|
Fraud.MalwareDefense - spyware-entfernen Hallo, das ist unglaublich. Nachdem Spybot folgende Warnung brachte: Fraud.MalwareDefense dachte ich, dass der Fehler behoben war. Aber Pustekuchen! Bin jetyt auf diese Seite gestossen *** VIRUS-LINK entfernt Was haltet Ihr davon_ Probiere das mal aus und berichte! Gruss Rudi |
Hallo, das ist unglaublich. Nachdem Spybot folgende Warnung brachte: Fraud.MalwareDefense dachte ich, dass der Fehler behoben war. Aber Pustekuchen! Bin jetyt auf diese Seite gestossen Malware Defense entfernen, MalwareDefense entfernung *** VIRUS-LINK entfernt Was haltet Ihr davon_ Probiere das mal aus und berichte! Gruss Rudi |
Hi, das ist in der Tat unglaublich, da holst Du dir die Dinger eher als dass sie weg sind.... Diese Seite erweckt den Anschein aus Deutschland zu sein, wird aber in USA gehostet. Link LÖSCHEN! Die Seite hat bei WOT eine sehr schlecht Reputation... Sie verbreitet SpyHunter... http://www.itler.net/2009/09/spyhunt...dtools-malware chris |
Hallo Chris4You, Spzbot / Search u. Destroy findet immer diesen Trojaner, aber kann ihn scheinbar nicht wegkriegen. Mittlerweile geht Avira wieder, findet aber nichts! Bleibt manchmal in der Pruefung haengen. Bin ratlos, was ich machen kann. Kannst Du mir helfen_ Vielen Dank, Rudi |
@Rudolf1967 Hi, bitte einen eigenen Thread eröffnen! Dazu folgende Infos im Thread posten: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Servus Chris, ich danke Dir von ganzem Herzen für Deine Hilfe und entschuldige mich, wenn ich mich nicht so professionell anstelle. Soll ich nun einen eigenen Thread (weiß leider nicht, was das ist) eröffnen? Bevor ich frage, wie das geht füge ich einfach hier die Scans ein: 1. Die von RSIT Logfile of random's system information tool 1.06 (written by random/random) Run by Rudi at 2010-01-20 11:30:28 Microsoft Windows XP Professional Service Pack 3 System drive C: has 202 GB (89%) free of 228 GB Total RAM: 1014 MB (39% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:30:45, on 20.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\PDF Complete\pdfsvc.exe c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\SMINST\Scheduler.exe C:\Programme\pdfforge Toolbar\SearchSettings.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\hphmon05.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\Gemeinsame Dateien\Lexware\LxWebAccess\LxWebAccess.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Rudi\Desktop\RSIT.exe C:\Programme\trend micro\Rudi.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\Rudi\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe O8 - Extra context menu item: &AOL Toolbar-Suche - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ieToolbar\resources\de-DE\local\search.html O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=desktop O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (file missing) O23 - Service: McAfee Application Installer Cleanup (0180481251009339) (0180481251009339mcinstcleanup) - Unknown owner - C:\DOKUME~1\Rudi\LOKALE~1\Temp\018048~1.EXE (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 11890 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\HP Usg Daily.job C:\WINDOWS\tasks\WGASetup.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}] AVG Safe Search - C:\Programme\AVG\AVG9\avgssie.dll [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll [2007-07-12 501136] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9}] AOL Toolbar BHO - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll [2007-10-16 1107296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}] Adobe PDF Conversion Toolbar Helper - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2006-10-22 321120] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}] pdfforge Toolbar - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll [2009-05-04 650752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] C:\Programme\pdfforge Toolbar\SearchSettings.dll [2009-03-30 1091584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {0BF43445-2F28-4351-9252-17FE6E806AA0} {DE9C389F-3316-41A7-809B-AA305ED9D922} - AOL Toolbar - C:\Programme\AOL\AOL Toolbar 5.0\aoltb.dll [2007-10-16 1107296] {B922D405-6D13-4A2B-AE89-08A030DA4402} - pdfforge Toolbar - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll [2009-05-04 650752] {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2006-10-22 321120] {CCC7A320-B3CA-4199-B1A6-9F516DD69829} {472734EA-242A-422B-ADF8-83D1E48CC825} [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2007-11-26 141848] "HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2007-11-26 166424] "Persistence"=C:\WINDOWS\system32\igfxpers.exe [2007-11-26 137752] "PDF Complete"=C:\Programme\PDF Complete\pdfsty.exe [2008-04-07 318488] "SetRefresh"=C:\Programme\Compaq\SetRefresh\SetRefresh.exe [2003-11-20 525824] "Recguard"=C:\WINDOWS\Sminst\Recguard.exe [2006-05-12 1138688] "Reminder"=C:\WINDOWS\Creator\Remind_XP.exe [2006-03-31 761856] "Scheduler"=C:\WINDOWS\SMINST\Scheduler.exe [2006-07-10 872448] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792] "SearchSettings"=C:\Programme\pdfforge Toolbar\SearchSettings.exe [2009-03-30 970240] "LexwareInfoService"=C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2008-09-11 339240] "HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe [2005-07-06 176128] "HPHUPD05"=C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe [2005-07-06 49152] "HP Component Manager"=C:\Programme\HP\hpcoretech\hpcmpmgr.exe [2003-12-22 241664] "HP Software Update"=C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe [2003-12-05 49152] "HPHmon05"=C:\WINDOWS\system32\hphmon05.exe [2005-07-06 491520] "QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-09-05 417792] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-09-08 305440] "Acrobat Assistant 8.0"=C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [2006-10-22 620152] ""= [] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "settdebugx.exe"=C:\DOKUME~1\Rudi\LOKALE~1\Temp\settdebugx.exe [] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088] "Malware Defense"=C:\Programme\Malware Defense\mdefense.exe -noscan [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe C:\Dokumente und Einstellungen\Rudi\Startmenü\Programme\Autostart OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\WINDOWS\system32\igfxdev.dll [2007-10-30 208896] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\WINDOWS\SMINST\Scheduler.exe"="C:\WINDOWS\SMINST\Scheduler.exe:*:Enabled:Scheduler " "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Microsoft Office\Office12\ONENOTE.EXE"="C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe"="C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe:*:Enabled:Managed Services Agent" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{871456a3-5907-11de-8153-00215a71ba84}] shell\AutoRun\command - K:\LaunchU3.exe -a ======List of files/folders created in the last 1 months====== 2010-01-20 11:30:29 ----D---- C:\Programme\trend micro 2010-01-20 11:30:28 ----D---- C:\rsit 2010-01-19 14:59:01 ----D---- C:\Programme\Avira 2010-01-19 14:59:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2010-01-19 14:44:53 ----SHD---- C:\Config.Msi 2010-01-19 14:44:38 ----D---- C:\Programme\Spyware Doctor 2010-01-19 14:19:13 ----D---- C:\Programme\Enigma Software Group 2010-01-14 08:43:35 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$ 2010-01-14 08:43:29 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$ 2010-01-13 17:25:10 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2010-01-13 15:07:08 ----A---- C:\TDSSKiller.2.2.2_13.01.2010_15.07.08_log.txt 2010-01-13 14:54:59 ----D---- C:\Programme\Spybot - Search & Destroy 2010-01-13 14:54:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-13 14:41:09 ----D---- C:\Programme\AVG 2010-01-03 13:49:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9 2010-01-02 12:54:58 ----D---- C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\GoodSync 2009-12-28 13:31:53 ----D---- C:\Neuer Ordner 2009-12-28 13:31:01 ----SHD---- C:\System Recovery 2009-12-28 09:29:48 ----D---- C:\Programme\Malware Defense 2009-12-27 18:38:02 ----A---- C:\WINDOWS\system32\krl32mainweq.dll 2009-12-27 18:36:17 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini ======List of files/folders modified in the last 1 months====== 2010-01-20 11:30:36 ----D---- C:\WINDOWS\Prefetch 2010-01-20 11:30:29 ----RD---- C:\Programme 2010-01-20 11:27:40 ----D---- C:\Programme\Mozilla Firefox 2010-01-20 10:54:48 ----D---- C:\WINDOWS\Temp 2010-01-20 10:54:48 ----D---- C:\WINDOWS 2010-01-19 18:25:38 ----D---- C:\WINDOWS\SMINST 2010-01-19 18:24:36 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-19 18:24:28 ----D---- C:\WINDOWS\system32 2010-01-19 18:24:21 ----D---- C:\Programme\Gemeinsame Dateien 2010-01-19 18:23:32 ----N---- C:\WINDOWS\SchedLgU.Txt 2010-01-19 18:22:29 ----D---- C:\WINDOWS\system32\drivers 2010-01-19 17:19:27 ----D---- C:\WINDOWS\Debug 2010-01-19 14:59:09 ----HD---- C:\WINDOWS\inf 2010-01-19 14:58:33 ----SHD---- C:\WINDOWS\Installer 2010-01-19 14:58:32 ----D---- C:\WINDOWS\WinSxS 2010-01-14 08:59:38 ----D---- C:\WINDOWS\AppPatch 2010-01-14 08:43:37 ----RSHD---- C:\WINDOWS\system32\dllcache 2010-01-14 08:43:34 ----HD---- C:\WINDOWS\$hf_mig$ 2010-01-13 14:40:12 ----SD---- C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\Microsoft 2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe 2010-01-03 13:49:11 ----D---- C:\WINDOWS\SxsCaPendDel 2009-12-28 13:30:59 ----D---- C:\WINDOWS\CREATOR ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 47491581;47491581; C:\WINDOWS\system32\DRIVERS\47491581.sys [2009-09-25 128016] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 ACEDRV07;ACEDRV07; \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys [] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-10-30 5851488] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-11-06 4622848] R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-01-03 105856] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] S1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\p3.sys [2008-04-14 46848] S3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256] S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-17 117760] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-10-21 49920] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-07-06 16496] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-10-21 21568] S3 i81x;i81x; C:\WINDOWS\system32\DRIVERS\i81xnt5.sys [2004-08-03 161020] S3 iAimFP0;iAimFP0; C:\WINDOWS\system32\DRIVERS\wADV01nt.sys [2004-08-03 12415] S3 iAimFP1;iAimFP1; C:\WINDOWS\system32\DRIVERS\wADV02NT.sys [2004-08-03 12127] S3 iAimFP2;iAimFP2; C:\WINDOWS\system32\DRIVERS\wADV05NT.sys [2004-08-03 11775] S3 iAimFP3;iAimFP3; C:\WINDOWS\system32\DRIVERS\wSiINTxx.sys [2004-08-03 12063] S3 iAimFP4;iAimFP4; C:\WINDOWS\system32\DRIVERS\wVchNTxx.sys [2004-08-03 19455] S3 iAimFP5;iAimFP5; C:\WINDOWS\system32\DRIVERS\wADV07nt.sys [2004-08-03 11807] S3 iAimFP6;iAimFP6; C:\WINDOWS\system32\DRIVERS\wADV08nt.sys [2004-08-03 11295] S3 iAimFP7;iAimFP7; C:\WINDOWS\system32\DRIVERS\wADV09nt.sys [2004-08-03 11871] S3 iAimTV0;iAimTV0; C:\WINDOWS\system32\DRIVERS\wATV01nt.sys [2004-08-03 29311] S3 iAimTV1;iAimTV1; C:\WINDOWS\system32\DRIVERS\wATV02NT.sys [2004-08-03 19551] S3 iAimTV3;iAimTV3; C:\WINDOWS\system32\DRIVERS\wATV04nt.sys [2004-08-03 33599] S3 iAimTV4;iAimTV4; C:\WINDOWS\system32\DRIVERS\wCh7xxNT.sys [2004-08-03 23615] S3 iAimTV5;iAimTV5; C:\WINDOWS\system32\DRIVERS\wATV10nt.sys [2004-08-03 25471] S3 iAimTV6;iAimTV6; C:\WINDOWS\system32\DRIVERS\wATV06nt.sys [2004-08-03 22271] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 utmwmji2;AVZ Kernel Driver; \??\C:\WINDOWS\system32\Drivers\utmwmji2.sys [] S4 adpu320;adpu320; C:\WINDOWS\system32\DRIVERS\adpu320.sys [2002-05-08 105472] S4 IntelIde;IntelIde; C:\WINDOWS\system32\DRIVERS\intelide.sys [2008-04-14 5504] S4 Symmpi;Symmpi; C:\WINDOWS\system32\DRIVERS\symmpi.sys [2002-04-04 28416] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 IviRegMgr;IviRegMgr; C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe [2007-01-04 112152] R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ); c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224] R2 pdfcDispatcher;PDF Document Manager; C:\Programme\PDF Complete\pdfsvc.exe [2008-04-07 576024] R2 SQLWriter;SQL Server VSS Writer; c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe [2007-02-10 89968] R3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-10-09 654848] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-09-08 545568] R3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-03-18 65536] S2 0180481251009339mcinstcleanup;McAfee Application Installer Cleanup (0180481251009339); C:\DOKUME~1\Rudi\LOKALE~1\Temp\018048~1.EXE C:\PROGRA~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service [] S2 PCA;PC Angel; C:\WINDOWS\SMINST\PCAngel.exe [2006-06-13 364544] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728] S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] S4 SQLBrowser;SQL Server-Browser; c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2007-02-10 242544] -----------------EOF----------------- ACHTUNG: Der Scan von GMER dauert nun schon 3 Stunden; ist das normal. Zuvor habe ich schon 2fach einen Abbruch gehabt, da der PC in Standby-Betrieb ging. Hier also erst mal die erste Version und wenn GMER heute noch fertig wird, dann der Teil 2. Danke Chris, Rudi |
Hi, ich wäre versucht ohne das Log von GMER anzufangen, da die typischen Zeichen einer MD-Infektion da sind: Code: O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\Rudi\LOKALE~1\Temp\settdebugx.exeAuf eigene Verantwortung: Bereinigung für Rootkit "H8SRTd" Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: (Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html) http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris |
Servus Chris (bin aus Bayern), der läuft immer noch. Lade mir immer diese Programme über mein Notebook runter. Aber da der/die/das GMER immer noch läuft will ich nichts nebenbei installieren. Beim Abbruch von GMER geht es nämlich immer wieder von vorne los. Habe mir aber MAM auf einen USB-Stick runtergeladen und warte nun - weniger - geduldig auf das Ende der Durchsuchung von GMER! Melde mich dann bei Dir. Wenn alles klappt hätte ich gerne Deine Kontonummer, da ich das zu schätzen weiß. Bin nicht reich, aber eine Anerkennung sollte schon drin sein! Bis dann, Rudi |
Hi Chris, wenn ich den Text ins weiße Feld eingebe und auf execute klicke kommt folgende Fehlermeldung. Error: Invalid script. A valid script must begin with a command directive. Aborting Execution! GMER geht nicht; sucht stundenlang und wenn ich wieder zum PC komme hat der neu gestartet oder er hängt sich auf; solche Tendenzen verspüre ich auch langsam...:crazy: Kannst Du mir nochmals helfen, bitte. Schneegrüße aus Brannenburg, Rudi |
Hi, Du musst in das Script "drivers to delete:" als auch den Namen mit kopieren, aber nicht "code"... Also den Inhalt der folgenden Box: Code: Drivers to delete: |
Hi Chris, hier das Ergebnis von Avenger. Sieht so aus, als könnte der nichts finden. Jetzt läuft Malwarebytes drüber! Bis später, Rudi ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 12:55:47 2010 12:55:47: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 12:56:08 2010 12:56:08: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 12:56:25 2010 12:56:25: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 13:03:14 2010 13:03:14: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 13:04:36 2010 13:04:36: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 13:04:42 2010 13:04:42: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Thu Jan 21 13:07:07 2010 13:07:07: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTd.sys" not found! Deletion of driver "H8SRTd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
Hi, da sieht nicht so aus, als ob der Rootkit aktiv wäre...
