|
Win32Trojan.Tdss - wie entfernen - bitte um Hilfe! http://www.trojaner-board.de/82358-t...entfernen.html hallo, habe folgendes problem. Ad-aware hat bei mir malware gefunden. den "Win32Trojan.Tdss" prozess: \\?\globalroot\syste\.\32\uacbtdbgommvt.dll auch wenn ich das lösche, kommt der immer wieder. antivir findet im übrigen leider nichts. könnt ihr mir bitte helfen. das los zu werden (da ich nicht neu aufsetzen kann). vielen dank! jennifer |
Hallo und :hallo: Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit RSIT. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern. 1.) Poste beide Logs von http://www.trojaner-board.de/74910-a...tion-tool.html 2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!ciao, andreas |
wenn ich die logs einfügen möchte. kommt die fehlermeldung (im forum): Der Text, den Sie eingegeben haben, besteht aus 40329 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. muss ich wirklich alles einfügen oder reicht auch nur ein bestimter teil? danke jennifer |
Drei Möglichkeiten: 1.) Du kannst sie in mehreren Stücken posten. 2.) Du packst sie in den Anhang (max. 100 KB) 3.) Du lädst sie bei einem Filehoster hoch (z.B. www.file-upload.net) und postest hier den Link. ciao, andreas |
also teil eins der log.txt: Microsoft Windows XP Professional Service Pack 3 System drive C: has 21 GB (40%) free of 53 GB Total RAM: 1023 MB (59% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:01:11, on 10.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\System32\TPHDEXLG.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\programme\lenovo\system update\suservice.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\TpScrLk.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\IBM\Bluetooth Software\BTTray.exe C:\Program Files\Digital Line Detect\DLG.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Dokumente und Einstellungen\BastianR\Desktop\RSIT.exe C:\Programme\trend micro\BastianR.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\X-Lite\X-Lite.exe" O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10" -"http://cc.porsche.com/icc_euro/ui/pva/application/bpModules/interior_3D.jsp?pluginsInstalled=true&RT=1244573991885" O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188225103345 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: Lenovo PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- End of file - 11986 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job C:\WINDOWS\tasks\BMMTask.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}] DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2004-09-02 118842] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-25 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "S3TRAY2"=C:\WINDOWS\system32\S3Tray2.exe [2001-10-12 69632] "SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2006-02-14 110592] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-02-14 512000] "TPKMAPHELPER"=C:\Programme\ThinkPad\Utilities\TpKmapAp.exe [2005-10-28 864256] "TpShocks"=C:\WINDOWS\system32\TpShocks.exe [2008-06-06 181536] "TPHOTKEY"=C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe [2006-10-02 94208] "TP4EX"=C:\WINDOWS\system32\tp4ex.exe [2005-10-17 65536] "EZEJMNAP"=C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe [2007-04-27 243248] "ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2007-02-06 344064] "FRYMXINS"=C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl [] "UpdateManager"=C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe [2003-08-19 110592] "dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2004-09-02 127035] "BMMLREF"=C:\Programme\ThinkPad\Utilities\BMMLREF.EXE [2004-07-29 20480] "BMMMONWND"=C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll [2004-07-29 398848] "BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent [] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2005-03-18 98304] "SoundMAXPnP"=C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe [2004-10-14 1388544] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2004-09-23 860160] "PRONoMgrWired"=C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe [2003-08-06 86016] "TPKBDLED"=C:\WINDOWS\system32\TpScrLk.exe [2002-10-08 40960] "cssauth"=C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe [2006-08-21 1997568] "FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe [2005-05-27 310272] ""= [] "Omnipage"=C:\Programme\ScanSoft\OmniPageSE\opware32.exe [2002-06-03 49152] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792] "BMMGAG"=RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor [] "TVT Scheduler Proxy"=C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe [2008-03-04 487424] "TrackPointSrv"=C:\WINDOWS\system32\tp4serv.exe [2003-11-13 94208] "prnet"=C:\WINDOWS\system32\prnet.tmp [] "Ad-Watch"=C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe [2009-06-29 520024] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k [] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-25 149280] "PromoReg"=C:\WINDOWS\Temp\_ex-08.exe [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "TPKMAPMN"=C:\Programme\ThinkPad\Utilities\TpKmapMn.exe [2005-10-28 45056] "Skype"=C:\Programme\Skype\Phone\Skype.exe [2008-09-23 21755688] "H/PC Connection Agent"=C:\Programme\Microsoft ActiveSync\wcescomm.exe [2006-06-21 1211176] "XSC SIP Client"=C:\Programme\X-Lite\X-Lite.exe [2004-06-01 3305472] "prnet"=C:\WINDOWS\system32\prnet.tmp [] "SVCHOST.EXE"=C:\WINDOWS\system32\drivers\svchost.exe [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Shockwave Updater"=C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE [2008-08-06 447928] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XSC SIP Client] C:\Programme\X-Lite\X-Lite.exe [2004-06-01 3305472] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [2000-08-24 110592] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart BTTray.lnk - C:\Programme\IBM\Bluetooth Software\BTTray.exe Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2007-02-07 46080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tpfnf2] C:\WINDOWS\system32\notifyf2.dll [2005-07-06 28672] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tphotkey] C:\WINDOWS\system32\tphklock.dll [2005-11-30 24576] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= |
teil 2.: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\SmartFTP\SmartFTP.exe"="C:\Programme\SmartFTP\SmartFTP.exe:*:Enabled:SmartFTP Client" "C:\Programme\Macromedia\Dreamweaver MX\Dreamweaver.exe"="C:\Programme\Macromedia\Dreamweaver MX\Dreamweaver.exe:*:Enabled:Dreamweaver MX" "C:\Programme\X-Lite\X-Lite.exe"="C:\Programme\X-Lite\X-Lite.exe:*:Enabled:X-Lite" "C:\Programme\IBM\Updater\jre\bin\java.exe"="C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\jre\bin\javaw.exe"="C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\ucsmb.exe"="C:\Programme\IBM\Updater\ucsmb.exe:*:Enabled:IBM Update Connector" "C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule" "C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\SFR\1-2-Remote\12RemoteServer.exe"="C:\Programme\SFR\1-2-Remote\12RemoteServer.exe:*:Enabled:1-2-Remote" "C:\Programme\1&1\1&1 SoftPhone\IPPHONEUI.EXE"="C:\Programme\1&1\1&1 SoftPhone\IPPHONEUI.EXE:*:Enabled:1&1 SoftPhone" "C:\Programme\Ateksoft\WebCamera Plus\camviewer.exe"="C:\Programme\Ateksoft\WebCamera Plus\camviewer.exe:*:Enabled:WebCamera Plus Application" "C:\Programme\uTorrent\uTorrent.exe"="C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:WinRAR archiver" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\IBM\Updater\jre\bin\java.exe"="C:\Programme\IBM\Updater\jre\bin\java.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\jre\bin\javaw.exe"="C:\Programme\IBM\Updater\jre\bin\javaw.exe:*:Enabled:IBM Update Connector" "C:\Programme\IBM\Updater\ucsmb.exe"="C:\Programme\IBM\Updater\ucsmb.exe:*:Enabled:IBM Update Connector" "C:\Programme\Microsoft ActiveSync\rapimgr.exe"="C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\Programme\Microsoft ActiveSync\wcescomm.exe"="C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"="C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" ======File associations====== .js - open - "C:\Programme\Macromedia\Dreamweaver MX\Dreamweaver.exe" "%1" ======List of files/folders created in the last 1 months====== 2009-09-10 21:00:33 ----D---- C:\Programme\trend micro 2009-09-10 21:00:23 ----D---- C:\rsit 2009-09-10 20:11:04 ----AH---- C:\aaw7boot.cmd 2009-09-10 12:15:01 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$ 2009-09-10 12:14:49 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$ 2009-09-10 12:13:41 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$ 2009-09-07 20:26:55 ----A---- C:\WINDOWS\VobEdit.INI 2009-08-27 03:00:14 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$ 2009-08-24 10:52:56 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$ 2009-08-23 11:25:02 ----D---- C:\Programme\WinPcap 2009-08-22 11:46:47 ----D---- C:\WINDOWS\system32\XPSViewer 2009-08-22 11:46:32 ----D---- C:\Programme\MSBuild 2009-08-22 11:46:28 ----D---- C:\WINDOWS\system32\en-US 2009-08-22 11:46:16 ----D---- C:\Programme\Reference Assemblies 2009-08-22 11:45:13 ----N---- C:\WINDOWS\system32\prntvpt.dll 2009-08-22 11:45:12 ----N---- C:\WINDOWS\system32\xpssvcs.dll 2009-08-22 11:45:12 ----N---- C:\WINDOWS\system32\xpsshhdr.dll 2009-08-22 11:45:12 ----D---- C:\9efaa42bd10eea49b711a1f11dfc98 2009-08-22 11:44:24 ----D---- C:\WINDOWS\SxsCaPendDel 2009-08-16 20:43:06 ----A---- C:\WINDOWS\Sysvxd.exe 2009-08-14 22:12:04 ----D---- C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Move Networks 2009-08-13 11:33:49 ----A---- C:\WINDOWS\system32\javaws.exe 2009-08-13 11:33:49 ----A---- C:\WINDOWS\system32\javaw.exe 2009-08-13 11:33:49 ----A---- C:\WINDOWS\system32\java.exe 2009-08-13 10:53:57 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$ 2009-08-13 10:53:42 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$ 2009-08-13 10:53:29 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$ 2009-08-13 10:53:11 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$ 2009-08-13 10:52:58 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$ 2009-08-13 10:52:40 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$ 2009-08-13 10:52:28 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$ 2009-08-13 10:51:40 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$ 2009-08-13 10:40:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$ ======List of files/folders modified in the last 1 months====== 2009-09-10 21:00:33 ----AD---- C:\Programme 