Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail (https://www.trojaner-board.de/82352-pc-infiziert-trojanern-tr-fregee-h-9-ups-mail.html)

ZTAndy 29.01.2010 23:41
PC infiziert mit Trojanern TR/Fregee.H.9 nach UPS Mail
 
Hallo zusammen,

ich hab ein großes Problem mit einem Trojanern TR/Fregee.H.9 und hoffe Ihr könnt mir helfen. Der befallene Rechner befindet sich in einem Netzwerk und sollte nicht über Format C wiederhergestellt werden. Angefangen hat das Problem mit einer UPS-Mail mit einem .exe Anhang. Die exe Datei wurde vom User doppelt geklickt und das war‘s natürlich. Seit diesem Zeitpunkt werden von AntiVir immer wieder Trojaner in die Quarantäne geschoben, jedoch nach jedem Neustart sind sie wieder da. Ich habe das AntiVir Remove Tool ohne Erfolg laufen lassen und über die Datenträgerbereinigung das System und die TEMP Ordner gesäubert.

An dieser Stelle schon mal die von AntiVir gefudenen Trojaner:

Diese befinden sich in den folgenden Verzeichnissen:
TR/Fregee.H.9 --> C:\WINDOWS\system32\aqlb.hajo
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/Hans Mustermann/Lokale Einstellungen/Temp/B.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/8.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/9.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/A.tmp
TR/Fregee.H.9 --> C:\Dokumente und Einstelllungen/ Hans Mustermann /Lokale Einstellungen/Temp/7.tmp
TR/Crypt.ZPACK.Gen --> C:\WINDOWS\CSC\d4\80000123 Quarantäne seit März 2009

Ein Check mit HiJackThis ergab folgendes Ergebnis, doch leider kann ich nicht viel damit anfangen und benötige Eure Hilfe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:45, on 29.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe aqlb.hjo lhoweid
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1482476501-343818398-839522115-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.1:3128/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8984 bytes

Zur Auswertung kann ich Euch noch das AntiVir LOG anbieten, ich hoffe Ihr habt damit genug Infos über das befallene Sytem – wenn nicht lasst es mich wissen.
AntiVir für KEN!
Erstellungsdatum der Reportdatei: Freitag, 29. Januar 2010 08:43

Es wird nach 1709001 Virenstämmen gesucht.

Lizenznehmer: XXXXXXX
Seriennummer: XXXXXXXXXX
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: XXXXXXXX

Versionsinformationen:
BUILD.DAT : 8.2.0.172 17732 Bytes 05.08.2009 15:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 10:20:41
AVSCAN.DLL : 8.1.4.0 48897 Bytes 13.08.2008 07:57:40
LUKE.DLL : 8.1.4.5 164097 Bytes 13.08.2008 07:57:44
LUKERES.DLL : 8.1.4.0 12545 Bytes 13.08.2008 07:57:44
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:45:38
ANTIVIR1.VDF : 7.10.3.84 5532016 Bytes 26.01.2010 16:26:25
ANTIVIR2.VDF : 7.10.3.102 37280 Bytes 26.01.2010 16:26:25
ANTIVIR3.VDF : 7.10.3.115 127488 Bytes 28.01.2010 15:43:23
Engineversion : 8.2.1.154
AEVDF.DLL : 8.1.1.3 106868 Bytes 25.01.2010 07:00:47
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 25.01.2010 07:00:45
AESCN.DLL : 8.1.4.0 127348 Bytes 28.01.2010 08:30:32
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 09:45:44
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 06:56:31
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 09:48:41
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 05:41:23
AEHEUR.DLL : 8.1.1.1 2322805 Bytes 28.01.2010 08:30:30
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 09:48:40
AEGEN.DLL : 8.1.1.85 369012 Bytes 28.01.2010 08:30:29
AEEMU.DLL : 8.1.1.0 393587 Bytes 05.10.2009 05:54:47
AECORE.DLL : 8.1.10.0 184695 Bytes 28.01.2010 08:30:28
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 11:03:25
AVWINLL.DLL : 1.0.0.12 15105 Bytes 13.08.2008 07:57:40
AVPREF.DLL : 8.0.2.0 38657 Bytes 13.08.2008 07:57:40
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 05:44:49
AVREG.DLL : 8.0.0.1 33537 Bytes 13.08.2008 07:57:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.05.2008 13:26:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 13.08.2008 07:57:40
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.05.2008 13:26:20
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 13.08.2008 07:57:44
NETNT.DLL : 8.0.0.1 7937 Bytes 19.05.2008 13:26:20
RCIMAGE.DLL : 8.0.0.51 2363649 Bytes 13.08.2008 07:57:16
RCTEXT.DLL : 8.0.46.0 86273 Bytes 13.08.2008 07:57:16

