString, ZwClose, ZwCreateKey, ZwOpenKey, RtlCopyUnicodeString, RtlInitUnicodeString, KeLeaveCriticalRegion, KeEnterCriticalRegion, sprintf, IoAttachDeviceToDeviceStack, KeInitializeEvent, KeWaitForSingleObject, IoDetachDevice, swprintf, ObfDereferenceObject, IoBuildSynchronousFsdRequest, MmProbeAndLockPages, ZwQuerySystemInformation, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetAttachedDevice, MmMapLockedPages, _stricmp, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, KeDelayExecutionThread, RtlEqualUnicodeString, MmUnlockPages, ZwUnmapViewOfSection, ZwMapViewOfSection, ObReferenceObjectByHandle, _alldiv, RtlCompareMemory, IoAllocateMdl, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeResetEvent, ZwSetValueKey, wcslen, IoFreeIrp, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, IoAllocateIrp, MmBuildMdlForNonPagedPool, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, _allmul, ZwQueryValueKey, _allshr, RtlUnicodeStringToAnsiString, memmove, PsGetVersion, KeInitializeSemaphore, KeInitializeSpinLock, _wcsnicmp, ExDeleteResourceLite, ExInitializeResourceLite, IoGetConfigurationInformation, _allrem, RtlUnwind, KeSetEvent, ExFreePool, ExAllocatePoolWithTag, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, IoFreeMdl, PsGetCurrentProcessId
> HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock

( 1 exports )
_PnpA@20
 
PDFiD.: -
RDS...: NSRL Reference Data Set
-

update 21.08.2009 09:45
sojuscsi.sys --> 1/41

Code:
Datei sojuscsi.sys empfangen 2009.08.21 08:52:40 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/41 (2.44%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.21 -
AhnLab-V3 5.0.0.2 2009.08.20 -
AntiVir 7.9.1.3 2009.08.21 -
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.20 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.21 -
BitDefender 7.2 2009.08.21 -
CAT-QuickHeal 10.00 2009.08.20 -
ClamAV 0.94.1 2009.08.21 -
Comodo 2043 2009.08.21 -
DrWeb 5.0.0.12182 2009.08.21 -
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6692 2009.08.21 -
F-Prot 4.4.4.56 2009.08.20 -
F-Secure 8.0.14470.0 2009.08.21 -
Fortinet 3.120.0.0 2009.08.21 -
GData 19 2009.08.21 -
Ikarus T3.1.1.68.0 2009.08.21 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.823 2009.08.20 -
Kaspersky 7.0.0.125 2009.08.21 -
McAfee 5715 2009.08.20 -
McAfee+Artemis 5715 2009.08.20 -
McAfee-GW-Edition 6.8.5 2009.08.21 Heuristic.BehavesLike.Win32.Rootkit.L
Microsoft 1.4903 2009.08.21 -
NOD32 4353 2009.08.20 -
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.21 -
Panda 10.0.0.14 2009.08.20 -
PCTools 4.4.2.0 2009.08.20 -
Prevx 3.0 2009.08.21 -
Rising 21.43.41.00 2009.08.21 -
Sophos 4.44.0 2009.08.21 -
Sunbelt 3.2.1858.2 2009.08.21 -
Symantec 1.4.4.12 2009.08.21 -
TheHacker 6.3.4.3.384 2009.08.21 -
TrendMicro 8.950.0.1094 2009.08.21 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.21.1894 2009.08.21 -
VirusBuster 4.6.5.0 2009.08.20 -
weitere Informationen
File size: 5504 bytes
MD5...: 122fbabc9af1ab0a1a5394945c2e36a7
SHA1..: 056b9e0fbc81778dfa5a5a5d67aad498db47c24a
SHA256: dde2fc2ac45f56736ac5ba3e4d1a3426b826fb57f6e25be6e854317d12b4fcfe
ssdeep: 96:0PuWa0CHJ5iU5YZwk75KsF5+yKJGwg/iPw3:xWa0CHS35P6yKYUI3
 