2009-09-10 20:58:41 ----AD---- C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Skype 2009-09-10 20:55:57 ----AD---- C:\Programme\Mozilla Firefox 2009-09-10 20:09:50 ----AD---- C:\WINDOWS\Temp 2009-09-10 20:09:50 ----AD---- C:\WINDOWS 2009-09-10 19:48:00 ----D---- C:\WINDOWS\Prefetch 2009-09-10 19:09:35 ----RSHD---- C:\RRbackups 2009-09-10 19:09:32 ----AD---- C:\WINDOWS\system32 2009-09-10 19:08:56 ----AD---- C:\WINDOWS\system32\CatRoot2 2009-09-10 19:04:09 ----N---- C:\WINDOWS\SchedLgU.Txt 2009-09-10 17:00:47 ----D---- C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\skypePM 2009-09-10 16:43:05 ----A---- C:\WINDOWS\system32\ERRORS.TXT 2009-09-10 16:39:50 ----AD---- C:\Programme\Aukubik 2009-09-10 16:27:48 ----AD---- C:\WINDOWS\Debug 2009-09-10 12:15:05 ----AHD---- C:\WINDOWS\inf 2009-09-10 12:15:04 ----RASHD---- C:\WINDOWS\system32\dllcache 2009-09-10 12:14:48 ----AHD---- C:\WINDOWS\$hf_mig$ 2009-09-07 20:41:43 ----AD---- C:\WINDOWS\system 2009-09-07 16:22:58 ----AD---- C:\Programme\HVB eFIN 3.0 2009-09-07 16:20:43 ----A---- C:\WINDOWS\ODBC.INI 2009-09-07 11:57:11 ----SHD---- C:\WINDOWS\CSC 2009-09-03 14:57:12 ----A---- C:\WINDOWS\win.ini 2009-09-02 03:05:39 ----AD---- C:\WINDOWS\Microsoft.NET 2009-09-02 03:01:07 ----SHD---- C:\WINDOWS\Installer 2009-09-01 20:37:29 ----A---- C:\WINDOWS\gswin32.ini 2009-09-01 20:26:09 ----AD---- C:\Programme\eMule 2009-08-30 17:31:11 ----D---- C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\uTorrent 2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe 2009-08-27 21:12:13 ----AD---- C:\WINDOWS\system32\drivers 2009-08-27 20:28:15 ----AD---- C:\WINDOWS\Minidump 2009-08-24 10:59:08 ----AD---- C:\WINDOWS\system32\CatRoot 2009-08-22 13:03:09 ----RASD---- C:\WINDOWS\assembly 2009-08-22 11:55:47 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-08-22 11:54:12 ----AD---- C:\WINDOWS\WinSxS 2009-08-22 11:46:27 ----RASD---- C:\WINDOWS\Fonts 2009-08-13 17:15:57 ----A---- C:\WINDOWS\system32\jscript.dll 2009-08-13 11:33:43 ----AD---- C:\Programme\Java 2009-08-13 10:52:33 ----AD---- C:\Programme\Outlook Express ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-14 96104] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 Smapint;Smapint; C:\WINDOWS\System32\drivers\Smapint.sys [2006-10-02 14848] R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2004-07-14 5627] R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2004-07-14 23545] R1 TDSMAPI;TDSMAPI; C:\WINDOWS\System32\drivers\TDSMAPI.SYS [2006-10-02 9343] R1 TPHKDRV;TPHKDRV; C:\WINDOWS\system32\drivers\TPHKDRV.sys [2005-07-05 17699] R1 TPPWR;TPPWR; C:\WINDOWS\System32\drivers\Tppwr.sys [2004-07-29 16384] R1 truecrypt;truecrypt; C:\WINDOWS\System32\drivers\truecrypt.sys [2007-05-03 188672] R1 TSMAPIP;TSMAPIP; C:\WINDOWS\System32\drivers\TSMAPIP.SYS [2005-08-31 7168] R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2005-10-14 17801] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656] R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2004-07-14 40448] R2 ibmfilter;ibmfilter; \??\C:\WINDOWS\system32\drivers\ibmfilter.sys [] R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-13 88192] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2005-10-05 12544] R2 npf;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2007-11-15 34064] R2 PMEM;PMEM; \??\C:\WINDOWS\SYSTEM32\Drivers\PMEMNT.SYS [] R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2005-07-22 11354] R2 smi2;smi2; \??\C:\Programme\SMI2\smi2.sys [] R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2004-09-02 25723] R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2004-09-02 34843] R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2004-09-02 4123] R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2004-09-02 2271] R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2004-09-02 86202] R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2004-09-02 14715] R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2004-09-02 6363] R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2004-09-02 98714] R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2004-09-02 100603] R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2005-03-04 127872] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-02-07 1133568] R3 atmeltpm;atmeltpm; C:\WINDOWS\system32\DRIVERS\atmeltpm.sys [2005-05-17 15872] R3 btaudio;Bluetooth Audio Device; C:\WINDOWS\system32\drivers\btaudio.sys [2004-01-20 16640] R3 BTDriver;Bluetooth Virtual Communications Driver; C:\WINDOWS\system32\DRIVERS\btport.sys [2004-01-20 30235] R3 BTWDNDIS;Bluetooth LAN Access Server; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2004-01-20 146684] R3 btwhid;btwhid; C:\WINDOWS\system32\DRIVERS\btwhid.sys [2004-01-20 43299] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-13 13952] R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\System32\DRIVERS\e1000325.sys [2006-10-24 170392] R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-10-18 998656] R3 HSFHWICH;HSFHWICH; C:\WINDOWS\system32\DRIVERS\HSFHWICH.sys [2005-10-18 242304] R3 IBMPMDRV;IBMPMDRV; C:\WINDOWS\System32\DRIVERS\ibmpmdrv.sys [2007-05-31 21424] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 psadd;Lenovo Parties Service Access Device Driver; C:\WINDOWS\system32\DRIVERS\psadd.sys [2007-02-19 21376] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2001-08-18 5888] R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2005-03-28 220992] R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\System32\DRIVERS\SynTP.sys [2006-02-14 177664] R3 TVicPort;TVICPORT; \??\C:\WINDOWS\system32\DRIVERS\TVICPORT.SYS [] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2005-07-19 3289088] R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-10-18 721280] S1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\p3.sys [2008-04-14 46848] S2 CTNT4SCR;CTNT4SCR; C:\WINDOWS\system32\drivers\ctnt4scr.sys [] S3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256] S3 BthEnum;Bluetooth-Auflistungsdienst; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024] S3 BTHMODEM;Serieller Kommunikationstreiber für Bluetooth; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888] S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120] S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-13 18944] S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2004-01-20 52856] S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2001-08-18 117760] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] S3 LucentSoftModem;Lucent Technologies Soft Modem; C:\WINDOWS\System32\DRIVERS\LTSM.sys [2001-08-17 802683] S3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\System32\DRIVERS\nscirda.sys [2008-04-13 28672] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136] S3 S3SSavage;S3SSavage; C:\WINDOWS\System32\DRIVERS\s3ssavm.sys [2001-11-01 95104] S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-10 28520] S3 Tp4Track;IBM PS/2 TrackPoint Driver; C:\WINDOWS\System32\DRIVERS\tp4track.sys [2003-11-13 13904] S3 TwoTrack;IBM PS/2 TrackPoint-Filtertreiber; C:\WINDOWS\System32\DRIVERS\TwoTrack.sys [2001-08-17 11520] S3 UIUSys;Conexant Setup API; C:\WINDOWS\system32\drivers\UIUSys.sys [] S3 usb_rndisx;USB-RNDIS-Adapter; C:\WINDOWS\system32\DRIVERS\usb8023x.sys [2008-04-13 12800] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 w22n51;Intel(R) PRO/Wireless 2200 Adapter-Treiber für Windows XP; C:\WINDOWS\System32\DRIVERS\w22n51.sys [] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\agpCPQ.sys [2008-04-13 44928] S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\alim1541.sys [2008-04-13 42752] S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\System32\DRIVERS\amdagp.sys [2008-04-13 43008] S4 cbidf;cbidf; C:\WINDOWS\System32\DRIVERS\cbidf2k.sys [2001-08-17 13952] S4 IntelIde;IntelIde; C:\WINDOWS\System32\DRIVERS\intelide.sys [2008-04-14 5504] S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\sisagp.sys [2008-04-13 40960] S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\System32\DRIVERS\viaagp.sys [2008-04-13 42240] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-10 108289] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-02-07 364544] R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] R2 btwdins;Bluetooth Service; C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe [2004-01-20 135168] R2 EvtEng;EvtEng; C:\Programme\Intel\Wireless\Bin\EvtEng.exe [2005-07-23 86016] R2 IBMPMSVC;ThinkPad PM Service; C:\WINDOWS\system32\ibmpmsvc.exe [2007-05-31 36400] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376] R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336] R2 RegSrvc;RegSrvc; C:\Programme\Intel\Wireless\Bin\RegSrvc.exe [2005-07-23 139264] R2 S24EventMonitor;Spectrum24 Event Monitor; C:\Programme\Intel\Wireless\Bin\S24EvMon.exe [2005-07-23 372809] R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056] R2 SUService;System Update; c:\programme\lenovo\system update\suservice.exe [2008-10-20 28672] R2 ThinkVantage Registry Monitor Service;ThinkVantage Registry Monitor Service; C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe [2007-09-26 644408] R2 TPHDEXLGSVC;ThinkPad HDD APS Logging Service; C:\WINDOWS\System32\TPHDEXLG.exe [2008-05-14 37416] R2 TpKmpSVC;IBM KCU Service; C:\WINDOWS\system32\TpKmpSVC.exe [2005-06-06 32768] R2 TSSCoreService;TSS Core Service; C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe [2005-08-02 722480] R2 TVT Backup Service;TVT Backup Service; C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe [2006-08-21 1384448] R2 TVT Scheduler;TVT Scheduler; C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe [2008-03-04 1122304] R3 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-06-29 1029456] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe [2003-07-16 143360] S3 PsaSrv;Lenovo PSA Access Driver Control; C:\WINDOWS\system32\PsaSrv.exe [] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- |