chris |
So Chris, hier erstmal das Ergebnis von mbm! Hat ja doch einiges gefunden! Wie soll ich weiter verfahren. Liebe Grüße, Rudi Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3607 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 21.01.2010 14:17:11 mbam-log-2010-01-21 (14-17-11).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 228333 Laufzeit: 45 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\malware Defense (Rogue.MalwareDefense) -> Not selected for removal. Infizierte Dateien: C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. |
Hi Chris, hier noch das Ergebnis von RootkeatReaveal: HKLM\SECURITY\Policy\Secrets\SAC* 05.05.2006 03:02 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 05.05.2006 03:02 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SCM:{2242B406-90A2-4EF9-BC19-492D477F7914}* 20.10.2008 05:16 0 bytes Key name contains embedded nulls (*) C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 01.11.2009 12:39 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 01.11.2009 12:39 111.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 01.11.2009 12:39 8.00 KB Visible in Windows API, but not in MFT or directory index. Der 2. Scan nach dem Neustart: HKLM\SECURITY\Policy\Secrets\SAC* 05.05.2006 03:02 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 05.05.2006 03:02 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SCM:{2242B406-90A2-4EF9-BC19-492D477F7914}* 20.10.2008 05:16 0 bytes Key name contains embedded nulls (*) C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 01.11.2009 12:39 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 01.11.2009 12:39 111.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 01.11.2009 12:39 8.00 KB Visible in Windows API, but not in MFT or directory index. Unter *****@arcor.de kannst Du mir Deine Bankverbindung mitteilen, da ich hoffe, dass ich das Problem jetzt gelöst habe?!"?!??? Danke, Rudi |
Hallo, so, jetzt habe ich nach dem Neustart noch Spybot drüberlaufen lassen. Hat auch wieder noch etwas gefunden. Hier das Ergebnis: Fraud.MalwareDefense: [SBI $9C1ABCA5] Autorun-Einstellungen (Malware Defense) (Registrierungsdatenbank-Wert, nothing done) HKEY_USERS\S-1-5-21-810312503-1251865010-1543739544-1009\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Defense DoubleClick: Verfolgender Cookie (Firefox: Rudi (default)) (Cookie, nothing done) --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) --- 2009-01-26 blindman.exe (1.0.0.8) 2009-01-26 SDFiles.exe (1.6.1.7) 2009-01-26 SDMain.exe (1.0.0.6) 2009-01-26 SDShred.exe (1.0.2.5) 2009-01-26 SDUpdate.exe (1.6.0.12) 2009-01-26 SpybotSD.exe (1.6.2.46) 2009-01-26 TeaTimer.exe (1.6.4.26) 2010-01-13 unins000.exe (51.49.0.0) 2009-01-26 Update.exe (1.6.0.7) 2009-01-26 advcheck.dll (1.6.2.15) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2009-01-26 SDHelper.dll (1.6.2.14) 2008-06-19 sqlite3.dll 2009-01-26 Tools.dll (2.1.6.10) 2009-01-16 UninsSrv.dll (1.0.0.0) 2009-10-08 Includes\Adware.sbi (*) 2010-01-12 Includes\AdwareC.sbi (*) 2009-01-22 Includes\Cookies.sbi (*) 2009-11-03 Includes\Dialer.sbi (*) 2010-01-12 Includes\DialerC.sbi (*) 2009-01-22 Includes\HeavyDuty.sbi (*) 2009-05-26 Includes\Hijackers.sbi (*) 2010-01-12 Includes\HijackersC.sbi (*) 2009-12-15 Includes\Keyloggers.sbi (*) 2010-01-12 Includes\KeyloggersC.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2009-12-30 Includes\Malware.sbi (*) 2010-01-12 Includes\MalwareC.sbi (*) 2009-03-25 Includes\PUPS.sbi (*) 2010-01-12 Includes\PUPSC.sbi (*) 2009-01-22 Includes\Revision.sbi (*) 2009-01-13 Includes\Security.sbi (*) 2010-01-12 Includes\SecurityC.sbi (*) 2008-06-03 Includes\Spybots.sbi (*) 2008-06-03 Includes\SpybotsC.sbi (*) 2009-11-03 Includes\Spyware.sbi (*) 2010-01-12 Includes\SpywareC.sbi (*) 2009-06-08 Includes\Tracks.uti 2009-12-08 Includes\Trojans.sbi (*) 2010-01-12 Includes\TrojansC.sbi (*) 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll Bin neugierig, wie das endet! LG Rudi |
Hi nochmal, hier ist der nicht vollständige Bericht. Dieser ist zu lang. Jetzt muss ich ihn stückeln, oder gibt es eine andere Möglichkeit? LG Rudi --- Search result list --- Fraud.MalwareDefense: [SBI $9C1ABCA5] Autorun-Einstellungen (Malware Defense) (Registrierungsdatenbank-Wert, fixed) HKEY_USERS\S-1-5-21-810312503-1251865010-1543739544-1009\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Defense DoubleClick: Verfolgender Cookie (Firefox: Rudi (default)) (Cookie, fixed) --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) --- 2009-01-26 blindman.exe (1.0.0.8) 2009-01-26 SDFiles.exe (1.6.1.7) 2009-01-26 SDMain.exe (1.0.0.6) 2009-01-26 SDShred.exe (1.0.2.5) 2009-01-26 SDUpdate.exe (1.6.0.12) 2009-01-26 SpybotSD.exe (1.6.2.46) 2009-01-26 TeaTimer.exe (1.6.4.26) 2010-01-13 unins000.exe (51.49.0.0) 2009-01-26 Update.exe (1.6.0.7) 2009-01-26 advcheck.dll (1.6.2.15) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2009-01-26 SDHelper.dll (1.6.2.14) 2008-06-19 sqlite3.dll 2009-01-26 Tools.dll (2.1.6.10) 2009-01-16 UninsSrv.dll (1.0.0.0) 2009-10-08 Includes\Adware.sbi (*) 2010-01-12 Includes\AdwareC.sbi (*) 2009-01-22 Includes\Cookies.sbi (*) 2009-11-03 Includes\Dialer.sbi (*) 2010-01-12 Includes\DialerC.sbi (*) 2009-01-22 Includes\HeavyDuty.sbi (*) 2009-05-26 Includes\Hijackers.sbi (*) 2010-01-12 Includes\HijackersC.sbi (*) 2009-12-15 Includes\Keyloggers.sbi (*) 2010-01-12 Includes\KeyloggersC.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2009-12-30 Includes\Malware.sbi (*) 2010-01-12 Includes\MalwareC.sbi (*) 2009-03-25 Includes\PUPS.sbi (*) 2010-01-12 Includes\PUPSC.sbi (*) 2009-01-22 Includes\Revision.sbi (*) 2009-01-13 Includes\Security.sbi (*) 2010-01-12 Includes\SecurityC.sbi (*) 2008-06-03 Includes\Spybots.sbi (*) 2008-06-03 Includes\SpybotsC.sbi (*) 2009-11-03 Includes\Spyware.sbi (*) 2010-01-12 Includes\SpywareC.sbi (*) 2009-06-08 Includes\Tracks.uti 2009-12-08 Includes\Trojans.sbi (*) 2010-01-12 Includes\TrojansC.sbi (*) 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll --- System information --- Windows XP (Build: 2600) Service Pack 3 (5.1.2600) / .NETFramework / 1.1: Microsoft .NET Framework 1.1 Security Update (KB953297) / .NETFramework / 1.1: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) / MSXML4SP2: Security update for MSXML4 SP2 (KB954430) / MSXML4SP2: Security update for MSXML4 SP2 (KB973688) / Windows / SP1: Microsoft Internationalized Domain Names Mitigation APIs / Windows / SP1: Microsoft National Language Support Downlevel APIs / Windows Media Player: Sicherheitsupdate für Windows Media Player (KB952069) / Windows Media Player: Sicherheitsupdate für Windows Media Player (KB954155) / Windows Media Player: Sicherheitsupdate für Windows Media Player (KB968816) / Windows Media Player: Sicherheitsupdate für Windows Media Player (KB973540) / Windows Media Player: Sicherheitsupdate für Windows Media Player (KB973540) / Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) / Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 7 (KB974455) / Windows XP / SP0: Sicherheitsupdate für Windows Internet Explorer 7 (KB976325) / Windows XP / SP0: Update für Windows Internet Explorer 7 (KB976749) / Windows XP / SP3: Windows XP Service Pack 3 / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB923561) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB938464-v2) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB946648) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950760) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950762) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950974) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951066) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951376-v2) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951748) / Windows XP / SP4: Update für Windows XP (KB951978) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952004) / Windows XP / SP4: Hotfix für Windows XP (KB952117-v2) / Windows XP / SP4: Hotfix für Windows XP (KB952287) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952954) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954459) / Windows XP / SP4: Hotfix for Windows XP (KB954550-v5) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954600) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB955069) / Windows XP / SP4: Update für Windows XP (KB955759) / Windows XP / SP4: Update für Windows XP (KB955839) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956572) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956744) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956802) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956803) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956841) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956844) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957097) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958644) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958687) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958690) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958869) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB959426) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960225) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960715) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960803) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960859) / Windows XP / SP4: Hotfix für Windows XP (KB961118) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB961371-v2) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB961373) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB961501) / Windows XP / SP4: Update für Windows XP (KB967715) / Windows XP / SP4: Update für Windows XP (KB968389) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB968537) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB969059) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB969897) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB969898) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB969947) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB970238) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB970430) / Windows XP / SP4: Hotfix für Windows XP (KB970653-v3) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971486) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971557) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971633) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971657) / Windows XP / SP4: Update für Windows XP (KB971737) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB971961) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB972260) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB972270) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973346) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973354) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973507) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973525) / Windows XP / SP4: Update für Windows XP (KB973687) / Windows XP / SP4: Update für Windows XP (KB973815) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973869) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB973904) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB974112) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB974318) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB974392) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB974455) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB974571) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB975025) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB975467) / Windows XP / SP4: Hotfix für Windows XP (KB976098-v2) / Windows XP / SP4: Update für Windows XP (KB976749) --- Startup entries list --- Located: HK_LM:Run, command: file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_LM:Run, Acrobat Assistant 8.0 command: "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" file: C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe size: 620152 MD5: A21E70B4F972CA396A80013D0D436350 Located: HK_LM:Run, Adobe Reader Speed Launcher command: "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" file: C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe size: 39792 MD5: 392845E8D49B5F0E81AAC4D795000A8C Located: HK_LM:Run, avgnt command: "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min file: C:\Programme\Avira\AntiVir Desktop\avgnt.exe size: 209153 MD5: 29680A793F690EEF4AAA68479D2A6DF8 Located: HK_LM:Run, HotKeysCmds command: C:\WINDOWS\system32\hkcmd.exe file: C:\WINDOWS\system32\hkcmd.exe size: 166424 MD5: C1236550E7CD79D1C47313BC616498D3 Located: HK_LM:Run, HP Component Manager command: "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" file: C:\Programme\HP\hpcoretech\hpcmpmgr.exe size: 241664 MD5: B75B654EE1DA99876461B24597AE3FF3 Located: HK_LM:Run, HP Software Update command: "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" file: C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe size: 49152 MD5: 19B4CF5D39C66024CA40282BF458F2C4 Located: HK_LM:Run, HPDJ Taskbar Utility command: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe file: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe size: 176128 MD5: 31C21D0A32E06D7A5DDDFCE78414B2A0 Located: HK_LM:Run, HPHmon05 command: C:\WINDOWS\system32\hphmon05.exe file: C:\WINDOWS\system32\hphmon05.exe size: 491520 MD5: 62B54393FC3ACD2B795CDFAAE26A6D75 Located: HK_LM:Run, HPHUPD05 command: C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe file: C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe size: 49152 MD5: 8449FF37309653E99A6F38AA5CB7CB78 Located: HK_LM:Run, IgfxTray command: C:\WINDOWS\system32\igfxtray.exe file: C:\WINDOWS\system32\igfxtray.exe size: 141848 MD5: 008469EFE66C9435FAAEB6CE1C0E8E1D Located: HK_LM:Run, iTunesHelper command: "C:\Programme\iTunes\iTunesHelper.exe" file: C:\Programme\iTunes\iTunesHelper.exe size: 305440 MD5: 819892199645F33A680E50F1D5271879 Located: HK_LM:Run, LexwareInfoService command: C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart file: C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe size: 339240 MD5: AD8656B118507EE654C09E8D1C0A243A Located: HK_LM:Run, PDF Complete command: C:\Programme\PDF Complete\pdfsty.exe file: C:\Programme\PDF Complete\pdfsty.exe size: 318488 MD5: 75BECACF841636A1FC8367A0CFD69F7D Located: HK_LM:Run, Persistence command: C:\WINDOWS\system32\igfxpers.exe file: C:\WINDOWS\system32\igfxpers.exe size: 137752 MD5: FB1E1DF4F915BE2CC6194E60C8290860 Located: HK_LM:Run, QuickTime Task command: "C:\Programme\QuickTime\QTTask.exe" -atboottime file: C:\Programme\QuickTime\QTTask.exe size: 417792 MD5: 8CBD57D84729DEBEE1E83CB5FA3E3D7A Located: HK_LM:Run, Recguard command: C:\WINDOWS\Sminst\Recguard.exe file: C:\WINDOWS\Sminst\Recguard.exe size: 1138688 MD5: 6FF047B21A1B7A5934FF63FD5FB22858 Located: HK_LM:Run, Reminder command: C:\WINDOWS\Creator\Remind_XP.exe file: C:\WINDOWS\Creator\Remind_XP.exe size: 761856 MD5: 89649D4C65FA0DECDBF0C7AFCAF6A051 Located: HK_LM:Run, Scheduler command: C:\WINDOWS\SMINST\Scheduler.exe file: C:\WINDOWS\SMINST\Scheduler.exe size: 872448 MD5: C1915A84502B38D548D0C9351DFF3E47 Located: HK_LM:Run, SearchSettings command: C:\Programme\pdfforge Toolbar\SearchSettings.exe file: C:\Programme\pdfforge Toolbar\SearchSettings.exe size: 970240 MD5: 6E79C2721FE13A134508CB51EC279482 Located: HK_LM:Run, SetRefresh command: C:\Programme\Compaq\SetRefresh\SetRefresh.exe file: C:\Programme\Compaq\SetRefresh\SetRefresh.exe size: 525824 MD5: 0FFA9E2711A0228467BF08228D5B620F Located: HK_CU:Run, CTFMON.EXE where: .DEFAULT... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-19... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-20... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-21-810312503-1251865010-1543739544-1009... command: C:\WINDOWS\system32\ctfmon.exe file: C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, Malware Defense where: S-1-5-21-810312503-1251865010-1543739544-1009... command: "C:\Programme\Malware Defense\mdefense.exe" -noscan file: C:\Programme\Malware Defense\mdefense.exe size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, SpybotSD TeaTimer where: S-1-5-21-810312503-1251865010-1543739544-1009... command: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe file: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe size: 2144088 MD5: 896A1DB9A972AD2339C2E8569EC926D1 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-21-810312503-1251865010-1543739544-1010... command: C:\WINDOWS\system32\ctfmon.exe file: C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, QuickTime Task where: S-1-5-21-810312503-1251865010-1543739544-1010... command: "C:\Programme\QuickTime\QTTask.exe" -atboottime file: C:\Programme\QuickTime\QTTask.exe size: 417792 MD5: 8CBD57D84729DEBEE1E83CB5FA3E3D7A Located: HK_CU:Run, CTFMON.EXE where: S-1-5-21-810312503-1251865010-1543739544-1011... command: C:\WINDOWS\system32\ctfmon.exe file: C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, QuickTime Task where: S-1-5-21-810312503-1251865010-1543739544-1011... command: "C:\Programme\QuickTime\QTTask.exe" -atboottime file: C:\Programme\QuickTime\QTTask.exe size: 417792 MD5: 8CBD57D84729DEBEE1E83CB5FA3E3D7A Located: HK_CU:Run, CTFMON.EXE where: S-1-5-21-810312503-1251865010-1543739544-1012... command: C:\WINDOWS\system32\ctfmon.exe file: C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, QuickTime Task where: S-1-5-21-810312503-1251865010-1543739544-1012... command: "C:\Programme\QuickTime\QTTask.exe" -atboottime file: C:\Programme\QuickTime\QTTask.exe size: 417792 MD5: 8CBD57D84729DEBEE1E83CB5FA3E3D7A Located: HK_CU:Run, CTFMON.EXE where: S-1-5-18... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: Startup (allgemein), Adobe Acrobat - Schnellstart.lnk where: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart... command: C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe file: C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe size: 295606 MD5: 21638D0E7F02D6CB855B76243521F409 Located: Startup (allgemein), Adobe Reader Synchronizer.lnk where: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart... command: C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe file: C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe size: 734872 MD5: 169C293CE9460A05646D17DC6AA2FB2C Located: Startup (Benutzer), OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk where: C:\Dokumente und Einstellungen\Rudi\Startmenü\Programme\Autostart... command: C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE file: C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE size: 98632 MD5: D91AFB6D2A0DA7539B74FB5838775D94 Located: WinLogon, crypt32chain command: crypt32.dll file: crypt32.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cryptnet command: cryptnet.dll file: cryptnet.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cscdll command: cscdll.dll file: cscdll.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, dimsntfy command: %SystemRoot%\System32\dimsntfy.dll file: %SystemRoot%\System32\dimsntfy.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, igfxcui command: igfxdev.dll file: igfxdev.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, ScCertProp command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, Schedule command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, sclgntfy command: sclgntfy.dll file: sclgntfy.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, SensLogn command: WlNotify.dll file: WlNotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, termsrv command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, wlballoon command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! --- Browser helper object list --- {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} (WormRadar.com IESiteBlocker.NavFilter) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: WormRadar.com IESiteBlocker.NavFilter CLSID name: AVG Safe Search Path: C:\Programme\AVG\AVG9\ Long name: avgssie.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: SSVHelper Class Path: C:\Programme\Java\jre1.6.0_02\bin\ Long name: ssv.dll Short name: Date (created): 20.10.2008 05:06:14 Date (last access): 21.01.2010 15:30:32 Date (last write): 12.07.2007 03:00:36 Filesize: 501136 Attributes: archive MD5: D6137540BDF0F9F9B9055C60ADD8007A CRC32: 29E910AF Version: 6.0.20.6 {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} (AOL Toolbar BHO) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: AOL Toolbar BHO CLSID name: AOL Toolbar BHO Path: C:\Programme\AOL\AOL Toolbar 5.0\ Long name: aoltb.dll Short name: Date (created): 16.10.2007 01:21:02 Date (last access): 21.01.2010 14:27:30 Date (last write): 16.10.2007 01:21:02 Filesize: 1107296 Attributes: archive MD5: D47091FFB742E70700854F9799197151 CRC32: 9065DB8D Version: 5.2.26.1 {B922D405-6D13-4A2B-AE89-08A030DA4402} (pdfforge Toolbar) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: pdfforge Toolbar Path: C:\Programme\pdfforge Toolbar\ Long name: WidgiToolbarIE.dll Short name: WIDGIT~1.DLL Date (created): 04.05.2009 15:32:10 Date (last access): 21.01.2010 15:30:32 Date (last write): 04.05.2009 15:32:10 Filesize: 650752 Attributes: archive MD5: 0369AFFB46AA2071D04A3FB361EE5BD0 CRC32: 8389EAAF Version: 1.0.0.18 {E312764E-7706-43F1-8DAB-FCDD2B1E416D} () location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Path: C:\Programme\pdfforge Toolbar\ Long name: SearchSettings.dll Short name: SEARCH~1.DLL Date (created): 30.03.2009 16:13:06 Date (last access): 21.01.2010 14:27:30 Date (last write): 30.03.2009 16:13:06 Filesize: 1091584 Attributes: archive MD5: C0713F23F1E14D726DDE41D911CF0E4C CRC32: 59FCC207 Version: 1.2.1.2 --- ActiveX list --- {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_02 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab description: Sun Java classification: Legitimate known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll info link: info source: Patrick M. Kolla Path: C:\Programme\Java\jre1.6.0_02\bin\ Long name: npjpi160_02.dll Short name: NPJPI1~1.DLL Date (created): 12.07.2007 01:22:38 Date (last access): 21.01.2010 13:54:00 Date (last write): 12.07.2007 03:00:36 Filesize: 132496 Attributes: archive MD5: E3811F1A1C5063C941EC0E2766C3EA39 CRC32: AEFD3747 Version: 6.0.20.6 {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_02 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab Path: C:\Programme\Java\jre1.6.0_02\bin\ Long name: npjpi160_02.dll Short name: NPJPI1~1.DLL Date (created): 12.07.2007 01:22:38 Date (last access): 21.01.2010 16:16:18 Date (last write): 12.07.2007 03:00:36 Filesize: 132496 Attributes: archive MD5: E3811F1A1C5063C941EC0E2766C3EA39 CRC32: AEFD3747 Version: 6.0.20.6 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_02 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab Path: C:\Programme\Java\jre1.6.0_02\bin\ Long name: npjpi160_02.dll Short name: NPJPI1~1.DLL Date (created): 12.07.2007 01:22:38 Date (last access): 21.01.2010 16:16:18 Date (last write): 12.07.2007 03:00:36 Filesize: 132496 Attributes: archive MD5: E3811F1A1C5063C941EC0E2766C3EA39 CRC32: AEFD3747 Version: 6.0.20.6 --- Process list --- PID: 0 ( 0) [System] PID: 636 ( 4) \SystemRoot\System32\smss.exe size: 50688 PID: 692 ( 636) \??\C:\WINDOWS\system32\csrss.exe size: 6144 PID: 716 ( 636) \??\C:\WINDOWS\system32\winlogon.exe size: 513024 PID: 760 ( 716) C:\WINDOWS\system32\services.exe size: 111104 MD5: A3EDBE9053889FB24AB22492472B39DC PID: 772 ( 716) C:\WINDOWS\system32\lsass.exe size: 13312 MD5: AFB8261B56CBA0D86AEB6DF682AF9785 PID: 968 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1032 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1128 ( 760) C:\WINDOWS\System32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1248 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1292 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1464 ( 760) C:\WINDOWS\system32\spoolsv.exe size: 57856 MD5: 39356A9CDB6753A6D13A4072A9F5A4BB PID: 1512 ( 760) C:\Programme\Avira\AntiVir Desktop\sched.exe size: 108289 MD5: 9015BC03F62940527EC92D45EE89E46F PID: 1576 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1664 ( 760) C:\Programme\Avira\AntiVir Desktop\avguard.exe size: 185089 MD5: B8720A787C1223492E6F319465E996CE PID: 1676 ( 760) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe size: 144672 MD5: 4B5AE15E5C73EB4DC8DBEC2788230D41 PID: 1688 ( 760) C:\Programme\Bonjour\mDNSResponder.exe size: 238888 MD5: 3F56903E124E820AEECE6D471583C6C1 PID: 1744 ( 760) C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe size: 112152 MD5: 213822072085B5BBAD9AF30AB577D817 PID: 1780 ( 760) c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe size: 29178224 MD5: D07C9575726797B0E9069E1108A1C483 PID: 156 ( 760) C:\Programme\PDF Complete\pdfsvc.exe size: 576024 MD5: C7AEFF5113DFEA823A2F50133249E2B8 PID: 420 ( 760) c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe size: 89968 MD5: 54902536AAD0E9B99BC65F89C0CAF93F PID: 504 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 4FBC75B74479C7A6F829E0CA19DF3366 PID: 1772 ( 760) C:\WINDOWS\System32\alg.exe size: 44544 MD5: 190CD73D4984F94D823F9444980513E5 PID: 2760 (2684) C:\WINDOWS\Explorer.EXE size: 1036800 MD5: 418045A93CD87A352098AB7DABE1B53E PID: 2908 (2760) C:\WINDOWS\system32\igfxtray.exe size: 141848 MD5: 008469EFE66C9435FAAEB6CE1C0E8E1D PID: 2932 (2760) C:\WINDOWS\system32\hkcmd.exe size: 166424 MD5: C1236550E7CD79D1C47313BC616498D3 PID: 2968 (2760) C:\WINDOWS\system32\igfxpers.exe size: 137752 MD5: FB1E1DF4F915BE2CC6194E60C8290860 PID: 3064 ( 968) C:\WINDOWS\system32\igfxsrvc.exe size: 256536 MD5: 3ABE228565C5E57CA3FB7B51EFFE9A0C PID: 3092 (2760) C:\WINDOWS\SMINST\Scheduler.exe size: 872448 MD5: C1915A84502B38D548D0C9351DFF3E47 PID: 3132 (2760) C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe size: 339240 MD5: AD8656B118507EE654C09E8D1C0A243A PID: 3148 (2760) C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe size: 176128 MD5: 31C21D0A32E06D7A5DDDFCE78414B2A0 PID: 3208 (2760) C:\Programme\HP\hpcoretech\hpcmpmgr.exe size: 241664 MD5: B75B654EE1DA99876461B24597AE3FF3 PID: 3216 (2760) C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe size: 49152 MD5: 19B4CF5D39C66024CA40282BF458F2C4 PID: 3224 (2760) C:\WINDOWS\system32\hphmon05.exe size: 491520 MD5: 62B54393FC3ACD2B795CDFAAE26A6D75 PID: 3284 (2760) C:\Programme\iTunes\iTunesHelper.exe size: 305440 MD5: 819892199645F33A680E50F1D5271879 PID: 3336 (2760) C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe size: 620152 MD5: A21E70B4F972CA396A80013D0D436350 PID: 3364 (2760) C:\Programme\Avira\AntiVir Desktop\avgnt.exe size: 209153 MD5: 29680A793F690EEF4AAA68479D2A6DF8 PID: 3504 (2760) C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 PID: 3524 (2760) C:\Programme\Spybot - Search & Destroy\TeaTimer.exe size: 2144088 MD5: 896A1DB9A972AD2339C2E8569EC926D1 PID: 3736 ( 760) C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe size: 654848 MD5: 227846995AFEEFA70D328BF5334A86A5 PID: 3888 ( 760) C:\WINDOWS\system32\HPZipm12.exe size: 65536 MD5: 901C43516504CBE582E4C4193E00876A PID: 484 ( 760) C:\Programme\iPod\bin\iPodService.exe size: 545568 MD5: DC434081FBFD27C719473CB0CCE8DECA PID: 2096 (2760) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe size: 5365592 MD5: 0477C2F9171599CA5BC3307FDFBA8D89 PID: 816 (3372) C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe size: 2356088 MD5: 3C27703F6103A19F1EFD16BFE6D3A8C3 PID: 4 ( 0) System --- Browser start & search pages list --- Spybot - Search & Destroy browser pages report, 21.01.2010 16:16:18 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page C:\WINDOWS\system32\blank.htm HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page %SystemRoot%\system32\blank.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page http://go.microsoft.com/fwlink/?LinkId=54896 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page http://go.microsoft.com/fwlink/?LinkId=69157 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL http://go.microsoft.com/fwlink/?LinkId=69157 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL http://go.microsoft.com/fwlink/?LinkId=54896 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm --- Winsock Layered Service Provider list --- --- Uninstall list --- Windows Driver Package - Garmin (grmnusb) GARMIN Devices (03/08/2007 2.2.1.0) 03/08/2007 2.2.1.0 (45A7283175C62FAC673F913C1F532C5361F97841) uninstall cmd: rundll32.exe C:\PROGRA~1\DIFX\15B7F172FC21855D\DIFxAppA.dll, DIFxARPUninstallDriverPackage C:\WINDOWS\system32\DRVSTORE\grmnusb_09F3E629557EBE4D2BA1A9469BDAE635AC0807AE\grmnusb.inf publisher: Garmin Activation Assistant for the 2007 Microsoft Office suites (Activation Assistant for the 2007 Microsoft Office suites) uninstall cmd: "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE publisher: Microsoft Corporation help link: http://support.microsoft.com/contactussupport/?ws=support (AddressBook) Adobe Acrobat 8 Professional - English, Français, Deutsch 8.0.0 (Adobe Acrobat 8 Professional - English, Français, Deutsch) version (major): 8 install date: 09.10.2009 install location: C:\Programme\Adobe\Acrobat 8.0\ install source: C:\DOKUME~1\Rudi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für Adobe Acrobat 8 Prof Download von Brucki.zip\Adobe Acrobat 8 (Deutsch & Keymaker)\Acrobat 8 Prof\ uninstall cmd: msiexec /I {AC76BA86-1033-F400-7760-000000000003} publisher: Adobe Systems contact: Customer Support help link: http://www.adobe.com/support/main.html help telephone: readme: C:\Programme\Adobe\Acrobat 8.0\Readme.htm Adobe Flash Player 10 Plugin 10.0.22.87 (Adobe Flash Player Plugin) uninstall cmd: C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe publisher: Adobe Systems Incorporated AOL Toolbar 5.0 5.2.26.1 (AOL Toolbar) uninstall cmd: "C:\Programme\AOL\AOL Toolbar 5.0\uninstall.exe" publisher: AOL LLC help link: http://www.aol.de/redirect/toolbar/v4/hilfe_5.jsp Avira AntiVir Personal - Free Antivirus (Avira AntiVir Desktop) uninstall cmd: C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE publisher: Avira GmbH help link: http://www.avira.de/classic-support (Branding) Business Contact Manager für Outlook 2007 3.0.5828.0 (Business Contact Manager für Outlook 2007) install location: c:\Programme\Microsoft Small Business\ uninstall cmd: "c:\Programme\Microsoft Small Business\Business Contact Manager\SetupBootstrap\Setup.exe" /remove {4cb9f93c-9edc-4be9-ae61-af128ddbecfa} publisher: Microsoft Corporation