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir fuer ken!\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Dateierweiterungsliste verwenden
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 29. Januar 2010 08:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeLiveSignIn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IWatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCLAUNCH.EXe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JobReader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kentbcli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winvnc4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kencli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 29. Januar 2010 09:00
Benötigte Zeit: 17:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6333 Verzeichnisse wurden überprüft
162707 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
162706 Dateien ohne Befall
1139 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Nach dem Neustart des Rechners erscheint ein Fenster mit der Meldung:

RUNDLL
"Fehler beim Laden von aqlb.hjo
Das angegebene Modul wurde nicht gefunden" --> weiter mit Ok

Für Eure Hilfe bin ich Euch sehr dankbar.

ZTAndy

ZTAndy 30.01.2010 14:36
Hallo zusamen,

sorry ich habe doch nicht alle Reglen beachtet z.B. die Links.
Kann ich meinen Beitrag jetzt nochmal bearbeiten??? Ich bin wohl noch etwas unerfahren hier oder es war wohl etwas spät.

Bitte schaut Euch doch mal die Zeile F2 aus dem Logfile von HiJackThis an, hjo und rundll32.exe kommen mir vom Fenster, welches bein Start des PC erscheint, bekannt vor. Wie muss ich weiterverfahren???

ZTAndy

ZTAndy 01.02.2010 15:56
Hallöchen,

ich habe soeben mit CCleaner, AntiMailware und HiJackThis mein System bereinigt. Die Logfiles möchte ich Euch mit der Bitte diese auf Fehler zu überprüfen präsentieren, da mir dazu die Erfahrungen fehlen.

Jedenfalls sieht es nach der Bereinigung schon wesentlich besser aus, es erscheinen beim starten des PCs keine Fenster bzw. Fehlermeldungen mehr. Nachdem alles so gut geklappt, habe ich den Quarantäne Ordner von AntiVir gesäubert.
Dank der Infos des Forums bin ich ersteinmal guter Dinge und hoffe, dass sich doch noch jemand die Zeit nehmen kann, um sich die Logfiles anzusehen.
Vielen Dank an die Initiatoren und die Mitglieder des Forums.

ZTAndy

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:50, on 01.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\DCM321\MCCWIN\PRG\ZBASE32.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.1:****;http=192.168.***.1:****;https=192.168.***.1:****;socks=192.168.***.1:***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.1:****/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\Software\..\Telephony: DomainName = ***.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8719 bytes

********************
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3670
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.02.2010 14:40:30
mbam-log-2010-02-01 (14-40-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 201305
Laufzeit: 34 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 09.02.2010 22:27
Hallo und :hallo:

Zitat:
sorry ich habe doch nicht alle Reglen beachtet z.B. die Links.
Wenn Du auf Deine eigenen Beiträge antwortest, verschwindet Dein Posting aus der Liste der unbeantworteten Stränge und ich achte zuerst auf die unbeantworteten.

Mach bitte einen neuen Durchlauf Malwarebytes, aber aktualisiere das Tool vorherm, der letzte Scan ist schon über ne Woche her. Mach danach Logfiles mit RSIT und poste auch diese.