die info.txt: info.txt logfile of random's system information tool 1.06 2009-09-10 21:01:22 ======Uninstall list====== -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->C:\WINDOWS\system32\\MSIEXEC.EXE /I {09DA4F91-2A09-4232-AB8C-6BC740096DE3} REMOVE=UpdateMgrFeature -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6} -->C:\WINDOWS\system32\\MSIEXEC.EXE /x {9541FED0-327F-4df0-8B96-EF57EF622F19} -->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095} -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{39DA87A1-0B26-4562-A70C-2A6147366E47}\SETUP.EXE" -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3F92ABBB-6BBF-11D5-B229-002078017FBF}\SETUP.EXE" -l0x7 ControlPanelAnyText -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9F765BD0-B900-4EDE-A90B-61C8A9E95C42}\SETUP.EXE" -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAD59025-5B73-4E12-B789-0028C5A573C2}\SETUP.EXE" -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E646DCF0-5A68-11D5-B229-002078017FBF}\SETUP.EXE" -l0x7 ControlPanel -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 1&1 SoftPhone-->C:\Programme\1&1\1&1 SoftPhone\uninst.exe 1-2-Remote 1.1.0-->C:\WINDOWS\iun6002.exe "C:\Programme\SFR\1-2-Remote\irunin.ini" 7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe" Access IBM Message Center-->MsiExec.exe /X{F413B3A4-EE5D-457C-BAE5-6E58D9589ED5} Access IBM-->MsiExec.exe /X{EC6AF20D-4376-4070-BEE4-D3A0DFF7E140} Ad-Aware-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE Ad-Aware-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Photoshop 7.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 7.0\Uninst.dll" Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log Advertisement Service-->C:\WINDOWS\system32\prnet.tmp Uninstall AFPL Ghostscript 8.54-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\gs8.54\uninstal.txt" AFPL Ghostscript Fonts-->C:\Programme\gs\uninstgs.exe "C:\Programme\gs\fonts\uninstal.txt" ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI HYDRAVISION-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe" Au³kubik 2.1.X-->C:\Programme\Aukubik\uninst.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE Canon CanoScan Toolbox 4.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BCE46757-7674-4416-BEDB-68205A60409E}\setup.exe" -l0x7 CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe" Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E} DAEMON Tools-->MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0} Dienstprogramm 'ThinkPad-Tastaturanpassung'-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2111B23F-7FDA-4A41-8309-E5A1663CA296}\setup.exe" -l0x7 anything DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN EMEA Wallpaper-->MsiExec.exe /I{8745DEAB-1126-42F5-9585-C66D5497B47B} eMule-->"C:\Programme\eMule\Uninstall.exe" FIRE GL-Treiber für 3D Studio MAX/VIZ-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C5AEBFD6-3AF9-4784-81C2-F442C86AA096}\setup.exe" -l0x7 FreePDF XP (Remove only)-->C:\Programme\FreePDF_XP\fpsetup.exe /r Funktion "TrackPoint-Eingabehilfen"-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EA664480-3844-11D5-8C25-444553540000}\setup.exe" GnuPG For Windows-->"C:\Programme\GNU\GnuPG\gpg4win-uninstall.exe" HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" HVB eFIN 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{538C8AB7-F856-4B8A-AAD5-BDA4F727FD9F}\setup.exe" IBM 32-bit Runtime Environment for Java 2, v1.4.1-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{6C72E14A-C1F3-45E5-8810-83CE3C19ED63} /l1031 IBM DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6} IBM Integrated Bluetooth II Software-->MsiExec.exe /X{E98D6792-FC51-4187-9448-CA9BF893384E} IBM RecordNow!-->MsiExec.exe /I{9541FED0-327F-4DF0-8B96-EF57EF622F19} IBM Themes-->MsiExec.exe /I{6CE96A14-61E2-48CC-837E-22710A953ADE} IBM ThinkPad 'Akku-MaxiMiser' und Stromsparfunktionen-->C:\WINDOWS\IsUn0407.exe -fC:\PROGRA~1\ThinkPad\UTILIT~1\Unbmm.isu -cC:\Programme\ThinkPad\Utilities\Tpinsbmm.dll IBM ThinkVantage Technologies Welcome Message-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1007F41F-7D69-468E-8017-3849A5A973C2}\SETUP.EXE" -l0x7 anything IBM TrackPoint Support-->C:\WINDOWS\System32\tp4unins.exe Intel(R) PRO Network Connections Drivers-->Prounstl.exe Intel(R) PROSet for Wired Connections-->MsiExec.exe /I{16906D21-0656-4F8B-9A01-C3D24B5401FC} Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe InterVideo WinDVD-->"C:\Programme\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL J2SE Runtime Environment 5.0 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150010} J2SE Runtime Environment 5.0 Update 10-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100} J2SE Runtime Environment 5.0 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150020} J2SE Runtime Environment 5.0 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040} J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} J2SE Runtime Environment 5.0 Update 9-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090} Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010} KeePass Password Safe 1.07-->"C:\Programme\KeePass Password Safe\unins000.exe" Macromedia Dreamweaver MX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8B4AB829-DFD3-436D-B808-D9733D76C590}\Setup.exe" -l0x7 mmUninstall Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x7 mmUninstall mCore-->MsiExec.exe /I{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A} mDriver-->MsiExec.exe /I{28DA872A-0848-48CF-B749-19A198157A2A} Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4} Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7} Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft ActiveSync 4.0-->MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5} MozBackup 1.4-->"C:\Programme\MozBackup 1.4\unins000.exe" Mozilla Firefox (3.5.2)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5} MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94} MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} mXML-->MsiExec.exe /I{9CC89556-3578-48DD-8408-04E66EBEF401} OmniPage SE-->MsiExec.exe /I{6249C22D-E6A8-407B-BA8B-40298848ED94} PC Inspector File Recovery-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x7 PC-Doctor für Windows-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1F7CCFA3-D926-4882-B2A5-A0217ED25597}\SETUP.EXE" Print Server-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E6FCE5FA-B7B7-4B7E-B4FB-A8929BC3FB0F}\Setup.exe" -uninst QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 RedMon - Redirection Port Monitor-->C:\WINDOWS\system32\unredmon.exe Rescue and Recovery - Client Security Solution-->MsiExec.exe /I{BF90215F-2D7B-4C84-8A24-A03BC41B95DD} Scroll Lock Indicator Utility-->RunDll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\system32\TpScrLk.inf Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7} Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe" Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" |
2.teil: Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Skype™ for Pocket PC 2.2-->"C:\Programme\Microsoft ActiveSync\Skype for Pocket PC\unins000.exe" Sonic Update Manager-->MsiExec.exe /I{09DA4F91-2A09-4232-AB8C-6BC740096DE3} SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly Spelling Dictionaries Support For Adobe Reader 8-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003} System Migration Assistant 5.0-->MsiExec.exe /X{9A1E6130-8F5E-4076-899A-D51FF01EDA6C} System Update-->MsiExec.exe /X{8675339C-128C-44DD-83BF-0A5D6ABD8297} ThinkPad FullScreen Magnifier-->RunDll32 setupapi.dll,InstallHinfSection DefaultUninstall.NT 132 C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.inf ThinkPad Integrated 56K Modem-->C:\Programme\CONEXANT\CNXT_MODEM_PCI_VEN_8086&DEV_24C6&SUBSYS_05591014\HXFSETUP.EXE -U -ITkp0559k.inf -ISFG ThinkPad Power Management Driver-->RunDll32.exe tpinspm.dll,Uninstall ThinkPad UltraNav Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall ThinkPad-Dienstprogramm 'EasyEject'-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1297C681-92D7-40EF-93BF-03F66EC5105C}\SETUP.EXE" -l0x7 -AddRemove ThinkPad-Konfiguration-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FC081D4D-DF1B-4CF1-B530-027E4118D846}\setup.exe" -l0x7 -AddRemove ThinkPad-Präsentationsdirektor-->C:\WINDOWS\IsUn0407.exe -fC:\PROGRA~1\ThinkPad\UTILIT~1\UNNPDR.isu -cC:\Programme\ThinkPad\Utilities\Tpinsnpd.dll ThinkPad-UltraNav-Assistent-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{82512BC9-BD5D-4C50-BE4D-B98E7DF78687}\setup.exe" -l0x7 UNINSTALL ThinkVantage System für aktiven Festplattenschutz-->MsiExec.exe /X{46A84694-59EC-48F0-964C-7E76E9F8A2ED} TPFanControl v0.54-->"C:\Programme\TPFanControl\unins000.exe" TrueCrypt-->"C:\Programme\TrueCrypt\TrueCrypt Setup.exe" /u C:\Programme\TrueCrypt\ Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27} Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT="" VLC media player 0.9.4-->C:\Programme\VideoLAN\VLC\uninstall.exe WebCamera Plus 1.04-->"C:\Programme\Ateksoft\WebCamera Plus\unins000.exe" Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91} Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4} Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6} Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52} Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19} Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4} Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238} Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 10 Hotfix - KB894476-->"C:\WINDOWS\$NtUninstallKB894476$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall X-Lite 2.0 release 1103m-->C:\Programme\X-Lite\unins000.exe ======Security center information====== AV: AntiVir PersonalEdition Classic Virenschutz (outdated) AV: AntiVir Desktop AV: AntiVir PersonalEdition Classic Virenschutz AV: AntiVir PersonalEdition Classic Virenschutz ======System event log====== Computer Name: SNOOPY Event Code: 3 Message: \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat Daten zurückgegeben, als keine Daten angefordert waren. Dies deutet darauf hin, dass das BIOS fälschlicherweise versucht, auf den Embedded Controller zuzugreifen, ohne mit dem Betriebssystem zu synchronisieren. Die Daten werden ignoriert. Record Number: 165531 Source Name: ACPIEC Time Written: 20090904191932.000000+120 Event Type: Warnung User: Computer Name: SNOOPY Event Code: 3 Message: \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat Daten zurückgegeben, als keine Daten angefordert waren. Dies deutet darauf hin, dass das BIOS fälschlicherweise versucht, auf den Embedded Controller zuzugreifen, ohne mit dem Betriebssystem zu synchronisieren. Die Daten werden ignoriert. Record Number: 165530 Source Name: ACPIEC Time Written: 20090904184718.000000+120 Event Type: Warnung User: Computer Name: SNOOPY Event Code: 3 Message: \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat Daten zurückgegeben, als keine Daten angefordert waren. Dies deutet darauf hin, dass das BIOS fälschlicherweise versucht, auf den Embedded Controller zuzugreifen, ohne mit dem Betriebssystem zu synchronisieren. Die Daten werden ignoriert. Record Number: 