help link: http://support.microsoft.com/ CCleaner (remove only) (CCleaner) uninstall cmd: "C:\Programme\CCleaner\uninst.exe" publisher: Piriform (Connection Manager) (DirectAnimation) (DirectDrawEx) DVAG Online-System 1.3 (DVAG Online System) install location: C:\Programme\DVAG Online-System uninstall cmd: C:\WINDOWS\dvag\Uninstall.exe publisher: Deutsche Vermögensberatung AG (DXM_Runtime) FEXtrader Pro LIVE (FEXtraderProLIVE) uninstall cmd: "C:\Programme\FXdirekt Bank AG\FEXtrader pro LIVE\Uninstall.exe" (Fontcore) Intel(R) Graphics Media Accelerator Driver (HDMI) uninstall cmd: C:\WINDOWS\system32\igxpun.exe -uninstall HijackThis 2.0.2 2.0.2 (HijackThis) uninstall cmd: "C:\Programme\trend micro\HijackThis.exe" /uninstall publisher: TrendMicro Microsoft Office Home and Student 2007 12.0.4518.1014 (HOMESTUDENTR) install location: C:\Programme\Microsoft Office uninstall cmd: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL publisher: Microsoft Corporation (ICW) Microsoft Internationalized Domain Names Mitigation APIs (IDNMitigationAPIs) install date: 20091114 uninstall cmd: "C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" publisher: Microsoft Corporation (IE40) (IE4Data) (IE5BAKEX) Windows Internet Explorer 7 20070813.185237 (ie7) install date: 20091114 uninstall cmd: "C:\WINDOWS\ie7\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://www.microsoft.com/ie (IEData) IrfanView (remove only) (IrfanView) uninstall cmd: C:\Programme\IrfanView\iv_uninstall.exe (KB884016) High Definition Audio - KB888111 20040219.000000 (KB888111WXPSP2) publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=KB888111 (KB893803) Sicherheitsupdate für Windows XP (KB923561) 1 (KB923561) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=923561 Sicherheitsupdate für Windows XP (KB923789) (KB923789) uninstall cmd: C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=923789 Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) 2 (KB938127-v2-IE7) install date: 20091115 uninstall cmd: "C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=938127-v2 Sicherheitsupdate für Windows XP (KB938464-v2) 2 (KB938464-v2) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=938464 Sicherheitsupdate für Windows XP (KB946648) 1 (KB946648) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=946648 Sicherheitsupdate für Windows XP (KB950760) 1 (KB950760) install date: 20090321 uninstall cmd: "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=950760 Sicherheitsupdate für Windows XP (KB950762) 1 (KB950762) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=950762 Sicherheitsupdate für Windows XP (KB950974) 1 (KB950974) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=950974 Sicherheitsupdate für Windows XP (KB951066) 1 (KB951066) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=951066 Sicherheitsupdate für Windows XP (KB951376-v2) 2 (KB951376-v2) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=951376 Sicherheitsupdate für Windows XP (KB951748) 1 (KB951748) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=951748 Update für Windows XP (KB951978) 1 (KB951978) install date: 20091106 uninstall cmd: "C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=951978 Sicherheitsupdate für Windows XP (KB952004) 1 (KB952004) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=952004 Sicherheitsupdate für Windows Media Player (KB952069) (KB952069_WM9) install date: 20090709 uninstall cmd: "C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com/?kbid=952069 (KB952117) Hotfix für Windows XP (KB952117-v2) 2 (KB952117-v2) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB952117-v2$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=952117-v2 Hotfix für Windows XP (KB952287) 1 (KB952287) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=952287 Sicherheitsupdate für Windows XP (KB952954) 1 (KB952954) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=952954 Sicherheitsupdate für Windows Media Player (KB954155) (KB954155_WM9) install date: 20091101 uninstall cmd: "C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com/?kbid=954155 Sicherheitsupdate für Windows XP (KB954459) 1 (KB954459) install date: 20091106 uninstall cmd: "C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=954459 Hotfix for Windows XP (KB954550-v5) 5 (KB954550-v5) install date: 20091005 publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=954550 Sicherheitsupdate für Windows XP (KB954600) 1 (KB954600) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=954600 Sicherheitsupdate für Windows XP (KB955069) 1 (KB955069) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=955069 Update für Windows XP (KB955759) 1 (KB955759) install date: 20100114 uninstall cmd: "C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=955759 Update für Windows XP (KB955839) 1 (KB955839) install date: 20090711 uninstall cmd: "C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=955839 Sicherheitsupdate für Windows XP (KB956572) 1 (KB956572) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=956572 Sicherheitsupdate für Windows XP (KB956744) 1 (KB956744) install date: 20091106 uninstall cmd: "C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=956744 Sicherheitsupdate für Windows XP (KB956802) 1 (KB956802) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=956802 Sicherheitsupdate für Windows XP (KB956803) 1 (KB956803) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=956803 Sicherheitsupdate für Windows XP (KB956841) 1 (KB956841) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=956841 Sicherheitsupdate für Windows XP (KB956844) 1 (KB956844) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=956844 Sicherheitsupdate für Windows XP (KB957097) 1 (KB957097) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=957097 Sicherheitsupdate für Windows XP (KB958644) 1 (KB958644) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=958644 Sicherheitsupdate für Windows XP (KB958687) 1 (KB958687) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=958687 Sicherheitsupdate für Windows XP (KB958690) 1 (KB958690) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=958690 Sicherheitsupdate für Windows XP (KB958869) 1 (KB958869) install date: 20091101 uninstall cmd: "C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=958869 Sicherheitsupdate für Windows XP (KB959426) 1 (KB959426) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=959426 Sicherheitsupdate für Windows XP (KB960225) 1 (KB960225) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=960225 Sicherheitsupdate für Windows XP (KB960715) 1 (KB960715) install date: 20090528 uninstall cmd: "C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=960715 Sicherheitsupdate für Windows XP (KB960803) 1 (KB960803) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=960803 Sicherheitsupdate für Windows XP (KB960859) 1 (KB960859) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=960859 Hotfix für Windows XP (KB961118) 1 (KB961118) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=961118 Sicherheitsupdate für Windows XP (KB961371-v2) 2 (KB961371-v2) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=961371 Sicherheitsupdate für Windows XP (KB961373) 1 (KB961373) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=961373 Sicherheitsupdate für Windows XP (KB961501) 1 (KB961501) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=961501 Update für Windows XP (KB967715) 1 (KB967715) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=967715 Update für Windows XP (KB968389) 1 (KB968389) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=968389 Sicherheitsupdate für Windows XP (KB968537) 1 (KB968537) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=968537 Sicherheitsupdate für Windows Media Player (KB968816) (KB968816_WM9) install date: 20091005 uninstall cmd: "C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com/?kbid=968816 Sicherheitsupdate für Windows XP (KB969059) 1 (KB969059) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=969059 Sicherheitsupdate für Windows XP (KB969897) 1 (KB969897) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=969897 Sicherheitsupdate für Windows XP (KB969898) 1 (KB969898) install date: 20090703 uninstall cmd: "C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=969898 Sicherheitsupdate für Windows XP (KB969947) 1 (KB969947) install date: 20091111 uninstall cmd: "C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=969947 Sicherheitsupdate für Windows XP (KB970238) 1 (KB970238) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=970238 Sicherheitsupdate für Windows XP (KB970430) 1 (KB970430) install date: 20091209 uninstall cmd: "C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=970430 Hotfix für Windows XP (KB970653-v3) 3 (KB970653-v3) install date: 20090829 uninstall cmd: "C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=970653 Sicherheitsupdate für Windows XP (KB971486) 1 (KB971486) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=971486 Sicherheitsupdate für Windows XP (KB971557) 1 (KB971557) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=971557 Sicherheitsupdate für Windows XP (KB971633) 1 (KB971633) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=971633 Sicherheitsupdate für Windows XP (KB971657) 1 (KB971657) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=971657 Update für Windows XP (KB971737) 1 (KB971737) install date: 20091209 uninstall cmd: "C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=971737 Sicherheitsupdate für Windows XP (KB971961) 1 (KB971961) install date: 20091106 uninstall cmd: "C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=971961 Sicherheitsupdate für Windows XP (KB972260) 1 (KB972260) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=972260 Sicherheitsupdate für Windows XP (KB972270) 1 (KB972270) install date: 20100114 uninstall cmd: "C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=972270 Sicherheitsupdate für Windows XP (KB973346) 1 (KB973346) install date: 20090721 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973346 Sicherheitsupdate für Windows XP (KB973354) 1 (KB973354) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973354 Sicherheitsupdate für Windows XP (KB973507) 1 (KB973507) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973507 Sicherheitsupdate für Windows XP (KB973525) 1 (KB973525) install date: 20091031 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973525 Sicherheitsupdate für Windows Media Player (KB973540) (KB973540_WM9) install date: 20091106 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com/?kbid=973540 Sicherheitsupdate für Windows Media Player (KB973540) (KB973540_WM9L) install date: 20090828 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com/?kbid=973540 Update für Windows XP (KB973687) 1 (KB973687) install date: 20091125 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973687 Update für Windows XP (KB973815) 1 (KB973815) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973815 Sicherheitsupdate für Windows XP (KB973869) 1 (KB973869) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973869 Sicherheitsupdate für Windows XP (KB973904) 1 (KB973904) install date: 20091209 uninstall cmd: "C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=973904 Sicherheitsupdate für Windows XP (KB974112) 1 (KB974112) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=974112 Sicherheitsupdate für Windows XP (KB974318) 1 (KB974318) install date: 20091209 uninstall cmd: "C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=974318 Sicherheitsupdate für Windows XP (KB974392) 1 (KB974392) install date: 20091209 uninstall cmd: "C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=974392 Sicherheitsupdate für Windows XP (KB974455) 1 (KB974455) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB974455$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=974455 Sicherheitsupdate für Windows Internet Explorer 7 (KB974455) 1 (KB974455-IE7) install date: 20091114 uninstall cmd: "C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=974455 Sicherheitsupdate für Windows XP (KB974571) 1 (KB974571) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=974571 Sicherheitsupdate für Windows XP (KB975025) 1 (KB975025) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=975025 Sicherheitsupdate für Windows XP (KB975467) 1 (KB975467) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=975467 Hotfix für Windows XP (KB976098-v2) 2 (KB976098-v2) install date: 20091125 uninstall cmd: "C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=976098 Sicherheitsupdate für Windows Internet Explorer 7 (KB976325) 1 (KB976325-IE7) install date: 20091209 uninstall cmd: "C:\WINDOWS\ie7updates\KB976325-IE7\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=976325 Update für Windows XP (KB976749) 1 (KB976749) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtUninstallKB976749$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=976749 Update für Windows Internet Explorer 7 (KB976749) 1 (KB976749-IE7) install date: 20091115 uninstall cmd: "C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=976749 (KBKB895246) Microsoft .NET Framework 1.1 Security Update (KB953297) (M953297) uninstall cmd: "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp" Malwarebytes' Anti-Malware (Malwarebytes' Anti-Malware_is1) install date: 20100121 install location: C:\Programme\Test.ex\ uninstall cmd: "C:\Programme\Test.ex\unins000.exe" publisher: Malwarebytes Corporation help link: http://www.malwarebytes.org Microsoft .NET Framework 1.1 (Microsoft .NET Framework 1.1 (1033)) uninstall cmd: msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} readme: file://C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\1033\RepairRedist.htm Microsoft .NET Framework 2.0 Language Pack - DEU (Microsoft .NET Framework 2.0 Language Pack - DEU) install location: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ uninstall cmd: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe publisher: Microsoft Corporation help link: http://go.microsoft.com/fwlink/?LinkId=45396 Microsoft .NET Framework 3.5 SP1 (Microsoft .NET Framework 3.5 SP1) install location: C:\WINDOWS\Microsoft.NET\Framework\v3.5\ uninstall cmd: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe publisher: Microsoft Corporation help link: http://go.microsoft.com/fwlink/?LinkId=120337 Microsoft SQL Server 2005 (Microsoft SQL Server 2005) uninstall cmd: "c:\Programme\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove publisher: Microsoft Corporation help link: http://go.microsoft.com/fwlink/?LinkId=52152 (MobileOptionPack) Mozilla Firefox (3.5.6) 3.5.6 (de) (Mozilla Firefox (3.5.6)) install location: C:\Programme\Mozilla Firefox uninstall cmd: C:\Programme\Mozilla Firefox\uninstall\helper.exe publisher: Mozilla comments: Mozilla Firefox (MPlayer2) (MSI30-Beta1) (MSI30-Beta2) (MSI30-KB884016) (MSI30-RC1) (MSI30-RC2) (MSI30a-KB884016) (MSI31-Beta) (MSI31-RC1) (NetMeeting) Microsoft National Language Support Downlevel APIs (NLSDownlevelMapping) install date: 20091114 uninstall cmd: "C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" publisher: Microsoft Corporation (OutlookExpress) (PCHealth) uninstall cmd: rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf PDF Complete 3.5.22 (PDF Complete) version (major): 3 version (minor): 5 install location: C:\Programme\PDF Complete\ uninstall cmd: C:\Programme\PDF Complete\uninstall.exe publisher: PDF Complete, Inc. (PROHYBRID2R) (SchedulingAgent) (SMALLBUSINESSR) WELT DER ZAHL 1 (WELT DER ZAHL 1) uninstall cmd: C:\WINDOWS\IsUn0407.exe -fc:\wdz\WDZ1\Uninst.isu Windows Imaging Component 3.0.0.0 (WIC) install date: 20091005 uninstall cmd: "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" publisher: Microsoft Corporation Windows XP Service Pack 3 20080414.031514 (Windows XP Service Pack) install date: 20091104 uninstall cmd: "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" publisher: Microsoft Corporation help link: http://support.microsoft.com?kbid=936929 PDFCreator 0.9.8 ({0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) install date: 20090529 uninstall cmd: C:\Programme\PDFCreator\unins000.exe publisher: Frank Heindörfer, Philip Chinery comments: PDFCreator - Opensource help link: http://www.sf.net/projects/pdfcreator readme: http://www.pdfforge.org Microsoft SQL Server 2005 Express Edition (MSSMLBIZ) 9.2.3042.00 ({028ED9C4-25EE-4DEE-9CF4-91034BC89B18}) version: 151129058 version (major): 9 version (minor): 2 estimated size: 218627 install date: 20081020 install source: c:\44fe1a33f04c98bc80efe21eb5\Setup\ uninstall cmd: MsiExec.exe /I{028ED9C4-25EE-4DEE-9CF4-91034BC89B18} publisher: Microsoft Corporation help link: http://go.microsoft.com/fwlink/?LinkId=52152 Steuer 2008 15.00.00.0033 ({03ED6584-5A5A-4CA3-B61D-741618E510DF}) version: 251658240 version (major): 15 estimated size: 90561 install date: 20090629 install location: C:\Programme\Lexware\Steuer\2008\ install source: C:\WINDOWS\Installer\{16D5D753-98E0-4D80-ABC4-165B95CB8604\ publisher: Lexware contact: Customer Support Department ArcSoft PhotoStudio 5 ({03F1CC67-5BD8-4C36-8394-76311B2AE69A}) uninstall cmd: RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{03F1CC67-5BD8-4C36-8394-76311B2AE69A}\setup.exe" -l0x7 -uninst Bonjour 1.0.106 ({07287123-B8AC-41CE-8346-3D777245C35B}) version: 16777322 version (major): 1 estimated size: 497 install date: 20090910 install location: C:\Programme\Bonjour\ install source: C:\DOKUME~1\Rudi\LOKALE~1\Temp\IXP762.TMP\ uninstall cmd: MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} publisher: Apple Inc. contact: AppleCare-Support help link: http://www.apple.com/de/support help telephone: 01805 009 433 Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) 9.00.3042.00 ({07629207-FAA0-4F1A-8092-BF5085BE511F}) version: 150997986 version (major): 9 estimated size: 27351 install date: 20081020 install location: c:\Programme\Microsoft SQL Server\90\Setup Bootstrap\ install source: c:\44fe1a33f04c98bc80efe21eb5\Setup\ uninstall cmd: MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F} publisher: Microsoft Corporation help link: http://go.microsoft.com/fwlink/?LinkId=52154 Apple Application Support 1.0 ({0C34B801-6AEC-4667-B053-03A67E2D0415}) version: 16777216 version (major): 1 estimated size: 34702 install date: 20090910 install source: C:\DOKUME~1\Rudi\LOKALE~1\Temp\IXP762.TMP\ uninstall cmd: MsiExec.exe /I{0C34B801-6AEC-4667-B053-03A67E2D0415} publisher: Apple Inc. contact: AppleCare Support help link: http://www.apple.com/support/ help telephone: 1-800-275-2273 Microsoft SQL Server Native Client 9.00.3042.00 ({1D1D8ADC-BF08-4E61-9393-5FA305B16864}) version: 150997986 version (major): 9 estimated size: 4308 install date: 20081020 install location: c:\Programme\Microsoft SQL Server\ install source: c:\44fe1a33f04c98bc80efe21eb5\setup\ uninstall cmd: MsiExec.exe /I{1D1D8ADC-BF08-4E61-9393-5FA305B16864} publisher: Microsoft Corporation help link: http://go.microsoft.com/fwlink/?LinkId=52153 Java(TM) 6 Update 2 1.6.0.20 ({3248F0A8-6813-11D6-A77B-00B0D0160020}) version: 17170432 version (major): 1 version (minor): 6 estimated size: 172102 install date: 20081020 install source: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_02\ uninstall cmd: MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} publisher: Sun Microsystems, Inc. contact: http://java.com help link: http://java.com readme: C:\Programme\Java\jre1.6.0_02\README.txt WebFldrs XP 9.50.7523 ({350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}) version: 154279267 version (major): 9 version (minor): 50 estimated size: 2604 install date: 20060505 install source: C:\WINDOWS\system32\ publisher: Microsoft Corporation help link: http://www.microsoft.com/windows AoWin2009 ({383217E3-8F0C-4B85-92B5-6B579A52B0DD}) uninstall cmd: RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{383217E3-8F0C-4B85-92B5-6B579A52B0DD}\setup.exe" HP Backup and Recovery Manager 2.4a ({3F9F7336-6DF8-476F-ABF6-C70A17FAF619}) version: 33816576 install date: 20081020 install location: C:\WINDOWS\ install source: C:\Compaq\HPBackup\ uninstall cmd: RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3F9F7336-6DF8-476F-ABF6-C70A17FAF619}\setup.exe" -l0x7 -uninst -removeonly publisher: Hewlett-Packard Company help link: http://www.hp.com Business Contact Manager für Outlook 2007 3.0.5828.0 ({4cb9f93c-9edc-4be9-ae61-af128ddbecfa}) version: 50337476 version (major): 3 estimated size: 158426 install date: 20081020 install location: c:\Programme\Microsoft Small Business\ install source: c:\appl.zip\OfficeBCM\ uninstall cmd: MsiExec.exe /X{4cb9f93c-9edc-4be9-ae61-af128ddbecfa} publisher: Microsoft Corporation help link: http://www.microsoft.com/support readme: c:\Programme\Microsoft Small Business\Business Contact Manager\README.htm P |
Als Anhang, geht es vielleicht? |
Hi, stelle die Files hier hoch: Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... chris |
Liste der Anhänge anzeigen (Anzahl: 1) Ich hoffe, dass der Anhang jetzt dranhängt! Spybot bring immer noch das Problem Fraud.MalwareDefense Autorun- Einstellungen (Malware Defense) ..................Software/Microsoft/Windows/CurrentVersion/Run/Malware Defense So ein Miststück!!!!!!!!!!!! |
Hi Chris, ich hoffe, Du meinst das so: http://www.file-upload.net/download-2182319/SpybotSD.Results.txt.html http://www.file-upload.net/delete-2182319/ues66.html Mal sehen, was Du mir empfehlen kannst. Merci nochmals, 'Rudi |
Fühle mich zwar etwas lästig, aber ich berichte weiter. Habe also mal wieder GMER versucht. Aber plötzlich - mittendrin - schaltet der PC ab und beim Wiederhochfahren erscheint dann die Fehlermeldung http://www.file-upload.net/download-2182435/MVI_4037.AVI.html Scheint alles sehr instabil zu sein. So etwas hatte ich noch nie und will es nie wieder haben. Bleibt "sauber" Rudi Löschlink http://www.file-upload.net/delete-2182504/orbpfh.html |
Hi, wie schaltet der Rechner ab, mit Bluescreen oder schaltet er sich einfach aus? Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
Servus Chris, der PC schaltet einfach so aus (ohne Bluescreen)! Hier der Text: ComboFix 10-01-20.07 - Rudi 22.01.2010 10:04:17.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.595 [GMT 1:00] ausgeführt von:: J:\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Rudi\Anwendungsdaten\.# c:\dokumente und einstellungen\Rudi\Anwendungsdaten\.#\MBX@99C@A141A8.### c:\dokumente und einstellungen\Rudi\Anwendungsdaten\.#\MBX@99C@A141D8.### c:\dokumente und einstellungen\Rudi\Anwendungsdaten\.#\MBX@99C@A14208.### c:\programme\Malware Defense c:\programme\pdfforge Toolbar\SearchSettings.dll c:\recycler\S-1-5-21-4180860851-926548163-2563741582-500 c:\windows\system32\setup.ini c:\windows\system32\srcr.dat c:\windows\system32\twain_32.dll D:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2009-12-22 bis 2010-01-22 )))))))))))))))))))))))))))))) . 2010-01-22 07:34 . 2010-01-22 07:34 -------- d-----w- c:\windows\LastGood 2010-01-21 11:53 . 2010-01-21 11:53 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Malwarebytes 2010-01-21 11:53 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-21 11:53 . 2010-01-21 11:53 -------- d-----w- c:\programme\Test.ex 2010-01-21 11:53 . 2010-01-21 11:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-21 11:53 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-20 10:30 . 2010-01-21 18:55 -------- d-----w- c:\programme\trend micro 2010-01-20 10:30 . 2010-01-20 10:30 -------- d-----w- C:\rsit 2010-01-19 13:59 . 2010-01-19 13:59 -------- d-----w- c:\programme\Avira 2010-01-19 13:54 . 2010-01-19 13:54 -------- d-----w- c:\dokumente und einstellungen\Rudi\Lokale Einstellungen\Anwendungsdaten\Threat Expert 2010-01-19 13:44 . 2010-01-19 17:24 -------- d-----w- c:\programme\Spyware Doctor 2010-01-19 13:19 . 2010-01-19 13:19 -------- d-----w- c:\programme\Enigma Software Group 2010-01-13 16:25 . 2010-01-19 17:22 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-01-13 13:56 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-01-13 13:54 . 2010-01-21 18:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-13 13:54 . 2010-01-13 13:55 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-01-13 13:41 . 2010-01-13 13:41 -------- d-----w- c:\programme\AVG 2010-01-13 09:57 . 2010-01-13 09:57 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Adobe 2010-01-03 12:49 . 2010-01-13 13:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9 2010-01-02 11:54 . 2010-01-02 11:55 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\GoodSync 2009-12-28 12:31 . 2009-12-28 12:36 -------- d-----w- C:\Neuer Ordner 2009-12-28 12:31 . 2009-12-28 12:31 -------- d-sh--w- C:\System Recovery 2009-12-28 11:38 . 2009-12-28 11:38 7168 ----a-w- c:\windows\system32\drivers\utmwmji2.sys 2009-12-28 10:13 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\47491582.sys 2009-12-28 10:13 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\4749158.sys 2009-12-28 10:13 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\47491581.sys 2009-12-28 10:13 . 2009-12-28 11:25 -------- d-----w- c:\dokumente und einstellungen\Rudi\Virus Removal Tool 2009-12-24 10:14 . 2009-12-24 10:20 -------- d-----w- c:\dokumente und einstellungen\David\Anwendungsdaten\Canon . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-22 09:06 . 2009-05-29 07:12 -------- d-----w- c:\programme\pdfforge Toolbar 2010-01-13 09:56 . 2009-09-06 09:48 76400 ----a-w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-23 15:18 . 2009-07-12 13:05 76400 ----a-w- c:\dokumente und einstellungen\David\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-18 09:35 . 2009-12-10 13:08 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Canon 2009-12-10 13:09 . 2009-12-10 13:09 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\ArcSoft 2009-12-10 13:04 . 2009-03-18 05:01 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-12-10 13:04 . 2009-12-10 13:04 -------- d-----w- c:\programme\ArcSoft 2009-12-09 07:21 . 2006-05-04 20:53 516122 ----a-w- c:\windows\system32\perfh007.dat 2009-12-09 07:21 . 2006-05-04 20:53 108050 ----a-w- c:\windows\system32\perfc007.dat 2009-12-01 15:58 . 2009-12-01 15:58 -------- d-----w- c:\programme\Alte Oldenburger 2009-11-26 16:24 . 2009-10-12 08:43 304 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\System\system.dll 2009-11-25 10:19 . 2009-03-18 08:57 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-22 13:38 . 2009-06-25 06:10 76400 ----a-w- c:\dokumente und einstellungen\Sonja\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-21 15:54 . 2006-02-28 02:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll 2009-11-18 18:00 . 2009-03-18 17:21 76400 ----a-w- c:\dokumente und einstellungen\Rudi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-04 14:29 . 2009-12-28 10:34 187166 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat 2009-11-04 14:29 . 2006-05-04 20:40 88207 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-10-29 07:41 . 2006-02-28 02:00 832512 ----a-w- c:\windows\system32\wininet.dll 2009-10-29 07:40 . 2006-02-28 02:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-10-29 07:40 . 2006-02-28 02:00 17408 ----a-w- c:\windows\system32\corpol.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}] 2009-05-04 14:32 650752 ----a-w- c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-05-04 650752] [HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-26 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-26 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-26 137752] "PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488] "SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824] "Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688] "Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856] "Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-03-30 970240] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2005-07-06 176128] "HPHUPD05"="c:\programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2005-07-06 49152] "HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 49152] "HPHmon05"="c:\windows\system32\hphmon05.exe" [2005-07-06 491520] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-08 305440] "Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Rudi\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-10-9 295606] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-22 734872] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\SMINST\\Scheduler.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4:TCP"= 4:TCP:Drucker FS1750 "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 47491582;47491582 Boot Guard Driver;c:\windows\system32\drivers\47491582.sys [28.12.2009 11:13 37392] R1 47491581;47491581;c:\windows\system32\drivers\47491581.sys [28.12.2009 11:13 128016] R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [20.10.2008 05:15 576024] S2 0180481251009339mcinstcleanup;McAfee Application Installer Cleanup (0180481251009339);c:\dokume~1\Rudi\LOKALE~1\Temp\018048~1.EXE c:\progra~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service --> c:\dokume~1\Rudi\LOKALE~1\Temp\018048~1.EXE c:\progra~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service [?] S3 utmwmji2;AVZ Kernel Driver;c:\windows\system32\drivers\utmwmji2.sys [28.12.2009 12:38 7168] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - avgio *Deregistered* - avipbb *Deregistered* - ssmdrv . Inhalt des "geplante Tasks" Ordners 2009-12-22 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2010-01-21 c:\windows\Tasks\HP Usg Daily.job - c:\programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2009-07-20 02:27] 2010-01-22 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-07-21 20:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = uInternet Settings,ProxyOverride = *.local IE: &AOL Toolbar-Suche - c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL\ieToolbar\resources\de-DE\local\search.html IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html FF - ProfilePath - c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Mozilla\Firefox\Profiles\jpxgcw0m.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.dab-bank.de/ FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - c:\programme\pdfforge Toolbar\SearchSettings.dll BHO-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - c:\programme\pdfforge Toolbar\SearchSettings.dll Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) HKCU-Run-Malware Defense - c:\programme\Malware Defense\mdefense.exe AddRemove-{D03E883E-ADD1-4293-8B3A-C39FFFEC1136}_is1 - j:\downloads\Steuerentlastungs-Rechner\unins000.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-22 10:06 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher] "ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(712) c:\windows\system32\igfxdev.dll . Zeit der Fertigstellung: 2010-01-22 10:07:38 ComboFix-quarantined-files.txt 2010-01-22 09:07 Vor Suchlauf: 12 Verzeichnis(se), 211.910.107.136 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 211.933.982.720 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - C517CA00664ED4F05640033A112D4DEC |