ZTAndy 12.02.2010 07:52
Hallo cosinus,

ist wohl dumm gelaufen, sorry mein Fehler.
Ich habe die Hoffnung auf eine Antwort schon fast aufgegeben.
Super das Du Dich gemeldet hast.

Also beim Versuch RSIT zu starten kommt die Meldung keine WIN32 Anwendung. Was muss ich tun um diese dennoch Ausführen zu können?

ZTAndy

ZTAndy 12.02.2010 15:16
Hallo Arne,

da ich RIST nicht zum laufen bekommen habe, lies ich CCleaner, Malwarebytes und HiJackThis nocheinmal durchlaufen.
Die aktuellen Logs sehen wie folgt aus:
*****************************
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3729
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.02.2010 14:30:08
mbam-log-2010-02-12 (14-30-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 205063
Laufzeit: 34 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
*******************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:52, on 12.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.***:****/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8751 bytes
************************
Ich hoffe das System ist jetzt sauber .
Kann ich jetzt die Trojaner aus der Quarantäne von Malwarebytes löschen?

Vielen Dank für Deine Hilfe.
ZTAndy

cosinus 12.02.2010 20:40
Hier ist ein Alternativdownload für RSIT, umbenannt in pluescheule => File-Upload.net - pluescheule.exe

ZTAndy 12.02.2010 21:31
Hallo Arne,
leider bin ich erst Montag wieder am infizieten PC. Derzeit sitz ich vor meinem heimatlichen PC, bei dem aber die selbe Fehlermeldung beim starten von RSIT kommt.
Ich habe also die pluescheule runtergeladen und am Heim PC ausprobiert, aber es erscheint nach dem Start von pluescheule gleiche Fehlermeldung wie beim Start von RSIT.
Mein Heim PC läuft mit Vista und der infizierte Rechner mit XP, vieleicht läuft ja pluescheule mit XP?
Wie sehen den die Logs aus, ist da etwas auffällig?

Gruß von
ZTAndy

cosinus 12.02.2010 21:44
Die anderen Logs sind unauffällig, ich hätte da was schon zu geschrieben wenn dem nicht so gewesen wäre.

ZTAndy 12.02.2010 22:00
Na super, da bin ersteinmal beruhig, vielen Dank Arne. Gibt es für das Problem mit RSIT auch noch einen Kunstgriff?

Sei gegrüßt von
ZTAndy

cosinus 12.02.2010 22:06
Zitat:
Zitat von ZTAndy (Beitrag 503422)
Na super, da bin ersteinmal beruhig, vielen Dank Arne. Gibt es für das Problem mit RSIT auch noch einen Kunstgriff?
Geht das auch nicht mit der umbenannten Version pluescheule.exe? :confused:

ZTAndy 12.02.2010 22:09
Mit der umbenannen Version hat es leider auch nicht geklappt.

cosinus 12.02.2010 22:12
Ok, dann probier bitte ein Log mit CF zu erstellen, denn normal ist das nicht mit RSIT:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ZTAndy 12.02.2010 23:53
Hallo Arne,
hat ein bißchen gedauert, ich habe mich noch belesen.
Ich habe ComboFix über mein Home PC laufen lassen. Bitte beachte das dies nicht der PC ist auf dem der Trojaner nach der UPS Mail ist, denn an den bin ich erst am Montag wieder.
Es wäre schön wenn Du Dir das File trotzdem ansehen könntest. Danke ZT Andy

Das Log sieht wie folgt aus:
*******************************
ComboFix 10-02-12.01 - Adimin 12.02.2010 23:10:59.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2045.1316 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1368608642-481299647-525511453-500
c:\$recycle.bin\S-1-5-21-2746829249-1397996071-2328483255-500
C:\uninstall.exe
c:\users\****\AppData\Roaming\inst.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-12 bis 2010-02-12 ))))))))))))))))))))))))))))))
.