165529 Source Name: ACPIEC Time Written: 20090904172926.000000+120 Event Type: Warnung User: Computer Name: SNOOPY Event Code: 3 Message: \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat Daten zurückgegeben, als keine Daten angefordert waren. Dies deutet darauf hin, dass das BIOS fälschlicherweise versucht, auf den Embedded Controller zuzugreifen, ohne mit dem Betriebssystem zu synchronisieren. Die Daten werden ignoriert. Record Number: 165528 Source Name: ACPIEC Time Written: 20090904172916.000000+120 Event Type: Warnung User: Computer Name: SNOOPY Event Code: 3 Message: \Device\ACPIEC: Die Hardware des Embedded Controllers (EC) hat Daten zurückgegeben, als keine Daten angefordert waren. Dies deutet darauf hin, dass das BIOS fälschlicherweise versucht, auf den Embedded Controller zuzugreifen, ohne mit dem Betriebssystem zu synchronisieren. Die Daten werden ignoriert. Record Number: 165527 Source Name: ACPIEC Time Written: 20090904172246.000000+120 Event Type: Warnung User: =====Application event log===== Computer Name: SNOOPY Event Code: 1000 Message: Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16762, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x0d744a80. Record Number: 20639 Source Name: Application Error Time Written: 20090121000850.000000+060 Event Type: Fehler User: Computer Name: SNOOPY Event Code: 101 Message: msnmsgr (5232) Das Datenbankmodul wurde beendet. Record Number: 20638 Source Name: ESENT Time Written: 20090119230441.000000+060 Event Type: Informationen User: Computer Name: SNOOPY Event Code: 103 Message: msnmsgr (5232) \\.\C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\hasenfusx@hotmail.de\SharingMetadata\Working\database_C64C_B7E2_4CB7_CC05\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet. Record Number: 20637 Source Name: ESENT Time Written: 20090119230441.000000+060 Event Type: Informationen User: Computer Name: SNOOPY Event Code: 302 Message: msnmsgr (5232) \\.\C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\hasenfusx@hotmail.de\SharingMetadata\Working\database_C64C_B7E2_4CB7_CC05\dfsr.db: Das Datenbankmodul hat erfolgreich die Schritte zur Wiederherstellung abgeschlossen. Record Number: 20636 Source Name: ESENT Time Written: 20090119212655.000000+060 Event Type: Informationen User: Computer Name: SNOOPY Event Code: 301 Message: msnmsgr (5232) \\.\C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\hasenfusx@hotmail.de\SharingMetadata\Working\database_C64C_B7E2_4CB7_CC05\dfsr.db: Das Datenbankmodul gibt die Protokolldatei \\.\C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\hasenfusx@hotmail.de\SharingMetadata\Working\database_C64C_B7E2_4CB7_CC05\fsr.log wieder. Record Number: 20635 Source Name: ESENT Time Written: 20090119212654.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=C:\PROGRAMME\THINKPAD\UTILITIES;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\ATI Technologies\Fire GL 3D Studio Max;C:\Programme\PC-Doctor for Windows\services;C:\Programme\Intel\Wireless\Bin\;C:\Programme\Intel\Wireless\Bin\;C:\Programme\Intel\Wireless\Bin\;C:\Programme\IBM ThinkVantage\Client Security Solution;C:\Programme\GNU\GnuPG\pub;C:\Programme\Gemeinsame Dateien\Lenovo "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 6, GenuineIntel "PROCESSOR_REVISION"=0d06 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "SMA"=C:\Programme\IBM ThinkVantage\SMA\ "IBMSHARE"=%SystemDrive%\IBMSHARE "RR"=C:\Programme\IBM ThinkVantage\Rescue and Recovery "TVTPYDIR"=C:\Programme\IBM ThinkVantage\Common\Python24 "TVT"=C:\Programme\Lenovo -----------------EOF----------------- |
(((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\BastianR\Anwendungsdaten\wiaserva.log c:\programme\WinPCap c:\programme\WinPCap\rpcapd.exe c:\windows\system32\.ini c:\windows\system32\drivers\b5cd2357.sys c:\windows\system32\drivers\npf.sys c:\windows\system32\drivers\UACoffjawllds.sys c:\windows\system32\Packet.dll c:\windows\system32\pthreadVC.dll c:\windows\system32\UACbtdbgommvt.dll c:\windows\system32\uacinit.dll c:\windows\system32\UACljhnbcgewn.dll c:\windows\system32\UACqaoeushrix.dat c:\windows\system32\WanPacket.dll c:\windows\system32\wpcap.dll c:\windows\Sysvxd.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_UACd.sys -------\Legacy_UACd.sys -------\Legacy_npf -------\Service_npf -------\Service_b5cd2357 ((((((((((((((((((((((( Dateien erstellt von 2009-08-10 bis 2009-09-10 )))))))))))))))))))))))))))))) . 2009-09-10 19:00 . 2009-09-10 19:01 -------- d-----w- c:\programme\trend micro 2009-09-10 19:00 . 2009-09-10 19:01 -------- d-----w- C:\rsit 2009-09-09 08:59 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\windows\system32\XPSViewer 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\MSBuild 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\Reference Assemblies 2009-08-22 09:45 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-08-22 09:45 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-08-22 09:45 . 2009-08-22 09:45 -------- d-----w- C:\9efaa42bd10eea49b711a1f11dfc98 2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-08-22 09:44 . 2009-08-22 10:51 -------- d-----w- c:\windows\SxsCaPendDel 2009-08-14 20:12 . 2009-08-14 20:13 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Move Networks 2009-08-12 15:06 . 2009-07-10 13:26 1315328 ------w- c:\windows\system32\dllcache\msoe.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-10 18:58 . 2005-02-08 03:22 -------- d---a-w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Skype 2009-09-10 15:00 . 2008-03-16 16:20 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\skypePM 2009-09-10 14:39 . 2005-02-07 23:41 -------- d---a-w- c:\programme\Aukubik 2009-09-07 14:22 . 2006-09-18 01:41 -------- d---a-w- c:\programme\HVB eFIN 3.0 2009-09-01 18:26 . 2005-03-09 05:34 -------- d---a-w- c:\programme\eMule 2009-08-30 15:31 . 2008-03-07 21:41 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\uTorrent 2009-08-28 23:36 . 2004-12-23 10:15 20920 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-22 09:55 . 1980-01-01 08:00 84722 ----a-w- c:\windows\system32\perfc007.dat 2009-08-22 09:55 . 1980-01-01 08:00 459396 ----a-w- c:\windows\system32\perfh007.dat 2009-08-13 09:33 . 2005-02-20 20:59 -------- d---a-w- c:\programme\Java 2009-08-09 18:53 . 2008-01-21 23:58 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Canon 2009-08-05 15:34 . 2009-05-14 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 1980-01-01 08:00 206336 ------w- c:\windows\system32\mswebdvd.dll 2009-07-25 03:23 . 2008-12-07 08:57 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-07-18 15:48 . 2009-07-18 15:48 -------- d-----w- c:\programme\7-Zip 2009-07-17 19:01 . 1980-01-01 08:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2004-12-23 10:09 286208 ------w- c:\windows\system32\wmpdxm.dll 2009-06-29 15:55 . 1980-01-01 08:00 827392 ----a-w- c:\windows\system32\wininet.dll 2009-06-29 15:55 . 2004-12-23 10:09 78336 ------w- c:\windows\system32\ieencode.dll 2009-06-29 15:55 . 1980-01-01 08:00 17408 ------w- c:\windows\system32\corpol.dll 2009-06-16 14:36 . 1980-01-01 08:00 81920 ------w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 1980-01-01 08:00 119808 ------w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 1980-01-01 08:00 78848 ------w- c:\windows\system32\telnet.exe 2009-06-15 10:43 . 1980-01-01 08:00 82944 ------w- c:\windows\system32\tlntsess.exe 2005-03-05 02:48 . 2005-03-05 02:48 21 ------w- c:\programme\AVPersonalAVWIN.INI . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TPKMAPMN"="c:\programme\ThinkPad\Utilities\TpKmapMn.exe" [2005-10-28 45056] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176] "XSC SIP Client"="c:\programme\X-Lite\X-Lite.exe" [2004-06-01 3305472] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000] "TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256] "TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208] "EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-04-27 243248] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064] "UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-09-02 127035] "BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2004-07-29 20480] "BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2004-07-29 398848] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-03-18 98304] "SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544] "PRONoMgrWired"="c:\programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2003-08-06 86016] "TPKBDLED"="c:\windows\system32\TpScrLk.exe" [2002-10-08 40960] "cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2006-08-21 1997568] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272] "Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2004-07-29 110592] "TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-29 520024] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280] "S3TRAY2"="S3Tray2.exe" - c:\windows\system32\S3Tray2.exe [2001-10-12 69632] "TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2008-06-06 181536] "TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-16 65536] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] "TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2003-11-13 94208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\IBM\Bluetooth Software\BTTray.exe [2004-1-20 507965] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-1-12 24576] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 2005-07-05 22:45 28672 ------w- c:\windows\system32\notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2005-11-30 18:16 24576 ------w- c:\windows\system32\tphklock.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"= "c:\\Programme\\X-Lite\\X-Lite.exe"= "c:\\Programme\\eMule\\emule.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\SFR\\1-2-Remote\\12RemoteServer.exe"= "c:\\Programme\\1&1\\1&1 SoftPhone\\IPPHONEUI.EXE"= "c:\\Programme\\Ateksoft\\WebCamera Plus\\camviewer.