Hallo nochmal, habe nun nochmal Sypbot prüfen lassen. Immer noch diese Malware Defense Meldung in der Registrierungsdatenbank. Also hier das Script: Danke nochmals! Rudi Fraud.MalwareDefense: [SBI $9C1ABCA5] Autorun-Einstellungen (Malware Defense) (Registrierungsdatenbank-Wert, nothing done) HKEY_USERS\S-1-5-21-810312503-1251865010-1543739544-1009\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Defense --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) --- 2009-01-26 blindman.exe (1.0.0.8) 2009-01-26 SDFiles.exe (1.6.1.7) 2009-01-26 SDMain.exe (1.0.0.6) 2009-01-26 SDShred.exe (1.0.2.5) 2009-01-26 SDUpdate.exe (1.6.0.12) 2009-01-26 SpybotSD.exe (1.6.2.46) 2009-01-26 TeaTimer.exe (1.6.4.26) 2010-01-13 unins000.exe (51.49.0.0) 2009-01-26 Update.exe (1.6.0.7) 2009-01-26 advcheck.dll (1.6.2.15) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2009-01-26 SDHelper.dll (1.6.2.14) 2008-06-19 sqlite3.dll 2009-01-26 Tools.dll (2.1.6.10) 2009-01-16 UninsSrv.dll (1.0.0.0) 2009-10-08 Includes\Adware.sbi (*) 2010-01-12 Includes\AdwareC.sbi (*) 2009-01-22 Includes\Cookies.sbi (*) 2009-11-03 Includes\Dialer.sbi (*) 2010-01-12 Includes\DialerC.sbi (*) 2009-01-22 Includes\HeavyDuty.sbi (*) 2009-05-26 Includes\Hijackers.sbi (*) 2010-01-12 Includes\HijackersC.sbi (*) 2009-12-15 Includes\Keyloggers.sbi (*) 2010-01-12 Includes\KeyloggersC.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2009-12-30 Includes\Malware.sbi (*) 2010-01-12 Includes\MalwareC.sbi (*) 2009-03-25 Includes\PUPS.sbi (*) 2010-01-12 Includes\PUPSC.sbi (*) 2009-01-22 Includes\Revision.sbi (*) 2009-01-13 Includes\Security.sbi (*) 2010-01-12 Includes\SecurityC.sbi (*) 2008-06-03 Includes\Spybots.sbi (*) 2008-06-03 Includes\SpybotsC.sbi (*) 2009-11-03 Includes\Spyware.sbi (*) 2010-01-12 Includes\SpywareC.sbi (*) 2009-06-08 Includes\Tracks.uti 2009-12-08 Includes\Trojans.sbi (*) 2010-01-12 Includes\TrojansC.sbi (*) 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll |
Hi, erstelle auf dem Desktop eine Textdate mit der Endung reg wie folgt. Freien Platz auf dem Desktop mit rechter Mousetaste anklicken->neu->textdatei, Namen ändern in defenseweg.reg. Achte darauf das der Explorer so eingestellt ist, dass Du die Fileerweiterung sehen und umbenennen kannst! Auf das neu erstellte File mit rechter Mousetaste draufklicken, bearbeiten auswählen und folgenden Text (der aus der Box) reinkopieren: Code: REGEDIT4Spybot laufen lassen, wenn alles richtig war, sollte der Eintrag jetzt weg sein... Voraussetzung dabei ist, dass Du unter dem User angemeldet bist oder über Adminrechte verfügst... chris |
Hallo Chris, hat leider nicht geklappt. Habe die Datei unter sichern unter Desktop; soll die Datei ersetzt werden: Ja. Überschrieben. Aber Spybot findet sie immer noch! Jetzt ist es mir schon gewaltig peinlich, aber soll ich nochmal was probieren? Gruss, Rudi |
Hi, prüfe bei Virustotal bitte folgende Dateien: Dateien Online überprüfen lassen:
Code: c:\windows\system32\drivers\utmwmji2.sys
So, was genau hast du mit der Datei angestellt? Hat sie die Endung .reg? Wenn Du einen Doppelklick drauf machst, kommt dann die Frage ...mit Registry zusammenführen... und nach ja ... erfolgreich...? Vor dem Ausführen der Datei musst Du den Teatimer von Spybot ausschalten, der verhindert die Korrektur der Reg. Zweiter Versuch mit CF: ComboFix-Script Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior) kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!). Code: Registry::(Maustaste loslassen, nennt man "Drag-and-Drop";o). Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log! chris |
Hi Chris, war nun einige Zeit nicht in der Lage das zu verfolgen. Danke für Deine Geduld: Hier mein Ergebnis: Datei 47491582.sys empfangen 2010.02.03 14:11:24 (UTC) Status: Beendet Ergebnis: 0/39 (0%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.03 - AhnLab-V3 5.0.0.2 2010.02.03 - AntiVir 7.9.1.158 2010.02.03 - Antiy-AVL 2.0.3.7 2010.02.03 - Authentium 5.2.0.5 2010.02.03 - Avast 4.8.1351.0 2010.02.02 - AVG 9.0.0.730 2010.02.03 - BitDefender 7.2 2010.02.03 - CAT-QuickHeal 10.00 2010.02.03 - ClamAV 0.96.0.0-git 2010.02.03 - Comodo 3806 2010.02.03 - DrWeb 5.0.1.12222 2010.02.03 - eSafe 7.0.17.0 2010.02.03 - eTrust-Vet 35.2.7278 2010.02.03 - F-Prot 4.5.1.85 2010.02.03 - F-Secure 9.0.15370.0 2010.02.03 - Fortinet 4.0.14.0 2010.02.03 - GData 19 2010.02.03 - Ikarus T3.1.1.80.0 2010.02.03 - Jiangmin 13.0.900 2010.02.03 - K7AntiVirus 7.10.966 2010.02.03 - Kaspersky 7.0.0.125 2010.02.03 - McAfee 5880 2010.02.02 - McAfee+Artemis 5880 2010.02.02 - McAfee-GW-Edition 6.8.5 2010.02.03 - Microsoft 1.5406 2010.02.03 - NOD32 4831 2010.02.03 - Norman 6.04.03 2010.02.03 - nProtect 2009.1.8.0 2010.02.03 - Panda 10.0.2.2 2010.02.02 - PCTools 7.0.3.5 2010.02.03 - Rising 22.33.02.04 2010.02.03 - Sophos 4.50.0 2010.02.03 - Sunbelt 3.2.1858.2 2010.02.03 - TheHacker 6.5.1.0.178 2010.02.03 - TrendMicro 9.120.0.1004 2010.02.03 - VBA32 3.12.12.1 2010.02.03 - ViRobot 2010.2.3.2170 2010.02.03 - VirusBuster 5.0.21.0 2010.02.03 - weitere Informationen File size: 37392 bytes MD5...: a305fad3719c5db0c13d1c2bfd08a04d SHA1..: cd7300ae608db1ca6583736b9648cf36b476f832 SHA256: a3f8d9139142391d5f68aeb75a501243852a487f084f5aa75c03eb173d2b8935 ssdeep: 768:M+hdvdtdNZnYvFOzz2o7fSgLa1TvanHWp66enLvbYCSm02:M+hdvdtdN1rz6 qnLagDN/YeR PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x3ca0 timedatestamp.....: 0x4ae02bb3 (Thu Oct 22 09:53:55 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x427e 0x4400 6.30 b2a5eb356209d15285e1808b9629411c .rdata 0x6000 0x150c 0x1600 7.38 945af6e04dbf86c095c1755f343392a8 .data 0x8000 0x198 0x200 1.76 38b21fbea339d3c01709e6603a4baa5c PAGECODE 0x9000 0x2eb 0x400 5.07 d6e2cfe49628330b8479e665ce2a9c2a INIT 0xa000 0x650 0x800 4.61 f1d93e70472651a3da107c37db60f3a4 .rsrc 0xb000 0x418 0x600 2.48 7907b082561e0fcf5edc2821a6ea5738 .reloc 0xc000 0x422 0x600 4.20 70b278bb5403516ecc43165f821d09c7 ( 2 imports ) > ntoskrnl.exe: MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, memset, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, memcpy, ExFreePoolWithTag, ExAllocatePoolWithTag, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, ZwClose, ZwSetValueKey, ZwDeleteValueKey, ZwEnumerateValueKey, ZwOpenKey, ExInitializeResourceLite, MmIsAddressValid, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, ZwSetInformationFile, ZwQueryInformationFile, IoCreateFile, ZwWriteFile, ZwReadFile, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwNotifyChangeKey, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoDeleteDevice, IoRegisterBootDriverReinitialization, RtlCopyUnicodeString, InitSafeBootMode, ZwCreateKey, ZwEnumerateKey, ExAllocatePool, ZwDeleteKey, wcschr, MmUnlockPages, PsGetCurrentThreadId, IoFreeMdl, DbgPrint, RtlAnsiCharToUnicodeChar, KeBugCheckEx > HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel ( 0 exports ) RDS...: NSRL Reference Data Set - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) pdfid.: - sigcheck: publisher....: Kaspersky Lab copyright....: Copyright (c) Kaspersky Lab 1997-2009. product......: Kaspersky Anti-Virus description..: Kaspersky Lab Boot Guard Driver original name: KLBG.SYS internal name: KLBG file version.: 9.1.0.0 comments.....: n/a signers......: Kaspersky Lab VeriSign Class 3 Code Signing 2004 CA Class 3 Public Primary Certification Authority signing date.: 10:54 AM 10/22/2009 verified.....: - Datei 47491581.sys empfangen 2010.02.03 14:14:35 (UTC) Status: Beendet Ergebnis: 0/40 (0%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.03 - AhnLab-V3 5.0.0.2 2010.02.03 - AntiVir 7.9.1.158 2010.02.03 - Antiy-AVL 2.0.3.7 2010.02.03 - Authentium 5.2.0.5 2010.02.03 - Avast 4.8.1351.0 2010.02.02 - AVG 9.0.0.730 2010.02.03 - BitDefender 7.2 2010.02.03 - CAT-QuickHeal 10.00 2010.02.03 - ClamAV 0.96.0.0-git 2010.02.03 - Comodo 3806 2010.02.03 - DrWeb 5.0.1.12222 2010.02.03 - eSafe 7.0.17.0 2010.02.03 - eTrust-Vet 35.2.7278 2010.02.03 - F-Prot 4.5.1.85 2010.02.03 - F-Secure 9.0.15370.0 2010.02.03 - Fortinet 4.0.14.0 2010.02.03 - GData 19 2010.02.03 - Ikarus T3.1.1.80.0 2010.02.03 - Jiangmin 13.0.900 2010.02.03 - K7AntiVirus 7.10.966 2010.02.03 - Kaspersky 7.0.0.125 2010.02.03 - McAfee 5880 2010.02.02 - McAfee+Artemis 5880 2010.02.02 - McAfee-GW-Edition 6.8.5 2010.02.03 - Microsoft 1.5406 2010.02.03 - NOD32 4831 2010.02.03 - Norman 6.04.03 2010.02.03 - nProtect 2009.1.8.0 2010.02.03 - Panda 10.0.2.2 2010.02.02 - PCTools 7.0.3.5 2010.02.03 - Prevx 3.0 2010.02.03 - Rising 22.33.02.04 2010.02.03 - Sophos 4.50.0 2010.02.03 - Sunbelt 3.2.1858.2 2010.02.03 - TheHacker 6.5.1.0.178 2010.02.03 - TrendMicro 9.120.0.1004 2010.02.03 - VBA32 3.12.12.1 2010.02.03 - ViRobot 2010.2.3.2170 2010.02.03 - VirusBuster 5.0.21.0 2010.02.03 - weitere Informationen File size: 128016 bytes MD5...: 7dd41b7ac1fbb1dbf20bb1f4e4fbe58c SHA1..: c763c52f8b0dbb6594f1a81246ae2c27c6f74557 SHA256: 16b77fb533986ca6119f1307e52a4d0b863043c3fee572df20c0bc0115cf68d8 ssdeep: 1536:3BJVx78OeKLiS554lvz1VMjRIRorRe2VCQPBiGclS4NcPr/Yeb:rvKXbb1V MjK+FCQJiGclU/ PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2ca0 timedatestamp.....: 0x4abccca4 (Fri Sep 25 13:59:00 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x16bbc 0x16c00 6.38 dddd74c8397a2d3a2410411853fa4365 .4lulz 0x18000 0x500000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .data 0x518000 0x2f24 0x3000 2.63 60022989bbf1decad14950fd83d3c909 INIT 0x51b000 0x54a 0x600 5.02 f3397d902be76b809d0b71b529972541 .rsrc 0x51c000 0x408 0x600 2.45 6d0ccd8942a830bc9662b2b4239c83d4 .reloc 0x51d000 0x2d24 0x2e00 1.47 48dc37f0b67e704793035f5299350824 ( 3 imports ) > ntoskrnl.exe: swprintf, sprintf, ZwQueryInformationFile, ExFreePool, ExAllocatePoolWithTag, memset, ZwClose, ZwReadFile, memcpy, strncmp, KeWaitForSingleObject, ObfDereferenceObject, ObReferenceObjectByHandle, PsCreateSystemThread, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwEnumerateValueKey, ZwOpenKey, wcsstr, RtlEqualUnicodeString, RtlCopyUnicodeString, KeReleaseMutex, PsSetLoadImageNotifyRoutine, KeInitializeMutex, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, _except_handler3, ZwQueryValueKey, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlPrefixUnicodeString, _stricmp, strchr, ZwQuerySystemInformation, IoAllocateIrp, _strnicmp, IoGetRelatedDeviceObject, KeInitializeSpinLock, InterlockedIncrement, InterlockedDecrement, ZwCreateFile, DbgPrint, IofCompleteRequest, PsGetVersion, wcschr, rand, srand, memmove > HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock > TDI.SYS: TdiMapUserRequest ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win64 Executable Generic (95.5%) Generic Win/DOS Executable (2.2%) DOS Executable Generic (2.2%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: - Datei 4749158.sys empfangen 2010.02.03 14:16:27 (UTC) Status: Beendet Ergebnis: 0/40 (0%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.03 - AhnLab-V3 5.0.0.2 2010.02.03 - AntiVir 7.9.1.158 2010.02.03 - Antiy-AVL 2.0.3.7 2010.02.03 - Authentium 5.2.0.5 2010.02.03 - Avast 4.8.1351.0 2010.02.02 - AVG 9.0.0.730 2010.02.03 - BitDefender 7.2 2010.02.03 - CAT-QuickHeal 10.00 2010.02.03 - ClamAV 0.96.0.0-git 2010.02.03 - Comodo 3806 2010.02.03 - DrWeb 5.0.1.12222 2010.02.03 - eSafe 7.0.17.0 2010.02.03 - eTrust-Vet 35.2.7278 2010.02.03 - F-Prot 4.5.1.85 2010.02.03 - F-Secure 9.0.15370.0 2010.02.03 - Fortinet 4.0.14.0 2010.02.03 - GData 19 2010.02.03 - Ikarus T3.1.1.80.0 2010.02.03 - Jiangmin 13.0.900 2010.02.03 - K7AntiVirus 7.10.966 2010.02.03 - Kaspersky 7.0.0.125 2010.02.03 - McAfee 5880 2010.02.02 - McAfee+Artemis 5880 2010.02.02 - McAfee-GW-Edition 6.8.5 2010.02.03 - Microsoft 1.5406 2010.02.03 - NOD32 4831 2010.02.03 - Norman 6.04.03 2010.02.03 - nProtect 2009.1.8.0 2010.02.03 - Panda 10.0.2.2 2010.02.02 - PCTools 7.0.3.5 2010.02.03 - Prevx 3.0 2010.02.03 - Rising 22.33.02.04 2010.02.03 - Sophos 4.50.0 2010.02.03 - Sunbelt 3.2.1858.2 2010.02.03 - TheHacker 6.5.1.0.178 2010.02.03 - TrendMicro 9.120.0.1004 2010.02.03 - VBA32 3.12.12.1 2010.02.03 - ViRobot 2010.2.3.2170 2010.02.03 - VirusBuster 5.0.21.0 2010.02.03 - weitere Informationen File size: 315408 bytes MD5...: 66ef49622baa18e4d4f1fe4bae1d51b8 SHA1..: 0c2651ff9f5661ae124408c457f6c8ac20f0c9cb SHA256: d30daffafc29919c891c8952fc27890d735e4368c706ef452aa86b8b05cd7884 ssdeep: 6144:dtSiy0lFHPMXyNyNw71VtA4lEs7w92+L/6yeR6aPqmKw7h:dtSLxysNE1Vj w92+muaCmFh PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x47f74 timedatestamp.....: 0x4acf8e96 (Fri Oct 09 19:27:18 2009) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x35cfa 0x35e00 6.47 9a7eefd58ad95fe8d5b70c60d7dbfab8 .rdata 0x37000 0x1b0c 0x1c00 4.33 73b61928f8e12f4f916480bda327c099 .data 0x39000 0x2f28 0x1200 4.57 8350b3b3633ca9115c344945a45b982f PAGE 0x3c000 0x7fb2 0x8000 6.40 bb40a61b814b4557d8c39edee6f0aac9 PAGEDATA 0x44000 0x7c 0x200 1.63 6bd37e74ff04ea7dd3acc28377576bd0 INIT 0x45000 0x5cba 0x5e00 6.23 2b080f8d8901d746417a5bf231350b7a .rsrc 0x4b000 0x390 0x400 3.09 eb200494a33d110578b627973a75f667 .reloc 0x4c000 0x4074 0x4200 6.51 adb7d789269c15c154718ccba5b0ad66 ( 3 imports ) > ntoskrnl.exe: IoQueueWorkItem, IoAllocateWorkItem, ZwOpenProcess, MmHighestUserAddress, RtlEqualUnicodeString, RtlEnumerateGenericTableWithoutSplayingAvl, _vsnwprintf, ZwEnumerateKey, ZwSetValueKey, ZwCreateFile, ZwDeleteKey, RtlIntegerToUnicodeString, ZwCreateKey, RtlUnicodeStringToInteger, FsRtlCheckLockForReadAccess, IoIsOperationSynchronous, KeClearEvent, ZwFlushVirtualMemory, RtlHashUnicodeString, KeSetPriorityThread, KeUnstackDetachProcess, ZwUnmapViewOfSection, ZwMapViewOfSection, KeStackAttachProcess, ZwCreateSection, MmUnsecureVirtualMemory, ExReInitializeRundownProtection, ObfReferenceObject, MmSecureVirtualMemory, IoUnregisterPlugPlayNotification, IoGetDeviceObjectPointer, IoRegisterPlugPlayNotification, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoDeviceObjectType, IoBuildSynchronousFsdRequest, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, ExGetPreviousMode, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, KeQueryInterruptTime, _stricmp, ZwQuerySystemInformation, KeDelayExecutionThread, strncmp, ZwQueryInformationProcess, KeServiceDescriptorTable, KeAddSystemServiceTable, PsLookupProcessByProcessId, IoGetBaseFileSystemDeviceObject, ZwOpenFile, ObQueryNameString, ObOpenObjectByName, strncpy, IoAllocateIrp, IoGetStackLimits, ObReferenceObjectByPointer, SeQueryAuthenticationIdToken, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, SeQueryInformationToken, PsReferenceImpersonationToken, PsReferencePrimaryToken, PsIsThreadTerminating, PsThreadType, PsProcessType, _allrem, MmUserProbeAddress, CmRegisterCallback, CmUnRegisterCallback, RtlGetVersion, PsGetVersion, ZwDeleteValueKey, ZwEnumerateValueKey, _allshl, InterlockedIncrement, InterlockedDecrement, InterlockedExchangeAdd, PsGetProcessId, IoThreadToProcess, PsLookupThreadByThreadId, ZwTerminateProcess, ProbeForRead, SeExports, NtBuildNumber, ZwQuerySection, RtlNumberGenericTableElementsAvl, swprintf, IoGetAttachedDeviceReference, PsRemoveCreateThreadNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, RtlSetDaclSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ProbeForWrite, ZwSetInformationObject, ZwQueryObject, KeGetRecommendedSharedDataAlignment, KeNumberProcessors, KeInsertQueueApc, KeInitializeApc, IoIsSystemThread, NtQueryInformationProcess, RtlNtStatusToDosError, RtlAnsiStringToUnicodeString, ZwAllocateVirtualMemory, ZwFreeVirtualMemory, KeQueryTimeIncrement, KeTickCount, NtQueryInformationAtom, KeBugCheckEx, _allmul, _alldiv, KeWaitForMultipleObjects, IoGetRelatedDeviceObject, ObOpenObjectByPointer, IoFreeWorkItem, KeSetEvent, ExRundownCompleted, KeGetCurrentThread, ExInitializeRundownProtection, RtlUpcaseUnicodeChar, RtlUpperChar, PsCreateSystemThread, PsTerminateSystemThread, ExWaitForRundownProtectionRelease, ExReleaseRundownProtection, ExAcquireRundownProtection, KeInitializeEvent, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, ZwOpenKey, ZwQueryValueKey, ZwClose, IoDriverObjectType, ObReferenceObjectByName, RtlLengthSid, MmIsAddressValid, RtlGetElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableAvl, RtlUpcaseUnicodeString, InitSafeBootMode, IoGetCurrentProcess, PsInitialSystemProcess, MmMapLockedPagesSpecifyCache, memmove, IoGetTopLevelIrp, RtlInitializeSid, RtlSubAuthoritySid, _wcsnicmp, PsGetThreadId, PsGetCurrentThreadId, FsRtlIsNameInExpression, KeQuerySystemTime, PsGetCurrentProcessId, IoFileObjectType, ObReferenceObjectByHandle, ObfDereferenceObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, RtlAppendUnicodeToString, RtlInitializeGenericTableAvl, RtlInsertElementGenericTableAvl, RtlImageNtHeader, ExDeletePagedLookasideList, ExDeleteNPagedLookasideList, ExInitializePagedLookasideList, ExInitializeNPagedLookasideList, RtlCompareUnicodeString, IofCompleteRequest, IofCallDriver, IoWMIRegistrationControl, RtlCompareMemory, RtlInitUnicodeString, MmGetSystemRoutineAddress, memset, memcpy, IoWMIWriteEvent, ExFreePoolWithTag, ExAllocatePoolWithTag, InterlockedPushEntrySList, SeReleaseSubjectContext, InterlockedPopEntrySList, RtlUnwind > HAL.dll: KfLowerIrql, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeQueryPerformanceCounter, KeGetCurrentIrql, KfRaiseIrql > FLTMGR.SYS: FltWriteFile, FltGetRequestorProcess, FltGetFileNameInformation, FltParseFileNameInformation, FltIsDirectory, FltSetStreamContext, FltEnumerateVolumeInformation, FltGetStreamHandleContext, FltGetStreamContext, FltCreateSystemVolumeInformationFolder, FltSetInformationFile, FltGetVolumeContext, FltGetVolumeGuidName, FltEnumerateVolumes, FltReleaseFileNameInformation, FltGetFileNameInformationUnsafe, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltAllocateCallbackData, FltLockUserBuffer, FltFreeCallbackData, FltPerformSynchronousIo, FltFreeGenericWorkItem, FltRegisterFilter, FltStartFiltering, FltGetDestinationFileNameInformation, FltGetContexts, FltSetStreamHandleContext, FltCancelFileOpen, FltFlushBuffers, FltSetCallbackDataDirty, FltGetRequestorProcessId, FltGetInstanceContext, FltGetVolumeProperties, FltAllocateContext, FltReleaseContext, FltQueryVolumeInformation, FltGetDiskDeviceObject, FltSetInstanceContext, FltAllocateGenericWorkItem, FltQueueGenericWorkItem, FltSetVolumeContext, FltObjectReference, FltGetVolumeName, FltCreateFile, FltGetVolumeFromFileObject, FltClose, FltUnregisterFilter, FltInitializePushLock, FltReferenceFileNameInformation, FltAcquirePushLockShared, FltDeletePushLock, FltAcquirePushLockExclusive, FltReleasePushLock, FltObjectDereference, FltReleaseContexts, FltQueryInformationFile ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: Kaspersky Lab copyright....: Copyright (c) Kaspersky Lab 1996-2009. product......: Kaspersky_ Anti-Virus _ description..: Klif Mini-Filter _fre_wnet_x86_ original name: KLIF internal name: KLIF file version.: 8.4.0.101 built by: WinDDK comments.....: n/a signers......: Kaspersky Lab VeriSign Class 3 Code Signing 2004 CA Class 3 Public Primary Certification Authority signing date.: 8:31 PM 10/9/2009 verified.....: - pdfid.: - trid..: Win64 Executable Generic (87.2%) Win32 Executable Generic (8.6%) Generic Win/DOS Executable (2.0%) DOS Executable Generic (2.0%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Datei utmwmji2.sys empfangen 2010.02.03 14:17:58 (UTC) Status: Beendet Ergebnis: 21/40 (52.5%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.02.03 Trojan.Win32.Bagle!IK AhnLab-V3 5.0.0.2 2010.02.03 - AntiVir 7.9.1.158 2010.02.03 - Antiy-AVL 2.0.3.7 2010.02.03 - Authentium 5.2.0.5 2010.02.03 W32/Bagle.IJ Avast 4.8.1351.0 2010.02.02 - AVG 9.0.0.730 2010.02.03 - BitDefender 7.2 2010.02.03 - CAT-QuickHeal 10.00 2010.02.03 - ClamAV 0.96.0.0-git 2010.02.03 Trojan.Agent-66914 Comodo 3806 2010.02.03 - DrWeb 5.0.1.12222 2010.02.03 - eSafe 7.0.17.0 2010.02.03 Win32.Bagle.RC.worm eTrust-Vet 35.2.7278 2010.02.03 Win32/Bagle.FN F-Prot 4.5.1.85 2010.02.03 W32/Bagle.IJ F-Secure 9.0.15370.0 2010.02.03 Rootkit:W32/Bagle.SR Fortinet 4.0.14.0 2010.02.03 W32/Bagle.ZNG!worm GData 19 2010.02.03 - Ikarus T3.1.1.80.0 2010.02.03 Trojan.Win32.Bagle Jiangmin 13.0.900 2010.02.03 Trojan/Agent.cmdf K7AntiVirus 7.10.966 2010.02.03 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2010.02.03 - McAfee 5880 2010.02.02 - McAfee+Artemis 5880 2010.02.02 - McAfee-GW-Edition 6.8.5 2010.02.03 - Microsoft 1.5406 2010.02.03 - NOD32 4831 2010.02.03 - Norman 6.04.03 2010.02.03 W32/Bagle.GEX nProtect 2009.1.8.0 2010.02.03 Worm/W32.Bagle.7168 Panda 10.0.2.2 2010.02.02 Rootkit/Bagle.UV PCTools 7.0.3.5 2010.02.03 Trojan-Downloader.Bagle Prevx 3.0 2010.02.03 Medium Risk Malware Rising 22.33.02.04 2010.02.03 Trojan.Win32.Generic.51E920C9 Sophos 4.50.0 2010.02.03 Troj/Rootkit-FP Sunbelt 3.2.1858.2 2010.02.03 Trojan.Win32.Generic!BT TheHacker 6.5.1.0.178 2010.02.03 Trojan/Rootkit.gen TrendMicro 9.120.0.1004 2010.02.03 - VBA32 3.12.12.1 2010.02.03 - ViRobot 2010.2.3.2170 2010.02.03 Trojan.Win32.Bagle.7168 VirusBuster 5.0.21.0 2010.02.03 - weitere Informationen File size: 7168 bytes MD5...: 524d8d450622db4a7875b111c299a76b SHA1..: fe22db1e0b864e77baeca5520c05c42431784fd8 SHA256: 7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237 ssdeep: 96:wQQovxXZHQ7SioGfU2zSVeUvaUOPLNI8n1Sw1xJj0o:w+PQ/oV2z2eaaUOW8R I PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1990 timedatestamp.....: 0x4788d40f (Sat Jan 12 14:51:59 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x9d4 0xa00 5.78 b65e29f81689fbde8b3d49891e4011de .rdata 0x2000 0x144 0x200 2.93 4c5e3a3a7d9a4ad57704be677563d7ca .data 0x3000 0x20 0x200 0.26 4f4f5306b935a3d853c02c6c206aa506 INIT 0x4000 0x292 0x400 3.74 a077364ef66a2ed1ad88d7557f37474a .rsrc 0x5000 0x300 0x400 2.56 85021f99de084aa59772f678fd7aaf3a .reloc 0x6000 0x106 0x200 2.65 173202905f3e2cfaecaf72eb73fd3c1c ( 2 imports ) > ntoskrnl.exe: MmIsAddressValid, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, ObfDereferenceObject, ObReferenceObjectByName, MmUnlockPages, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoFreeMdl, IoDriverObjectType, IofCompleteRequest > HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel ( 0 exports ) RDS...: NSRL Reference Data Set - ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=524d8d450622db4a7875b111c299a76b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=524d8d450622db4a7875b111c299a76b</a> sigcheck: publisher....: n/a copyright....: Zaitsev Oleg, Copyright (C) 2004-2006 product......: AVZ Driver description..: AVZ Driver original name: avz.sys internal name: avz.sys file version.: 1, 2, 0, 0 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=16590770003B863E1CA000B5C14F3D00CCFB2D16' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=16590770003B863E1CA000B5C14F3D00CCFB2D16</a> pdfid.: - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) In der letzten Datei ist scheinbar was faul. Ansonsten bekam ich das Ergebnis, dass die Dateien schon geprüft waren. Deine nächsten Anweisungen führe ich als nächstes aus! Puuuuh! Vergiss Deine Kontonummer nicht: Rudolf.kerschl@arcor.de Gruß Rudi |
Hier das Combofix-Ergebnis: Wie geht es jetzt weiter? Ist alles okay? ComboFix 10-02-02.08 - Rudi 03.02.2010 15:36:21.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.550 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Rudi\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Rudi\Desktop\CFScript.txt FILE :: "c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll" "c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll c:\programme\pdfforge Toolbar c:\programme\pdfforge Toolbar\config.ini c:\programme\pdfforge Toolbar\Res\icon_settings.gif c:\programme\pdfforge Toolbar\Res\pdfc_branding.gif c:\programme\pdfforge Toolbar\Res\pdfc_branding_hover.gif c:\programme\pdfforge Toolbar\Res\pdfc_icon.gif c:\programme\pdfforge Toolbar\Res\pdfc_portal_logo.gif c:\programme\pdfforge Toolbar\Res\search-button-hover.gif c:\programme\pdfforge Toolbar\Res\search-button.gif c:\programme\pdfforge Toolbar\Res\search-chevron-hover.gif c:\programme\pdfforge Toolbar\Res\search-chevron.gif c:\programme\pdfforge Toolbar\Res\search_amazon.gif c:\programme\pdfforge Toolbar\Res\search_ebay.gif c:\programme\pdfforge Toolbar\Res\search_yahoo.gif c:\programme\pdfforge Toolbar\Res\separator.gif c:\programme\pdfforge Toolbar\Res\widgets.xml c:\programme\pdfforge Toolbar\SearchSettings.exe c:\programme\pdfforge Toolbar\SearchSettingsRes409.dll c:\programme\pdfforge Toolbar\sscfg.ini c:\programme\pdfforge Toolbar\WidgiHelper.exe c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll . ((((((((((((((((((((((( Dateien erstellt von 2010-01-03 bis 2010-02-03 )))))))))))))))))))))))))))))) . 2010-01-21 11:53 . 2010-01-21 11:53 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Malwarebytes 2010-01-21 11:53 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-21 11:53 . 2010-01-21 11:53 -------- d-----w- c:\programme\Test.ex 2010-01-21 11:53 . 2010-01-21 11:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-21 11:53 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-20 10:30 . 2010-01-21 18:55 -------- d-----w- c:\programme\trend micro 2010-01-20 10:30 . 2010-01-20 10:30 -------- d-----w- C:\rsit 2010-01-19 13:54 . 2010-01-19 13:54 -------- d-----w- c:\dokumente und einstellungen\Rudi\Lokale Einstellungen\Anwendungsdaten\Threat Expert 2010-01-19 13:44 . 2010-01-19 17:24 -------- d-----w- c:\programme\Spyware Doctor 2010-01-19 13:19 . 2010-01-19 13:19 -------- d-----w- c:\programme\Enigma Software Group 2010-01-13 16:25 . 2010-01-19 17:22 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-01-13 13:56 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-01-13 13:54 . 2010-02-03 14:29 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-01-13 13:54 . 2010-02-03 14:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-13 13:41 . 2010-01-13 13:41 -------- d-----w- c:\programme\AVG 2010-01-13 09:57 . 2010-01-13 09:57 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Adobe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-13 13:42 . 2010-01-03 12:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9 2010-01-13 09:56 . 2009-09-06 09:48 76400 ----a-w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-05 09:52 . 2006-02-28 02:00 832512 ----a-w- c:\windows\system32\wininet.dll 2010-01-05 09:52 . 2006-02-28 02:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-01-05 09:52 . 2006-02-28 02:00 17408 ----a-w- c:\windows\system32\corpol.dll 2010-01-02 11:55 . 2010-01-02 11:54 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\GoodSync 2009-12-28 11:38 . 2009-12-28 11:38 7168 ----a-w- c:\windows\system32\drivers\utmwmji2.sys 2009-12-24 10:20 . 2009-12-24 10:14 -------- d-----w- c:\dokumente und einstellungen\David\Anwendungsdaten\Canon 2009-12-23 15:18 . 2009-07-12 13:05 76400 ----a-w- c:\dokumente und einstellungen\David\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-18 09:35 . 2009-12-10 13:08 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Canon 2009-12-10 13:09 . 2009-12-10 13:09 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\ArcSoft 2009-12-10 13:04 . 2009-03-18 05:01 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-12-10 13:04 . 2009-12-10 13:04 -------- d-----w- c:\programme\ArcSoft 2009-12-09 07:21 . 2006-05-04 20:53 516122 ----a-w- c:\windows\system32\perfh007.dat 2009-12-09 07:21 . 2006-05-04 20:53 108050 ----a-w- c:\windows\system32\perfc007.dat 2009-11-26 16:24 . 2009-10-12 08:43 304 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\System\system.dll 2009-11-25 10:19 . 2009-03-18 08:57 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-22 13:38 . 2009-06-25 06:10 76400 ----a-w- c:\dokumente und einstellungen\Sonja\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-21 15:54 . 2006-02-28 02:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll 2009-11-18 18:00 . 2009-03-18 17:21 76400 ----a-w- c:\dokumente und einstellungen\Rudi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( SnapShot@2010-01-22_09.06.43 ))))))))))))))))))))))))))))))))))))))))) . + 2006-02-28 02:00 . 2010-01-05 09:52 44544 c:\windows\system32\pngfilt.dll - 2006-02-28 02:00 . 2009-10-29 07:41 44544 c:\windows\system32\pngfilt.dll + 2007-08-13 17:54 . 2010-01-05 09:52 52224 c:\windows\system32\msfeedsbs.dll - 2007-08-13 17:54 . 2009-10-29 07:40 52224 c:\windows\system32\msfeedsbs.dll + 2006-02-28 02:00 . 2010-01-05 09:52 27648 c:\windows\system32\jsproxy.dll - 2006-02-28 02:00 . 2009-10-29 07:40 27648 c:\windows\system32\jsproxy.dll + 2007-08-13 17:39 . 2009-12-31 15:32 13824 c:\windows\system32\ieudinit.exe - 2007-08-13 17:39 . 2009-10-28 14:35 13824 c:\windows\system32\ieudinit.exe - 2006-02-28 02:00 . 2009-10-29 07:40 44544 c:\windows\system32\iernonce.dll + 2006-02-28 02:00 . 2010-01-05 09:52 44544 c:\windows\system32\iernonce.dll - 2006-02-28 02:00 . 2009-10-28 14:35 70656 c:\windows\system32\ie4uinit.exe + 2006-02-28 02:00 . 2009-12-31 15:32 70656 c:\windows\system32\ie4uinit.exe + 2007-08-13 17:36 . 2010-01-05 09:52 63488 c:\windows\system32\icardie.dll - 2007-08-13 17:36 . 2009-10-29 07:40 63488 c:\windows\system32\icardie.dll + 2007-08-13 17:36 . 2010-01-05 09:52 44544 c:\windows\system32\dllcache\pngfilt.dll - 2007-08-13 17:36 . 2009-10-29 07:41 44544 c:\windows\system32\dllcache\pngfilt.dll + 2009-11-14 11:10 . 2010-01-05 09:52 52224 c:\windows\system32\dllcache\msfeedsbs.dll - 2009-11-14 11:10 . 2009-10-29 07:40 52224 c:\windows\system32\dllcache\msfeedsbs.dll - 2007-08-13 17:54 . 2009-10-29 07:40 27648 c:\windows\system32\dllcache\jsproxy.dll + 2007-08-13 17:54 . 2010-01-05 09:52 27648 c:\windows\system32\dllcache\jsproxy.dll - 2009-11-14 11:10 . 2009-10-28 14:35 13824 c:\windows\system32\dllcache\ieudinit.exe + 2009-11-14 11:10 . 2009-12-31 15:32 13824 c:\windows\system32\dllcache\ieudinit.exe - 2007-08-13 17:39 . 