2010-02-12 22:16 . 2010-02-12 22:16 -------- d-----w- c:\users\****\AppData\Local\temp
2010-02-03 20:50 . 2010-02-03 20:50 -------- d-----w- c:\program files\NovaCHRON
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes
2010-01-31 22:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\programdata\Malwarebytes
2010-01-31 22:21 . 2010-01-31 22:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-31 22:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-31 21:27 . 2010-01-31 21:27 -------- d-----w- c:\program files\CCleaner
2010-01-27 22:11 . 2010-01-27 22:11 -------- d-----w- c:\program files\Trend Micro
2010-01-24 01:14 . 2010-01-24 01:14 -------- d-----w- c:\users\****\AppData\Local\Apple Computer
2010-01-24 00:46 . 2010-01-24 00:46 -------- d-----w- c:\program files\QuickTime
2010-01-24 00:46 . 2010-01-24 00:46 -------- d-----w- c:\programdata\Apple Computer
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\program files\Common Files\Apple
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\users\****\AppData\Local\Apple
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\program files\Apple Software Update
2010-01-24 00:45 . 2010-01-24 00:45 -------- d-----w- c:\programdata\Apple
2010-01-14 20:57 . 2010-01-14 20:57 1273592 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-01-14 20:17 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-14 20:17 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-12 06:32 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-02-12 06:32 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-02-10 21:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-16 15:37 . 2007-05-28 17:52 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-01-14 10:12 . 2009-10-02 19:26 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-02 06:38 . 2010-01-21 19:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-21 19:15 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 06:32 . 2010-01-21 19:15 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 04:57 . 2010-01-21 19:15 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-29 21:33 . 2009-12-29 21:21 -------- d-----w- c:\program files\Elaborate Bytes
2009-12-17 22:25 . 2009-12-17 22:25 26024 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2009-12-17 06:54 . 2009-12-17 06:54 57344 ----a-w- c:\windows\NCServMan.exe
2009-12-13 17:06 . 2007-11-02 21:07 84304 ----a-w- c:\users\Conny\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-11 11:43 . 2010-02-09 20:49 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 11:43 . 2010-02-09 20:49 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-08 20:01 . 2010-02-09 20:49 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:01 . 2010-02-09 20:49 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:01 . 2010-02-09 20:49 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 18:32 . 2009-07-26 20:16 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-08 17:26 . 2010-02-09 20:49 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-12-04 20:06 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-12-04 18:30 . 2010-02-09 20:49 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-04 18:29 . 2010-02-09 20:49 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-04 18:28 . 2010-02-09 20:49 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-04 18:28 . 2010-02-09 20:49 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-04 18:28 . 2010-02-09 20:49 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-04 18:28 . 2010-02-09 20:49 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-04 18:28 . 2010-02-09 20:49 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-04 18:28 . 2010-02-09 20:49 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-04 18:27 . 2010-02-09 20:49 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-04 15:56 . 2010-02-09 20:49 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 15:56 . 2010-02-09 20:49 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-20 4018176]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-09 1025320]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-10-09 102400]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"TrayServer"="c:\program files\MAGIX\Filme_auf_DVD_7\TrayServer.exe" [2008-01-30 90112]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"VistaSp2"=hex(b):d6,44,29,d9,81,73,ca,01

R0 O2MDRDR;O2MDRDR;c:\windows\System32\drivers\o2media.sys [20.11.2006 15:14 38400]
R0 O2SDRDR;O2SDRDR;c:\windows\System32\drivers\o2sd.sys [17.11.2006 13:58 31360]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [26.07.2009 21:16 108289]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [21.11.2008 23:30 1527900]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [21.11.2008 23:31 544768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
AddRemove-dm Fotowelt - C:\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-02-12 23:16
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-02-12 23:19:16
ComboFix-quarantined-files.txt 2010-02-12 22:19

Vor Suchlauf: 10 Verzeichnis(se), 55.447.633.920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 55.393.054.720 Bytes frei