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 ANCSQ;ANCSQ;c:\windows\system32\drivers\ANCSQ.sys [02.08.2005 18:40 6912] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.05.2009 15:03 64160] R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [14.05.2008 16:21 114728] R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [14.05.2008 16:21 19496] R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [23.12.2004 12:37 16384] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.05.2009 16:33 108289] R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [22.12.2005 00:14 12544] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1029456] R2 smi2;smi2;c:\programme\SMI2\smi2.sys [02.08.2005 18:47 3968] S2 CTNT4SCR;CTNT4SCR;c:\windows\system32\drivers\ctnt4scr.sys --> c:\windows\system32\drivers\ctnt4scr.sys [?] S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [25.02.2003 01:36 802683] S3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [13.11.2003 13:12 13904] . Inhalt des "geplante Tasks" Ordners 2009-09-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:07] 2009-01-07 c:\windows\Tasks\BMMTask.job - c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2004-12-23 09:37] . . ------- Zusätzlicher Suchlauf ------- . IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Senden an &Bluetooth - c:\programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\ FF - prefs.js: browser.search.selectedEngine - Google Deutschland FF - prefs.js: browser.startup.homepage - about:blank FF - component: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - plugin: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-10 22:28 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(988) c:\windows\system32\Ati2evxx.dll c:\windows\system32\tphklock.dll - - - - - - - > 'explorer.exe'(3404) c:\programme\ScanSoft\OmniPageSE\ophook32.dll c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\windows\system32\ati2evxx.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\IBM\Bluetooth Software\bin\btwdins.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe c:\windows\system32\TPHDEXLG.exe c:\windows\system32\TpKmpSvc.exe c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\programme\Lenovo\System Update\SUService.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\system32\ati2evxx.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe c:\programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe c:\windows\system32\rundll32.exe c:\program files\ThinkPad\UltraNav Wizard\UNavTray.exe c:\progra~1\MICROS~4\rapimgr.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-09-10 22:37 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-09-10 20:35 Vor Suchlauf: 17 Verzeichnis(se), 22.242.226.176 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 22.139.162.624 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect 252 --- E O F --- 2009-09-10 10:21 |
und nun? was jetzt? |
Hallo du Jennifer, die ein Bastian ist :D Zitat:
Zitat:
1.) Deaktiviere den Wächter von Avira. 2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht. 3.) Aktiviere den Wächter von Avira. 4.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 5.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. ciao, andreas |
danke, aber jetzt versteh ich nicht ganz, warum ich die anderen sachen nun schon gemacht habe. konnte man daraus noch nichts erkennen? |
was ich fragne wollte, hab ichj jetzt mit der prozedur den jetzt nur was gescannt oder auch schon entfernt? und für was sind nun die nächsten steps? danke! |
*kurz einspring* Hallo, vielleicht kann ich dir diese Frage beantworten. Bin zwar auch nur Laie, aber ein bisschen habe ich hier ja schon gelernt. Ein ganz kleinwenig jedenfalls. Du hast ein Rootkit. Diese Art von Maleware dient dazu andere schädliche Prozesse, die im Hintergrund laufen zu verbergen. Wie ein Nebelwand. Prozess, die verborgen werden, können Backdoors sein, Downloads von anderen schädlichen Datein usw. Combofix sollte das Rootkit entfernt haben. Mit den anderen Scans (Kaspersky und PrevXCSI) sollte es nun möglich sein eventuelle Maleware zu finden, die sich hinter dem Kit verborgen hat. Darum die zusätzlichen Scans. Für die Entfernung eines Rootkits musst du etwas Zeit mitbringen. Ich habe meinen Einstand hier mit so etwas ähnlichem "gefeiert"; bei mir hat es 3 Tage gedauert. :) Also lieber eine extra große Tasse Kaffee kochen und Geduld! :kaffee: LG Sonja *hoffe es ist in Ordnung, dass ich hier dazwischenlabber* *Unwissender hält nun den Schnabel* |
okay danke. hab dir gerade den link geschickt. ich hab eben auch noch mal ad-aware laufen laufen lassen. der hat auch unter der qoobox zwei dateien gefunden. kann ich diesen order qoobox jetzt den einfahc löschen? und dann wurde mir noch mehrere warnung unter C:system volumen information angezeigt..... soll ich jetzt auch noch mal mit kaspersky prüfen? danke! |
Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas Edit: Danke, Sonja, für's Einspringen. :) |
okay. bin dabei. mal ne zwischenfrage. wie kann ich mir das eigentlich eingetretten haben? hab immer antivir laufen. öffne keine komischen dateien usw... wie kann das passieren? |
Zitat:
ComboFix hat in deinem Fall etwas viel gelöscht. Du musst deinen WLAN-Treiber wieder neuinstallieren. ciao, andreas |
sollte das nicht antivir entdecken, auch von einem externen datenträger? und wie kann ich mich in zukunft schützen? sicher? den das WLAN funktioniert noch. |
Zitat:
Ich hatte schon einen Fall, bei dem WLAN nach Löschen der Treiber nicht mehr funktioniert hat. Zitat:
Zitat:
ciao, andreas |
so hier gehts weiter: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Freitag, 11. September 2009 22:47:12 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 11/09/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2527212 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 162795 Viren gefunden: 5 Infizierte Objekte gefunden: 19 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 03:45:40 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2 Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\desktop.ini Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Desktop.ini Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Desktop.ini Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.asx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.bmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.wma Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Videos\Desktop.ini Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\signons.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\6b800f31-3522474e/vlocal.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.at übersprungen C:\Dokumente und Einstellungen\BastianR\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\6b800f31-3522474e ZIP: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\BastianR\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Eigene Dateien\Bastians Ordner\Outlook pst datai\outlook.pst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Identities\{237B4D92-D00B-4BA0-ABEE-E507A1F7F31F}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay@reply3.ebay.com][Date 11 Feb 2005 15:36:25][Subj TKO Notice: Urgent Fraud Investigation]/html Infizierte Objekte: Trojan-Spy.HTML.Bayfraud.cg übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Identities\{237B4D92-D00B-4BA0-ABEE-E507A1F7F31F}\Microsoft\Outlook Express\Gelöschte Objekte.dbx MailMSOutlook5: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\etilqs_4W1AinUODatF1P74itNA Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\WCESLog.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\~DF4573.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\~DFE641.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\temp\~DFE655.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009091120090912\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\BastianR\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\b5cd2357.sys.vir Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip/b5cd2357.sys Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip/b5cd2357.sys.1 Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip ZIP: infiziert - 2 übersprungen C:\Qoobox\Quarantine\C\WINDOWS\system32\UACbtdbgommvt.dll.vir Infizierte Objekte: Trojan.Win32.Tdss.anrc übersprungen C:\Qoobox\Quarantine\C\WINDOWS\system32\UACljhnbcgewn.dll.vir Infizierte Objekte: Packed.Win32.TDSS.y übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/b5cd2357.sys.vir Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/_b5cd2357_.sys.zip/b5cd2357.sys Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/_b5cd2357_.sys.zip/b5cd2357.sys.1 Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/drivers/_b5cd2357_.sys.zip Infizierte Objekte: Backdoor.Win32.NewRest.cm übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/UACbtdbgommvt.dll.vir Infizierte Objekte: Trojan.Win32.Tdss.anrc übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar/Qoobox/Quarantine/C/WINDOWS/system32/UACljhnbcgewn.dll.vir Infizierte Objekte: Packed.Win32.TDSS.y übersprungen C:\RECYCLER\S-1-5-21-709043156-1426058901-3643987052-1005\Dc3.rar RAR: infiziert - 6 übersprungen C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1280\A0107395.dll Infizierte Objekte: Packed.Win32.TDSS.y übersprungen C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1280\A0107396.dll Infizierte Objekte: Trojan.Win32.Tdss.anrc übersprungen C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1280\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\temp\Perflib_Perfdata_968.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
scan mit previx hat eine infektion erkannt - und zwar die cofi.exe auf meinem desktop |
Prevx kannst du wieder deinstallieren. Mehr Sorgen machen mir die Funde von Kaspersky. Er hat zwei Funde im Papierkorb von Outlook gefunden. Lösche den Inhalt des Papierkorbes in Outlook. 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