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb74
timedatestamp.....: 0x3f76947f (Sun Sep 28 07:57:51 2003)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x3ae 0x400 5.83 f2fd02fb898bedaa3cce5430901fe9e4
.rdata 0x700 0xa4 0x100 2.74 ad001d03dd0acf3347c1b469a30edea2
.data 0x800 0x124 0x180 0.85 25b8000ebb22071c23e11eaa5c850245
INIT 0x980 0x708 0x780 6.13 cc31ec91b0ae003f9050d21d9defe273
.rsrc 0x1100 0x328 0x380 2.99 33e9f908d22ee2a7f2e6a3fa0e02e95e
.reloc 0x1480 0xcc 0x100 4.15 815c5ecaae17d9644d68e46c87901054

( 2 imports )
> ntoskrnl.exe: IoAllocateErrorLogEntry, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, _stricmp, ZwQuerySystemInformation, IoWriteErrorLogEntry, RtlWriteRegistryValue, RtlIntegerToUnicodeString, IoQueryDeviceDescription, RtlCreateRegistryKey, RtlAppendUnicodeStringToString, RtlInitUnicodeString, RtlCopyUnicodeString, ExFreePool, PsGetVersion, ExAllocatePoolWithTag
> SCSIPORT.SYS: ScsiPortNotification, ScsiPortInitialize

( 0 exports )
 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Ich werde das System jetzt neu aufsetzten... hoffe es bleibt nichts mehr übrig von dem mist...
Scheinbar ist die eine Datei ja ein rootkit oder so...
Vielen Dank nochmal für die Hilfe, sobald system wieder läuft, schau ich wieder rein!

cosinus 21.08.2009 18:06
Zitat:
Zitat von update (Beitrag 458053)
Die autrun.inf kann man ja einfach löschen und nach nem neustart wird sie neu erstellt oder?
Was ich meinte, bezog sich nur auf den Typus Malware, der sich auch auf USB-Sticks/-Platten einnisten will. Da wird eben eine Schädlingsdatei irgendwo auf dem ext. medium kopiert und eine autorun.inf vom Schädling ertzeugt - diese sorgt dafür, dass beim Autoplay die Schädlingsdatei auch ausgeführt wird.

Wieso sollte sie nach dem Neustart neu erstellt werden (sollen)? Sowas hat auch auf ext. Medien eigentlich nichts zu suchen (außer bei CDROM, da ist ein Neustart ja gewollt, für mich aber lästig)

Du könntest - falls so eine autorun.inf auf einen Deiner Sticks oder ext. Platten drin ist - die mal mit dem Editor öffnen. Sie ist so aufgebaut:

Code:
[AutoRun]
open=programm.exe
icon=programm.ico
action=Programm starten
Nach "open" steht der Pfad zum Programm drin, also die mutmaßliche Schädlingsdatei.

Zitat:
Scheinbar ist die eine Datei ja ein rootkit oder so...
Wegen der Sojobus...Nein ich denke das ist kein Rootkit! Da hat nur ein Scanner angeschlagen, und das wird sehr wahrscheinlich ein Fehlalarm sein. Die Hinweise bei der sojubus verdichten sich auf BIOS PlugnPlay Extensions.

Ob Du jetzt noch neu aufsetzen möchtest, ist Deine Entscheidung, die offensichtliche Schädlinge sind entfernt worden.

Wenn Du erstmal mit dem System so weiterarbeiten willst, solltest Du noch die Systemwiederherstellung deaktivieren , denn im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

update 21.08.2009 20:37
Also vielen Dank an dich für deine Hilfe.. hab mal wieder viel gelernt :-D

Ich hab jetzt neu aufgesetzt und läuft wieder alles prima!
War aber auch eh mal wieder Zeit dafür...

Danke nochmal!


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27