2009-10-29 07:40 44544 c:\windows\system32\dllcache\iernonce.dll + 2007-08-13 17:39 . 2010-01-05 09:52 44544 c:\windows\system32\dllcache\iernonce.dll - 2009-07-09 07:09 . 2009-10-29 07:40 78336 c:\windows\system32\dllcache\ieencode.dll + 2009-07-09 07:09 . 2010-01-05 09:52 78336 c:\windows\system32\dllcache\ieencode.dll - 2007-08-13 17:39 . 2009-10-28 14:35 70656 c:\windows\system32\dllcache\ie4uinit.exe + 2007-08-13 17:39 . 2009-12-31 15:32 70656 c:\windows\system32\dllcache\ie4uinit.exe - 2009-11-14 11:10 . 2009-10-29 07:40 63488 c:\windows\system32\dllcache\icardie.dll + 2009-11-14 11:10 . 2010-01-05 09:52 63488 c:\windows\system32\dllcache\icardie.dll + 2007-08-13 17:42 . 2010-01-05 09:52 17408 c:\windows\system32\dllcache\corpol.dll - 2007-08-13 17:42 . 2009-10-29 07:40 17408 c:\windows\system32\dllcache\corpol.dll + 2010-01-22 10:06 . 2009-10-29 07:41 44544 c:\windows\ie7updates\KB978207-IE7\pngfilt.dll + 2010-01-22 10:06 . 2009-10-29 07:40 52224 c:\windows\ie7updates\KB978207-IE7\msfeedsbs.dll + 2010-01-22 10:06 . 2009-10-29 07:40 27648 c:\windows\ie7updates\KB978207-IE7\jsproxy.dll + 2010-01-22 10:06 . 2009-10-28 14:35 13824 c:\windows\ie7updates\KB978207-IE7\ieudinit.exe + 2010-01-22 10:06 . 2009-10-29 07:40 44544 c:\windows\ie7updates\KB978207-IE7\iernonce.dll + 2010-01-22 10:06 . 2009-10-29 07:40 78336 c:\windows\ie7updates\KB978207-IE7\ieencode.dll + 2010-01-22 10:06 . 2009-10-28 14:35 70656 c:\windows\ie7updates\KB978207-IE7\ie4uinit.exe + 2010-01-22 10:06 . 2009-10-29 07:40 63488 c:\windows\ie7updates\KB978207-IE7\icardie.dll + 2010-01-22 10:06 . 2009-10-29 07:40 17408 c:\windows\ie7updates\KB978207-IE7\corpol.dll + 2006-02-28 02:00 . 2010-01-05 09:52 233472 c:\windows\system32\webcheck.dll - 2006-02-28 02:00 . 2009-10-29 07:41 233472 c:\windows\system32\webcheck.dll + 2006-02-28 02:00 . 2010-01-05 09:52 105984 c:\windows\system32\url.dll - 2006-02-28 02:00 . 2009-10-29 07:41 105984 c:\windows\system32\url.dll - 2006-02-28 02:00 . 2009-10-29 07:41 102912 c:\windows\system32\occache.dll + 2006-02-28 02:00 . 2010-01-05 09:52 102912 c:\windows\system32\occache.dll - 2006-02-28 02:00 . 2009-10-29 07:41 671232 c:\windows\system32\mstime.dll + 2006-02-28 02:00 . 2010-01-05 09:52 671232 c:\windows\system32\mstime.dll + 2006-02-28 02:00 . 2010-01-05 09:52 193024 c:\windows\system32\msrating.dll - 2006-02-28 02:00 . 2009-10-29 07:41 193024 c:\windows\system32\msrating.dll - 2006-02-28 02:00 . 2009-10-29 07:41 477696 c:\windows\system32\mshtmled.dll + 2006-02-28 02:00 . 2010-01-05 09:52 477696 c:\windows\system32\mshtmled.dll + 2007-08-13 17:54 . 2010-01-05 09:52 459264 c:\windows\system32\msfeeds.dll - 2007-08-13 17:54 . 2009-10-29 07:40 459264 c:\windows\system32\msfeeds.dll + 2007-08-13 17:34 . 2010-01-05 09:52 268288 c:\windows\system32\iertutil.dll - 2007-08-13 17:34 . 2009-10-29 07:40 268288 c:\windows\system32\iertutil.dll + 2006-02-28 02:00 . 2010-01-05 09:52 192512 c:\windows\system32\iepeers.dll + 2006-02-28 02:00 . 2010-01-05 09:52 385024 c:\windows\system32\iedkcs32.dll - 2006-02-28 02:00 . 2009-10-29 07:40 385024 c:\windows\system32\iedkcs32.dll + 2007-07-11 11:27 . 2010-01-05 09:52 380928 c:\windows\system32\ieapfltr.dll - 2007-07-11 11:27 . 2009-10-29 07:40 380928 c:\windows\system32\ieapfltr.dll + 2006-02-28 02:00 . 2009-12-18 13:04 161792 c:\windows\system32\ieakui.dll - 2006-02-28 02:00 . 2009-10-28 06:52 161792 c:\windows\system32\ieakui.dll - 2006-02-28 02:00 . 2009-10-29 07:40 230400 c:\windows\system32\ieaksie.dll + 2006-02-28 02:00 . 2010-01-05 09:52 230400 c:\windows\system32\ieaksie.dll - 2006-02-28 02:00 . 2009-10-29 07:40 153088 c:\windows\system32\ieakeng.dll + 2006-02-28 02:00 . 2010-01-05 09:52 153088 c:\windows\system32\ieakeng.dll - 2006-02-28 02:00 . 2009-10-29 07:40 133120 c:\windows\system32\extmgr.dll + 2006-02-28 02:00 . 2010-01-05 09:52 133120 c:\windows\system32\extmgr.dll - 2006-02-28 02:00 . 2009-10-29 07:40 214528 c:\windows\system32\dxtrans.dll + 2006-02-28 02:00 . 2010-01-05 09:52 214528 c:\windows\system32\dxtrans.dll - 2006-02-28 02:00 . 2009-10-29 07:40 347136 c:\windows\system32\dxtmsft.dll + 2006-02-28 02:00 . 2010-01-05 09:52 347136 c:\windows\system32\dxtmsft.dll + 2009-07-09 07:09 . 2010-01-05 09:52 832512 c:\windows\system32\dllcache\wininet.dll - 2009-07-09 07:09 . 2009-10-29 07:41 832512 c:\windows\system32\dllcache\wininet.dll - 2007-08-13 17:54 . 2009-10-29 07:41 233472 c:\windows\system32\dllcache\webcheck.dll + 2007-08-13 17:54 . 2010-01-05 09:52 233472 c:\windows\system32\dllcache\webcheck.dll - 2007-08-13 17:44 . 2009-10-29 07:41 105984 c:\windows\system32\dllcache\url.dll + 2007-08-13 17:44 . 2010-01-05 09:52 105984 c:\windows\system32\dllcache\url.dll + 2007-08-13 17:44 . 2010-01-05 09:52 102912 c:\windows\system32\dllcache\occache.dll - 2007-08-13 17:44 . 2009-10-29 07:41 102912 c:\windows\system32\dllcache\occache.dll - 2007-08-13 17:54 . 2009-10-29 07:41 671232 c:\windows\system32\dllcache\mstime.dll + 2007-08-13 17:54 . 2010-01-05 09:52 671232 c:\windows\system32\dllcache\mstime.dll + 2007-08-13 17:44 . 2010-01-05 09:52 193024 c:\windows\system32\dllcache\msrating.dll - 2007-08-13 17:44 . 2009-10-29 07:41 193024 c:\windows\system32\dllcache\msrating.dll - 2007-08-13 17:54 . 2009-10-29 07:41 477696 c:\windows\system32\dllcache\mshtmled.dll + 2007-08-13 17:54 . 2010-01-05 09:52 477696 c:\windows\system32\dllcache\mshtmled.dll + 2009-11-14 11:10 . 2010-01-05 09:52 459264 c:\windows\system32\dllcache\msfeeds.dll - 2009-11-14 11:10 . 2009-10-29 07:40 459264 c:\windows\system32\dllcache\msfeeds.dll + 2007-08-13 17:43 . 2009-12-18 13:05 634648 c:\windows\system32\dllcache\iexplore.exe - 2009-11-14 11:10 . 2009-10-29 07:40 268288 c:\windows\system32\dllcache\iertutil.dll + 2009-11-14 11:10 . 2010-01-05 09:52 268288 c:\windows\system32\dllcache\iertutil.dll + 2007-08-13 17:54 . 2010-01-05 09:52 192512 c:\windows\system32\dllcache\iepeers.dll + 2007-08-13 17:39 . 2010-01-05 09:52 385024 c:\windows\system32\dllcache\iedkcs32.dll - 2007-08-13 17:39 . 2009-10-29 07:40 385024 c:\windows\system32\dllcache\iedkcs32.dll + 2009-11-14 11:10 . 2010-01-05 09:52 380928 c:\windows\system32\dllcache\ieapfltr.dll - 2009-11-14 11:10 . 2009-10-29 07:40 380928 c:\windows\system32\dllcache\ieapfltr.dll - 2007-08-13 16:56 . 2009-10-28 06:52 161792 c:\windows\system32\dllcache\ieakui.dll + 2007-08-13 16:56 . 2009-12-18 13:04 161792 c:\windows\system32\dllcache\ieakui.dll - 2007-08-13 17:39 . 2009-10-29 07:40 230400 c:\windows\system32\dllcache\ieaksie.dll + 2007-08-13 17:39 . 2010-01-05 09:52 230400 c:\windows\system32\dllcache\ieaksie.dll - 2007-08-13 17:39 . 2009-10-29 07:40 153088 c:\windows\system32\dllcache\ieakeng.dll + 2007-08-13 17:39 . 2010-01-05 09:52 153088 c:\windows\system32\dllcache\ieakeng.dll - 2007-08-13 17:54 . 2009-10-29 07:40 133120 c:\windows\system32\dllcache\extmgr.dll + 2007-08-13 17:54 . 2010-01-05 09:52 133120 c:\windows\system32\dllcache\extmgr.dll + 2007-08-13 17:35 . 2010-01-05 09:52 214528 c:\windows\system32\dllcache\dxtrans.dll - 2007-08-13 17:35 . 2009-10-29 07:40 214528 c:\windows\system32\dllcache\dxtrans.dll - 2007-08-13 17:35 . 2009-10-29 07:40 347136 c:\windows\system32\dllcache\dxtmsft.dll + 2007-08-13 17:35 . 2010-01-05 09:52 347136 c:\windows\system32\dllcache\dxtmsft.dll + 2007-08-13 17:39 . 2010-01-05 09:52 124928 c:\windows\system32\dllcache\advpack.dll - 2007-08-13 17:39 . 2009-10-29 07:40 124928 c:\windows\system32\dllcache\advpack.dll - 2006-02-28 02:00 . 2009-10-29 07:40 124928 c:\windows\system32\advpack.dll + 2006-02-28 02:00 . 2010-01-05 09:52 124928 c:\windows\system32\advpack.dll + 2010-01-22 10:06 . 2009-10-29 07:41 832512 c:\windows\ie7updates\KB978207-IE7\wininet.dll + 2010-01-22 10:06 . 2009-10-29 07:41 233472 c:\windows\ie7updates\KB978207-IE7\webcheck.dll + 2010-01-22 10:06 . 2009-10-29 07:41 105984 c:\windows\ie7updates\KB978207-IE7\url.dll + 2010-01-22 10:06 . 2009-05-26 11:40 388984 c:\windows\ie7updates\KB978207-IE7\spuninst\updspapi.dll + 2010-01-22 10:06 . 2009-05-26 11:40 234872 c:\windows\ie7updates\KB978207-IE7\spuninst\spuninst.exe + 2010-01-22 10:06 . 2009-10-29 07:41 102912 c:\windows\ie7updates\KB978207-IE7\occache.dll + 2010-01-22 10:06 . 2009-10-29 07:41 671232 c:\windows\ie7updates\KB978207-IE7\mstime.dll + 2010-01-22 10:06 . 2009-10-29 07:41 193024 c:\windows\ie7updates\KB978207-IE7\msrating.dll + 2010-01-22 10:06 . 2009-10-29 07:41 477696 c:\windows\ie7updates\KB978207-IE7\mshtmled.dll + 2010-01-22 10:06 . 2009-10-29 07:40 459264 c:\windows\ie7updates\KB978207-IE7\msfeeds.dll + 2010-01-22 10:06 . 2009-10-28 06:54 634632 c:\windows\ie7updates\KB978207-IE7\iexplore.exe + 2010-01-22 10:06 . 2009-10-29 07:40 268288 c:\windows\ie7updates\KB978207-IE7\iertutil.dll + 2010-01-22 10:06 . 2007-08-13 17:54 191488 c:\windows\ie7updates\KB978207-IE7\iepeers.dll + 2010-01-22 10:06 . 2009-10-29 07:40 385024 c:\windows\ie7updates\KB978207-IE7\iedkcs32.dll + 2010-01-22 10:06 . 2009-10-29 07:40 380928 c:\windows\ie7updates\KB978207-IE7\ieapfltr.dll + 2010-01-22 10:06 . 2009-10-28 06:52 161792 c:\windows\ie7updates\KB978207-IE7\ieakui.dll + 2010-01-22 10:06 . 2009-10-29 07:40 230400 c:\windows\ie7updates\KB978207-IE7\ieaksie.dll + 2010-01-22 10:06 . 2009-10-29 07:40 153088 c:\windows\ie7updates\KB978207-IE7\ieakeng.dll + 2010-01-22 10:06 . 2009-10-29 07:40 133120 c:\windows\ie7updates\KB978207-IE7\extmgr.dll + 2010-01-22 10:06 . 2009-10-29 07:40 214528 c:\windows\ie7updates\KB978207-IE7\dxtrans.dll + 2010-01-22 10:06 . 2009-10-29 07:40 347136 c:\windows\ie7updates\KB978207-IE7\dxtmsft.dll + 2010-01-22 10:06 . 2009-10-29 07:40 124928 c:\windows\ie7updates\KB978207-IE7\advpack.dll + 2006-02-28 02:00 . 2010-01-05 09:52 1168384 c:\windows\system32\urlmon.dll - 2006-02-28 02:00 . 2009-10-29 07:41 1168384 c:\windows\system32\urlmon.dll + 2006-02-28 02:00 . 2010-01-05 09:52 3599360 c:\windows\system32\mshtml.dll - 2007-08-13 17:54 . 2009-10-29 07:40 6067200 c:\windows\system32\ieframe.dll + 2007-08-13 17:54 . 2010-01-05 09:52 6067200 c:\windows\system32\ieframe.dll + 2009-07-09 07:09 . 2010-01-05 09:52 1168384 c:\windows\system32\dllcache\urlmon.dll - 2009-07-09 07:09 . 2009-10-29 07:41 1168384 c:\windows\system32\dllcache\urlmon.dll + 2009-07-09 07:09 . 2010-01-05 09:52 3599360 c:\windows\system32\dllcache\mshtml.dll + 2009-11-14 11:10 . 2010-01-05 09:52 6067200 c:\windows\system32\dllcache\ieframe.dll - 2009-11-14 11:10 . 2009-10-29 07:40 6067200 c:\windows\system32\dllcache\ieframe.dll + 2010-01-22 10:06 . 2009-10-29 07:41 1168384 c:\windows\ie7updates\KB978207-IE7\urlmon.dll + 2010-01-22 10:06 . 2009-10-29 07:41 3598336 c:\windows\ie7updates\KB978207-IE7\mshtml.dll + 2010-01-22 10:06 . 2009-10-29 07:40 6067200 c:\windows\ie7updates\KB978207-IE7\ieframe.dll . -- Snapshot auf jetziges Datum zurückgesetzt -- . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-26 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-26 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-26 137752] "PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488] "SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824] "Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688] "Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856] "Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-09-11 339240] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2005-07-06 176128] "HPHUPD05"="c:\programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2005-07-06 49152] "HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 49152] "HPHmon05"="c:\windows\system32\hphmon05.exe" [2005-07-06 491520] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-08 305440] "Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Rudi\Startmen\Programme\Autostart\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-10-9 295606] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-22 734872] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\SMINST\\Scheduler.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4:TCP"= 4:TCP:Drucker FS1750 "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 47491582;47491582 Boot Guard Driver;c:\windows\system32\drivers\47491582.sys [28.12.2009 11:13 37392] R1 47491581;47491581;c:\windows\system32\drivers\47491581.sys [28.12.2009 11:13 128016] R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [20.10.2008 05:15 576024] S2 0180481251009339mcinstcleanup;McAfee Application Installer Cleanup (0180481251009339);c:\dokume~1\Rudi\LOKALE~1\Temp\018048~1.EXE c:\progra~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service --> c:\dokume~1\Rudi\LOKALE~1\Temp\018048~1.EXE c:\progra~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service [?] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [21.01.2010 12:53 38224] S3 utmwmji2;AVZ Kernel Driver;c:\windows\system32\drivers\utmwmji2.sys [28.12.2009 12:38 7168] . Inhalt des "geplante Tasks" Ordners 2009-12-22 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2010-01-22 c:\windows\Tasks\HP Usg Daily.job - c:\programme\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2009-07-20 02:27] 2010-02-03 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-07-21 20:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = uInternet Settings,ProxyOverride = *.local IE: &AOL Toolbar-Suche - c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL\ieToolbar\resources\de-DE\local\search.html IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html FF - ProfilePath - c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Mozilla\Firefox\Profiles\jpxgcw0m.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.dab-bank.de/ FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) BHO-{B922D405-6D13-4A2B-AE89-08A030DA4402} - c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll BHO-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) Toolbar-{B922D405-6D13-4A2B-AE89-08A030DA4402} - c:\programme\pdfforge Toolbar\WidgiToolbarIE.dll HKLM-Run-SearchSettings - c:\programme\pdfforge Toolbar\SearchSettings.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-03 15:40 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher] "ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" . Zeit der Fertigstellung: 2010-02-03 15:41:40 ComboFix-quarantined-files.txt 2010-02-03 14:41 ComboFix2.txt 2010-01-22 09:07 Vor Suchlauf: 17 Verzeichnis(se), 211.891.863.552 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 211.856.691.200 Bytes frei - - End Of File - - 0C932D9CA4BFD6BD1022040953B83575 |
Wenn ich auf defenseweg.reg (Desktop) ein Doppelklick mache, bekomme ich die Frage zur Registrierung hinzufügen. Wenn ich ja anklicke kommt: Die Informationen von C:/Dokumente und Einstellung/Rudi/Desktop/defenseweg.reg wurden in der Registrierung eingetragen . (Nur die Schrägstriche zeigen in eine andere Richtung)! Habe ich was falsch ausgeführt? Herzlichen Dank nochmals für Deine zeitopfernde Hilfe. Rudi |
So jetzt habe ich Spybot nochmals drüber laufen lassen und ich staune: Gratulation! Es wurden keine Spione gefunden. Bin ich jetzt wieder sicher? Herzlichen Gruß Rudi |
Hi, 100% Sicherheit gibt es nur nach einer sauberen Installation... For the moment, maybe YES... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board