ComboFix 09-09-09.09 - BastianR 12.09.2009 1:01.2.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.495 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\BastianR\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\BastianR\Desktop\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-709043156-1426058901-3643987052-1005 c:\windows\system32\.ini . ((((((((((((((((((((((( Dateien erstellt von 2009-08-11 bis 2009-09-11 )))))))))))))))))))))))))))))) . 2009-09-10 19:00 . 2009-09-11 14:42 -------- d-----w- c:\programme\trend micro 2009-09-10 19:00 . 2009-09-10 19:01 -------- d-----w- C:\rsit 2009-09-09 08:59 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\windows\system32\XPSViewer 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\MSBuild 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\Reference Assemblies 2009-08-22 09:45 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-08-22 09:45 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-08-22 09:45 . 2009-08-22 09:45 -------- d-----w- C:\9efaa42bd10eea49b711a1f11dfc98 2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-08-22 09:44 . 2009-08-22 10:51 -------- d-----w- c:\windows\SxsCaPendDel 2009-08-14 20:12 . 2009-08-14 20:13 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Move Networks . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-11 23:19 . 2005-02-08 03:22 -------- d---a-w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Skype 2009-09-11 13:36 . 2005-02-07 23:41 -------- d---a-w- c:\programme\Aukubik 2009-09-11 10:00 . 2008-03-16 16:20 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\skypePM 2009-09-07 14:22 . 2006-09-18 01:41 -------- d---a-w- c:\programme\HVB eFIN 3.0 2009-09-01 18:26 . 2005-03-09 05:34 -------- d---a-w- c:\programme\eMule 2009-08-30 15:31 . 2008-03-07 21:41 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\uTorrent 2009-08-28 23:36 . 2004-12-23 10:15 20920 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-08-22 09:55 . 1980-01-01 08:00 84722 ----a-w- c:\windows\system32\perfc007.dat 2009-08-22 09:55 . 1980-01-01 08:00 459396 ----a-w- c:\windows\system32\perfh007.dat 2009-08-13 09:33 . 2005-02-20 20:59 -------- d---a-w- c:\programme\Java 2009-08-09 18:53 . 2008-01-21 23:58 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Canon 2009-08-05 15:34 . 2009-05-14 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 1980-01-01 08:00 206336 ------w- c:\windows\system32\mswebdvd.dll 2009-07-25 03:23 . 2008-12-07 08:57 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-07-18 15:48 . 2009-07-18 15:48 -------- d-----w- c:\programme\7-Zip 2009-07-17 19:01 . 1980-01-01 08:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2004-12-23 10:09 286208 ------w- c:\windows\system32\wmpdxm.dll 2009-06-29 15:55 . 1980-01-01 08:00 827392 ------w- c:\windows\system32\wininet.dll 2009-06-29 15:55 . 2004-12-23 10:09 78336 ------w- c:\windows\system32\ieencode.dll 2009-06-29 15:55 . 1980-01-01 08:00 17408 ------w- c:\windows\system32\corpol.dll 2009-06-16 14:36 . 1980-01-01 08:00 81920 ------w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 1980-01-01 08:00 119808 ------w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 1980-01-01 08:00 78848 ------w- c:\windows\system32\telnet.exe 2009-06-15 10:43 . 1980-01-01 08:00 82944 ------w- c:\windows\system32\tlntsess.exe 2005-03-05 02:48 . 2005-03-05 02:48 21 ------w- c:\programme\AVPersonalAVWIN.INI . ((((((((((((((((((((((((((((( SnapShot@2009-09-10_20.28.59 ))))))))))))))))))))))))))))))))))))))))) . + 2009-09-11 23:18 . 2009-09-11 23:18 16384 c:\windows\temp\Perflib_Perfdata_30c.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TPKMAPMN"="c:\programme\ThinkPad\Utilities\TpKmapMn.exe" [2005-10-28 45056] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176] "XSC SIP Client"="c:\programme\X-Lite\X-Lite.exe" [2004-06-01 3305472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000] "TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256] "TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208] "EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-04-27 243248] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064] "UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-09-02 127035] "BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2004-07-29 20480] "BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2004-07-29 398848] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-03-18 98304] "SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544] "PRONoMgrWired"="c:\programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2003-08-06 86016] "TPKBDLED"="c:\windows\system32\TpScrLk.exe" [2002-10-08 40960] "cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2006-08-21 1997568] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272] "Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2004-07-29 110592] "TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-29 520024] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280] "S3TRAY2"="S3Tray2.exe" - c:\windows\system32\S3Tray2.exe [2001-10-12 69632] "TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2008-06-06 181536] "TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-16 65536] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] "TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2003-11-13 94208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\IBM\Bluetooth Software\BTTray.exe [2004-1-20 507965] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-1-12 24576] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 2005-07-05 22:45 28672 ------w- c:\windows\system32\notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2005-11-30 18:16 24576 ------w- c:\windows\system32\tphklock.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"= "c:\\Programme\\X-Lite\\X-Lite.exe"= "c:\\Programme\\eMule\\emule.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\SFR\\1-2-Remote\\12RemoteServer.exe"= "c:\\Programme\\1&1\\1&1 SoftPhone\\IPPHONEUI.EXE"= "c:\\Programme\\Ateksoft\\WebCamera Plus\\camviewer.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 ANCSQ;ANCSQ;c:\windows\system32\drivers\ANCSQ.sys [02.08.2005 18:40 6912] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.05.2009 15:03 64160] R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [14.05.2008 16:21 114728] R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [14.05.2008 16:21 19496] R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [23.12.2004 12:37 16384] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.05.2009 16:33 108289] R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [22.12.2005 00:14 12544] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1029456] R2 smi2;smi2;c:\programme\SMI2\smi2.sys [02.08.2005 18:47 3968] S2 CTNT4SCR;CTNT4SCR;c:\windows\system32\drivers\ctnt4scr.sys --> c:\windows\system32\drivers\ctnt4scr.sys [?] S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [25.02.2003 01:36 802683] S3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [13.11.2003 13:12 13904] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - WAM *Deregistered* - WAM . Inhalt des "geplante Tasks" Ordners 2009-09-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:07] 2009-01-07 c:\windows\Tasks\BMMTask.job - c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2004-12-23 09:37] . . ------- Zusätzlicher Suchlauf ------- . IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Senden an &Bluetooth - c:\programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\ FF - prefs.js: browser.search.selectedEngine - Google Deutschland FF - prefs.js: browser.startup.homepage - about:blank FF - component: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - plugin: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-12 01:18 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(984) c:\windows\system32\Ati2evxx.dll c:\windows\system32\tphklock.dll - - - - - - - > 'explorer.exe'(516) c:\programme\ScanSoft\OmniPageSE\ophook32.dll c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\windows\system32\ati2evxx.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\windows\system32\ati2evxx.exe c:\programme\IBM\Bluetooth Software\bin\btwdins.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe c:\windows\system32\TPHDEXLG.exe c:\windows\system32\TpKmpSvc.exe c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\programme\Lenovo\System Update\SUService.exe c:\programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe c:\programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\progra~1\MICROS~4\rapimgr.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-09-11 1:28 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-09-11 23:27 ComboFix2.txt 2009-09-10 20:37 Vor Suchlauf: 18 Verzeichnis(se), 22.641.467.392 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 22.649.937.920 Bytes frei 234 --- E O F --- 2009-09-10 10:21 |
:koch: So wird das nichts. Dieben wir doch bei den Kollegen vom HJT-Forum: Zitat:
Es geht hier erst weiter, wenn ich ein "Ja, ich werde mich an den Text halten" lese. ciao, andreas |
hallo, versteh ich jetzt nicht. ich hab haargenau das gemacht was du gesagt hast. punkt für punkt und habe dann das log hier gepostet. ich hab nichts anderes gemacht. auch nichts anderes installiert oder sonstiges. ich hab die punkte aus deinem posting von Gestern 23:41 genau so ausgeführt und auch nichts vergessen oder anders gemacht. ehrlich. |
Das hier habe ich auf einem anderen Board (HJT-Forum) gefunden: Die hier vorgestellten Programme benötigt Windows nicht unbedingt. Bitte unter Start => Systemsteuerung => Software => Ändern/Entfernen... deinstallieren.Selbst wenn du ein sicheres P2P Programm verwendest, ist es nur das Programm, das sicher ist. Du wirst Daten von unsicheren Quellen teilen und diese sind häufig infiziert. Also uTorrent und emule bitte sofort deinstallieren, ansonsten sind alle weiteren Schritte eher sinnlos. 1.) Wozu nutzt du das Programm Aukubik? 2.) Kontrolliere, ob eine Datei mit Namen atiimxgl existiert. Benutze die Windowssuche. 3.) Deinstalliere:
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
P2P hab ich deinstalliert. nutz ich eh nie. 1. aukubik ist eine datenbank (für ebay) ist uhrallt und nutz ich schon 5 jahre. hat auch kein zugang oder sonstiges zum netz. 2. hab den arbeitsplatz nach der datei durchsucht unddie exe unter C:\Programme\ATI Technologies\Fire GL 3D Studio Max - gefunden 3. hab alles deinstaliert und den pc neu gestartet 4. habe ich jetzt nichts installiert, weil ichs auch im moment nicht brauche. |
Dann schaue dir die Softwareliste in Ruhe an und deinstalliere alles, dass du nicht brauchst. :) ciao, andreas |
hab alles deinstaliert was aufgelistet wurde: 3.) Deinstalliere: * Ad-Aware * Adobe Reader 8.1.2 - Deutsch * J2SE Runtime Environment 5.0 Update 1 * J2SE Runtime Environment 5.0 Update 10 * J2SE Runtime Environment 5.0 Update 2 * J2SE Runtime Environment 5.0 Update 4 * J2SE Runtime Environment 5.0 Update 6 * J2SE Runtime Environment 5.0 Update 9 * Java(TM) 6 Update 15 * Java(TM) 6 Update 2 * Java(TM) 6 Update 3 * Java(TM) 6 Update 7 * Java(TM) SE Runtime Environment 6 Update 1 * Skype™ 3.8 * VLC media player 0.9.4 |
Ja, habe ich gelesen, allerdings habe ich nur Dinge deinstallieren lassen, die veraltet oder unnützt sind. Du sollst jetzt noch zusätzlich das Deinstallieren, dass du nicht brauchst oder benutzt. Deine Logs sind schwer zu lesen, weil sie viel zu lang sind. ciao, andreas |
ComboFix 09-09-09.09 - BastianR 12.09.2009 15:56.3.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.638 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\BastianR\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\BastianR\Desktop\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C} * Neuer Wiederherstellungspunkt wurde erstellt FILE :: "c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" "c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk" "c:\windows\system32\notifyf2.dll" "c:\windows\system32\perfc007.dat" "c:\windows\system32\perfh007.dat" "c:\windows\tasks\Ad-Aware Update (Weekly).job" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk C:\rsit c:\rsit\info.txt c:\rsit\log.txt c:\windows\SxsCaPendDel c:\windows\system32\.ini c:\windows\system32\notifyf2.dll c:\windows\system32\perfc007.dat c:\windows\system32\perfh007.dat c:\windows\tasks\Ad-Aware Update (Weekly).job . ((((((((((((((((((((((( Dateien erstellt von 2009-08-12 bis 2009-09-12 )))))))))))))))))))))))))))))) . 2009-09-10 19:00 . 2009-09-11 14:42 -------- d-----w- c:\programme\trend micro 2009-09-09 08:59 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\windows\system32\XPSViewer 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\MSBuild 2009-08-22 09:46 . 2009-08-22 09:46 -------- d-----w- c:\programme\Reference Assemblies 2009-08-22 09:45 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-08-22 09:45 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-08-22 09:45 . 2009-08-22 09:45 -------- d-----w- C:\9efaa42bd10eea49b711a1f11dfc98 2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-08-22 09:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-08-14 20:12 . 2009-08-14 20:13 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Move Networks . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-12 13:42 . 2005-02-08 03:22 -------- d---a-w- c:\programme\Skype 2009-09-12 13:17 . 2005-02-08 03:22 -------- d---a-w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Skype 2009-09-12 13:16 . 2005-02-08 03:16 -------- d---a-w- c:\programme\Gemeinsame Dateien\Adobe 2009-09-12 13:14 . 2009-05-14 12:59 -------- d-----w- c:\programme\Lavasoft 2009-09-12 13:14 . 2009-05-14 12:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-09-12 12:07 . 2005-02-07 23:41 -------- d---a-w- c:\programme\Aukubik 2009-09-12 10:09 . 2008-03-16 16:20 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\skypePM 2009-09-07 14:22 . 2006-09-18 01:41 -------- d---a-w- c:\programme\HVB eFIN 3.0 2009-08-09 18:53 . 2008-01-21 23:58 -------- d-----w- c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Canon 2009-08-05 15:34 . 2009-05-14 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 1980-01-01 08:00 206336 ------w- c:\windows\system32\mswebdvd.dll 2009-07-25 03:23 . 2008-12-07 08:57 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-07-18 15:48 . 2009-07-18 15:48 -------- d-----w- c:\programme\7-Zip 2009-07-17 19:01 . 1980-01-01 08:00 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 21:43 . 2004-12-23 10:09 286208 ------w- c:\windows\system32\wmpdxm.dll 2009-06-29 15:55 . 1980-01-01 08:00 827392 ------w- c:\windows\system32\wininet.dll 2009-06-29 15:55 . 2004-12-23 10:09 78336 ------w- c:\windows\system32\ieencode.dll 2009-06-29 15:55 . 1980-01-01 08:00 17408 ------w- c:\windows\system32\corpol.dll 2009-06-16 14:36 . 1980-01-01 08:00 81920 ------w- c:\windows\system32\fontsub.dll 2009-06-16 14:36 . 1980-01-01 08:00 119808 ------w- c:\windows\system32\t2embed.dll 2009-06-15 10:43 . 1980-01-01 08:00 78848 ------w- c:\windows\system32\telnet.exe 2009-06-15 10:43 . 1980-01-01 08:00 82944 ------w- c:\windows\system32\tlntsess.exe 2005-03-05 02:48 . 2005-03-05 02:48 21 ------w- c:\programme\AVPersonalAVWIN.INI . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of C:\9efaa42bd10eea49b711a1f11dfc98 ---- 2009-08-22 09:45 . 2008-06-19 05:33 72 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\msxpsinc.ppd 2009-08-22 09:45 . 2008-06-19 05:33 2204 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\msxpsdrv.inf 2009-08-22 09:45 . 2008-06-19 09:03 73 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\msxpsinc.gpd 2009-08-22 09:45 . 2008-06-19 05:33 72 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\msxpsinc.ppd 2009-08-22 09:45 . 2008-06-19 05:33 2204 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\msxpsdrv.inf 2009-08-22 09:45 . 2008-07-06 12:06 10929 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\msxpsdrv.cat 2009-08-22 09:45 . 2008-07-06 12:06 10929 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\msxpsdrv.cat 2009-08-22 09:45 . 2008-07-06 12:06 147456 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\filterpipelineprintproc.dll 2009-08-22 09:45 . 2008-07-06 12:06 89088 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\filterpipelineprintproc.dll 2009-08-22 09:45 . 2008-07-06 12:06 765440 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\mxdwdrv.dll 2009-08-22 09:45 . 2008-07-06 12:06 1676288 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\i386\xpssvcs.dll 2009-08-22 09:45 . 2008-07-06 12:06 748032 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\mxdwdrv.dll 2008-07-06 15:36 . 2008-07-06 15:36 2936832 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\xpssvcs.dll 2008-06-19 09:03 . 2008-06-19 09:03 73 ------w- c:\9efaa42bd10eea49b711a1f11dfc98\amd64\msxpsinc.gpd ---- Directory of c:\programme\HVB eFIN 3.0 ---- 2008-12-19 23:25 . 2008-05-23 00:00 45056 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\vdesk.dll 2008-12-19 23:25 . 2008-05-23 00:00 4509696 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\hbkernel.dll 2008-12-19 23:25 . 2008-06-03 00:00 6293504 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\efix.exe 2008-12-19 23:25 . 2007-02-08 00:00 8772 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\countries.map 2008-12-19 23:25 . 2007-12-18 00:00 5342589 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\bic.map 2008-12-19 23:25 . 2007-02-08 00:00 7973 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\awvIdentifiers.map 2008-12-19 23:25 . 2007-12-18 00:00 184406 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\bankcodes.map 2008-12-19 23:25 . 2007-09-14 00:00 187212 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\LCA.caf 2008-12-19 23:25 . 2008-05-23 00:00 3854336 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\BdBHBCI.dll 2008-12-19 23:25 . 2008-12-19 23:25 16 ------w- c:\programme\HVB eFIN 3.0\BACKUP.$$$\efix2.bph 2008-04-10 22:27 . 2007-12-18 00:00 96918 ------w- c:\programme\HVB eFIN 3.0\img\SepaRemittance.bmp 2008-04-10 22:27 . 2007-12-18 00:00 266838 ------w- c:\programme\HVB eFIN 3.0\img\SepaDirectDebitTempl.bmp 2008-04-10 22:27 . 2007-12-18 00:00 266838 ------w- c:\programme\HVB eFIN 3.0\img\SepaDirectDebit.bmp 2008-04-10 22:27 . 2008-12-17 00:00 6046745 ------w- c:\programme\HVB eFIN 3.0\bic.map 2007-01-22 23:24 . 2006-11-16 00:00 61440 ------w- c:\programme\HVB eFIN 3.0\comreg.exe 2006-09-25 13:52 . 2009-09-02 17:28 864256 ----a-w- c:\programme\HVB eFIN 3.0\wpdata.mdb.bak 2006-09-18 01:56 . 2002-03-06 09:57 4 ------w- c:\programme\HVB eFIN 3.0\hbcidb.mfs.sav 2006-09-18 01:56 . 2006-09-18 01:56 52 ------w- c:\programme\HVB eFIN 3.0\data\categories.idx.sav 2006-09-18 01:56 . 2006-09-18 01:56 52 ------w- c:\programme\HVB eFIN 3.0\data\comments.idx.sav 2006-09-18 01:56 . 2006-09-18 01:56 52 ------w- c:\programme\HVB eFIN 3.0\data\postings.idx.sav 2006-09-18 01:56 . 2006-09-18 01:56 52 ------w- c:\programme\HVB eFIN 3.0\data\purpose.idx.sav 2006-09-18 01:56 . 2006-09-18 01:56 52 ------w- c:\programme\HVB eFIN 3.0\data\statements.idx.sav 2006-09-18 01:56 . 2006-09-18 01:56 733184 ------w- c:\programme\HVB eFIN 3.0\wpdata.mdb.sav 2006-09-18 01:55 . 2009-09-02 17:10 231 ----a-w- c:\programme\HVB eFIN 3.0\Update.ini 2006-09-18 01:54 . 2000-12-05 09:31 26614 ----a-w- c:\programme\HVB eFIN 3.0\_update.hlp 2006-09-18 01:54 . 2000-08-24 15:49 102400 ----a-w- c:\programme\HVB eFIN 3.0\_updutils.dll 2006-09-18 01:41 . 2005-11-28 00:00 699392 ------w- c:\programme\HVB eFIN 3.0\Update.exe 2006-09-18 01:41 . 2000-08-24 15:49 102400 ------w- c:\programme\HVB eFIN 3.0\updutils.dll 2006-09-18 01:41 . 2000-12-05 09:31 26614 ------w- c:\programme\HVB eFIN 3.0\UPDATE.HLP 2006-09-18 01:41 . 2000-03-28 10:24 283648 ------w- c:\programme\HVB eFIN 3.0\RunUpdate.exe 2006-09-18 01:41 . 2001-09-27 14:01 471040 ------w- c:\programme\HVB eFIN 3.0\ca.dll 2006-09-18 01:41 . 2003-06-04 15:07 821760 ------w- c:\programme\HVB eFIN 3.0\Migrate.exe 2006-09-18 01:41 . 2009-09-07 14:20 52 ----a-w- c:\programme\HVB eFIN 3.0\data\comments.idx 2006-09-18 01:41 . 2001-09-10 10:59 256 ------w- c:\programme\HVB eFIN 3.0\ZVLight Export\efix_adr.wvd 2006-09-18 01:41 . 2009-09-07 14:22 2337265 ----a-w- c:\programme\HVB eFIN 3.0\data\postings.idx 2006-09-18 01:41 . 2009-09-07 14:20 747236 ----a-w- c:\programme\HVB eFIN 3.0\data\purpose.idx 2006-09-18 01:41 . 2009-09-07 14:20 186586 ----a-w- c:\programme\HVB eFIN 3.0\data\statements.idx 2006-09-18 01:41 . 2009-09-07 14:20 52 ----a-w- c:\programme\HVB eFIN 3.0\data\unbooked.idx 2006-09-18 01:41 . 2009-09-07 14:20 25319 ----a-w- c:\programme\HVB eFIN 3.0\data\categories.idx 2006-09-18 01:41 . 2001-09-21 13:44 82 ------w- c:\programme\HVB eFIN 3.0\register.bat 2006-09-18 01:41 . 2001-09-21 13:44 134 ------w- c:\programme\HVB eFIN 3.0\register9x.bat 2006-09-18 01:41 . 2008-02-25 00:00 2633728 ------w- c:\programme\HVB eFIN 3.0\status.avi 2006-09-18 01:41 . 2007-12-18 00:00 2404 ------w- c:\programme\HVB eFIN 3.0\instid.cfg 2006-09-18 01:41 . 2003-05-21 07:45 88998 ------w- c:\programme\HVB eFIN 3.0\img\FPaymL.bmp 2006-09-18 01:41 . 2001-09-04 10:20 206376 ------w- c:\programme\HVB eFIN 3.0\img\EffectsOrder.bmp 2006-09-18 01:41 . 2001-09-17 13:59 34998 ------w- c:\programme\HVB eFIN 3.0\img\WDImage5.bmp 2006-09-18 01:41 . 2001-09-17 13:59 34998 ------w- c:\programme\HVB eFIN 3.0\img\WDImage4.bmp 2006-09-18 01:41 . 2002-09-05 10:21 32280 ------w- c:\programme\HVB eFIN 3.0\img\WDImage3.bmp 2006-09-18 01:41 . 2002-07-03 13:47 34996 ------w- c:\programme\HVB eFIN 3.0\img\WDImage1.bmp 2006-09-18 01:41 . 2001-09-17 13:59 32278 ------w- c:\programme\HVB eFIN 3.0\img\WDImage2.bmp 2006-09-18 01:41 . 2001-12-17 09:18 95894 ------w- c:\programme\HVB eFIN 3.0\img\StOrder.bmp 2006-09-18 01:41 . 2001-09-17 13:59 40678 ------w- c:\programme\HVB eFIN 3.0\img\update.bmp 2006-09-18 01:41 . 2001-12-17 09:18 72278 ------w- c:\programme\HVB eFIN 3.0\img\RemitTempl.bmp 2006-09-18 01:41 . 2001-09-20 13:38 23734 ------w- c:\programme\HVB eFIN 3.0\img\SOSuspen.bmp 2006-09-18 01:41 . 2008-02-25 00:00 211076 ------w- c:\programme\HVB eFIN 3.0\img\start.bmp 2006-09-18 01:41 . 2008-02-25 00:00 6320 ------w- c:\programme\HVB eFIN 3.0\img\InstLMedium.bmp 2006-09-18 01:41 . 2008-02-25 00:00 84020 ------w- c:\programme\HVB eFIN 3.0\img\InstLPrint.bmp 2006-09-18 01:41 . 2001-12-17 09:18 72278 ------w- c:\programme\HVB eFIN 3.0\img\Remit.bmp 2006-09-18 01:41 . 2003-01-31 08:38 51442 ------w- c:\programme\HVB eFIN 3.0\img\FPaymV.bmp 2006-09-18 01:41 . 2003-02-03 08:44 42230 ------w- c:\programme\HVB eFIN 3.0\img\FPaymW.bmp 2006-09-18 01:41 . 2008-02-25 00:00 131140 ------w- c:\programme\HVB eFIN 3.0\img\InstLBackg.bmp 2006-09-18 01:41 . 2003-02-05 12:10 170866 ------w- c:\programme\HVB eFIN 3.0\img\FPayment.bmp 2006-09-18 01:41 . 2001-12-17 09:18 72278 ------w- c:\programme\HVB eFIN 3.0\img\Debit.bmp 2006-09-18 01:41 . 2001-12-17 09:18 72278 ------w- c:\programme\HVB eFIN 3.0\img\DebitTempl.bmp 2006-09-18 01:41 . 2001-12-17 09:18 72278 ------w- c:\programme\HVB eFIN 3.0\img\DatedRem.bmp 2006-09-18 01:41 . 2007-12-17 00:00 381561 ------w- c:\programme\HVB eFIN 3.0\eFIX.chm 2006-09-18 01:41 . 2008-12-17 00:00 6294528 ------w- c:\programme\HVB eFIN 3.0\efix.exe 2006-09-18 01:41 . 2003-06-04 15:07 82944 ------w- c:\programme\HVB eFIN 3.0\qrpdflib.dll 2006-09-18 01:41 . 2001-09-10 10:59 312320 ------w- c:\programme\HVB eFIN 3.0\gzipio.dll 2006-09-18 01:41 . 2007-05-30 00:00 651264 ------w- c:\programme\HVB eFIN 3.0\SSLBase.dll 2006-09-18 01:41 . 2008-12-16 00:00 45056 ------w- c:\programme\HVB eFIN 3.0\vdesk.dll 2006-09-18 01:41 . 2005-01-11 09:00 94208 ------w- c:\programme\HVB eFIN 3.0\zlib.dll 2006-09-18 01:41 . 2008-12-17 00:00 186666 ------w- c:\programme\HVB eFIN 3.0\bankcodes.map 2006-09-18 01:41 . 2008-12-17 00:00 7479 ------w- c:\programme\HVB eFIN 3.0\awvIdentifiers.map 2006-09-18 01:41 . 2008-12-17 00:00 8776 ------w- c:\programme\HVB eFIN 3.0\countries.map 2006-09-18 01:41 . 2008-04-09 00:00 326873 ------w- c:\programme\HVB eFIN 3.0\hbcisd.mfs 2006-09-18 01:41 . 2009-09-01 19:30 7260 ----a-w- c:\programme\HVB eFIN 3.0\hbcidb.mfs 2006-09-18 01:41 . 2006-09-18 01:56 188 ------w- c:\programme\HVB eFIN 3.0\hbcidb.mfs$ 2006-09-18 01:41 . 2009-09-07 14:20 864256 ----a-w- c:\programme\HVB eFIN 3.0\wpdata.mdb 2006-09-18 01:41 . 2008-12-09 00:00 249676 ------w- c:\programme\HVB eFIN 3.0\LCA.caf 2006-09-18 01:41 . 2008-12-16 00:00 4505600 ------w- c:\programme\HVB eFIN 3.0\hbkernel.dll 2006-09-18 01:41 . 2002-01-07 08:01 139264 ------w- c:\programme\HVB eFIN 3.0\Configuration.dll 2006-09-18 01:41 . 2008-12-17 00:00 3854336 ------w- c:\programme\HVB eFIN 3.0\BdBHBCI.dll 2006-09-18 01:41 . 2007-01-23 00:00 2014 ------w- c:\programme\HVB eFIN 3.0\chipcards.ini (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TPKMAPMN"="c:\programme\ThinkPad\Utilities\TpKmapMn.exe" [2005-10-28 45056] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176] "XSC SIP Client"="c:\programme\X-Lite\X-Lite.exe" [2004-06-01 3305472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000] "TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256] "TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064] "UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-09-02 127035] "BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2004-07-29 20480] "BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2004-07-29 398848] "SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544] "PRONoMgrWired"="c:\programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2003-08-06 86016] "TPKBDLED"="c:\windows\system32\TpScrLk.exe" [2002-10-08 40960] "cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2006-08-21 1997568] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272] "Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152] "BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2004-07-29 110592] "TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "S3TRAY2"="S3Tray2.exe" - c:\windows\system32\S3Tray2.exe [2001-10-12 69632] "TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2008-06-06 181536] "TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-16 65536] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] "TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2003-11-13 94208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\IBM\Bluetooth Software\BTTray.exe [2004-1-20 507965] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-1-12 24576] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2005-11-30 18:16 24576 ------w- c:\windows\system32\tphklock.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"= "c:\\Programme\\X-Lite\\X-Lite.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\SFR\\1-2-Remote\\12RemoteServer.exe"= "c:\\Programme\\1&1\\1&1 SoftPhone\\IPPHONEUI.EXE"= "c:\\Programme\\Ateksoft\\WebCamera Plus\\camviewer.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 ANCSQ;ANCSQ;c:\windows\system32\drivers\ANCSQ.sys [02.08.2005 18:40 6912] R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [14.05.2008 16:21 114728] R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [14.05.2008 16:21 19496] R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [23.12.2004 12:37 16384] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.05.2009 16:33 108289] R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [22.12.2005 00:14 12544] R2 smi2;smi2;c:\programme\SMI2\smi2.sys [02.08.2005 18:47 3968] S2 CTNT4SCR;CTNT4SCR;c:\windows\system32\drivers\ctnt4scr.sys --> c:\windows\system32\drivers\ctnt4scr.sys [?] S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [25.02.2003 01:36 802683] S3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [13.11.2003 13:12 13904] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - WAM *Deregistered* - WAM . Inhalt des "geplante Tasks" Ordners 2009-01-07 c:\windows\Tasks\BMMTask.job - c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2004-12-23 09:37] . . ------- Zusätzlicher Suchlauf ------- . IE: In 1&&1 SoftPhone wählen - c:\dokumente und einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Senden an &Bluetooth - c:\programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm FF - ProfilePath - c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\ FF - prefs.js: browser.search.selectedEngine - Google Deutschland FF - prefs.js: browser.startup.homepage - about:blank FF - component: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - plugin: c:\dokumente und einstellungen\BastianR\Anwendungsdaten\Mozilla\Firefox\Profiles\u8ntnltt.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-tpfnf2 - notifyf2.dll ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-12 16:11 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(972) c:\windows\system32\Ati2evxx.dll c:\windows\system32\tphklock.dll - - - - - - - > 'explorer.exe'(2624) c:\programme\ScanSoft\OmniPageSE\ophook32.dll c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\windows\system32\ati2evxx.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\windows\system32\ati2evxx.exe c:\programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe c:\programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\progra~1\MICROS~4\rapimgr.exe c:\programme\IBM\Bluetooth Software\bin\btwdins.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe c:\windows\system32\TPHDEXLG.exe c:\windows\system32\TpKmpSvc.exe c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\programme\Lenovo\System Update\SUService.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-09-12 16:17 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-09-12 14:16 ComboFix2.txt 2009-09-11 23:28 ComboFix3.txt 2009-09-10 20:37 Vor Suchlauf: 18 Verzeichnis(se), 23.155.613.696 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 23.153.037.312 Bytes frei 325 --- E O F --- 2009-09-10 10:21 |
Das sieht schon viel freundlicher aus. :) Wie geht es dem Rechner? Gibt es noch Auffälligkeiten oder Meldungen? Einen noch, dann sollten wir durch sein. Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
also was mir auffällt, ist das antivir beim neustart das rechners nicht aktiviert wird. |
Welche Avira-Version hast du? Zitat:
Tipp 1: http://www.trojaner-board.de/461254-post29.html Tipp 2: http://www.trojaner-board.de/461256-post31.html ciao, andreas |
die free-version. also eine sache von avira steht auf manuell....!?! |
Zitat:
Zitat:
ciao, andreas |
hab version 9. hier: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-09-12 18:49:09 PROTECTIONS: 4 MALWARE: 8 SUSPECTS: 0 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes No AntiVir Desktop 9.0.1.32 No Yes AntiVir PersonalEdition Classic Virenschutz 6.38.1.26 Yes Yes AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\BastianR\Cookies\bastianr@atdmt[2].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\BastianR\Cookies\bastianr@atdmt[3].txt 00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\BastianR\Cookies\bastianr@tribalfusion[1].txt 00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\BastianR\Cookies\bastianr@ad.yieldmanager[2].txt 02457190 Trj/Alureon.BB Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACbtdbgommvt.dll.vir 02532085 Generic Rootkit HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACoffjawllds.sys.vir 02586111 Adware/SystemGuard2009 Adware No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACljhnbcgewn.dll.vir 02594149 Rootkit/Rustock.BE HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\b5cd2357.sys.vir 02594149 Rootkit/Rustock.BE HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip[b5cd2357.sys.1] 02594149 Rootkit/Rustock.BE HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_b5cd2357_.sys.zip[b5cd2357.sys] 02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP1283\A0107530.sys ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ,> ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description ,> ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== |
:daumenhoc Perfekt. 1.) Deinstalliere alle Scanner, die wir eingesetzt haben. 2.) Start => Ausführen => combofix /u => OK 3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 4.) Poste ein aktuelles HJT-Log. ciao, andreas |
also antivir startet wieder. 1. wo deinstaliere ich die alle wieder. die sind nicht alle unter "software" zu finden? 2 + 3 OK 4. wie mach ich das? danke! |
Zitat:
Zitat:
ciao, andreas |
also kaspersky finde ich leider nicht und rist leider auch nicht. |
RSIT ist das Symbol auf deinem Desktop, einfach löschen. Starte HJT => Do a system scan only => Markiere: Code: Alle R0, R1, O2, O8, O9 und O16-EinträgeDu bist entlassen. :) ciao, andreas |
okay danke! HJT kann ich nun auch deinstalieren? |
Ja. ciao, andreas |
danke!!!!!!!!!!!!! p.s. hab hier ein neuen order "cofi" unter pogramme. kann der auch gelöscht werden? |
Ja. :) ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board