- - End Of File - - 69640AA1C2196F3E0BDAB22A35DFEBAD

ZTAndy 26.02.2010 17:35
Hallo Arne,
ich konnte mich leider nicht zeitiger um den PC kümmern, da ich auswärtig tätig war.
Ich habe jetzt jedenfalls die ganze Prozedur mit CCleaner, Malwarebytes und auch eine Log Datei mit Combofix erstellt. Beim Starten von Combofix wurde mir mitgeteilt, das AntiVir noch aktiv sei obwohl ich es ausgeschaltet hatte. Die Wiederherstellungskonsole konnte auch nicht installiert werden, da KEN Klient von mir vorher geschlossen wurde.
Nach dem Durchlauf von Combofix erschien die folgende Log Datei, bitte prüfe diese einmal. Vielen Dank
********************************************************
ComboFix 10-02-25.02 - **** 26.02.2010 16:47:32.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.247 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\cofi.exe
AV: Avira AntiVir für KEN! *On-access scanning disabled* (Updated) {08C942C3-77DF-43BA-9A6A-580A1A3BC5BB}
AV: Avira AntiVir für KEN! *On-access scanning disabled* (Updated) {820C989C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {804D9D7C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81ABA054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81ACFA14-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81C15054-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81C4EB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81D27824-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81F6F554-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FD5C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FDCDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FEF3D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {81FF3DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8200A97C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8201ABF4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8201D7DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820238B4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8202B39C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82033C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8203D6DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82041544-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820452A4-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204A5FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204DC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204DDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8204F6DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820539C4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8205CDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82062A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820695E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820747A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82074C4C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82082C24-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8208347C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8209CB04-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A477C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820A77A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820AB7D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820AF98C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820B2C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820BF99C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820C6C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CBDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CC7D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820CF72C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D164C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D38D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820D772C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820DB32C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820DFA8C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E216C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E751C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820E98BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EE23C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EE60C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EEC34-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820EFA5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F4A34-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F53D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F5A6C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F6A8C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F7DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {820F9BF4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82103514-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821046AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82104914-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210628C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210749C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82107594-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210B384-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8210B5BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82111CB4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821137A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821198CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8214ACE4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8214E45C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82156384-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821686E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82168DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8216965C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8217E6CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218778C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218A4A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8218FDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821A3A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821CC8BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821DC4FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {821E16DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82209054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {82217924-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822813C4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8229CB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8229D9A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822A07D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822A332C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822AD64C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822AFDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822B0964-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {822B28CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir für KEN! *On-access scanning enabled* (Updated) {8236EDDC-FFA4-00DE-0D24-347CA8A3377C}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-182580060-2540569008-1561780678-500
c:\windows\srchasst\nls302en.lex
c:\windows\system32\drivers\FSC__PI__SCENIC W__FUJITSU SIEMENS_D1567__Version 5.00 R2.13.1567.01_PTLTD - 50000_5.00 R2.13.1567.01 __NVIDIA GeForce FX 5200 .MRK
c:\windows\system32\setup.ini
c:\windows\system32\test.ttt
c:\windows\system32\Thumbs.db
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-26 bis 2010-02-26 ))))))))))))))))))))))))))))))
.

2010-02-12 12:29 . 2010-02-12 12:29 -------- d-----w- c:\dokumente und einstellungen\Administrator.****\Anwendungsdaten\Malwarebytes
2010-02-01 06:36 . 2010-02-01 06:36 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-02-01 06:36 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-01 06:35 . 2010-02-01 06:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-02-01 06:35 . 2010-02-01 06:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-01 06:35 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-01 06:23 . 2010-02-01 06:23 -------- d-----w- c:\programme\CCleaner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 15:58 . 2006-10-26 07:11 -------- d-----w- c:\programme\AntiVir fuer KEN!
2010-02-26 15:58 . 2006-10-26 07:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir fuer KEN!
2010-02-26 15:51 . 2005-08-24 14:35 12 ----a-w- c:\windows\bthservsdp.dat
2010-02-25 07:10 . 2004-12-03 11:17 -------- d-----w- c:\programme\FRITZ!
2010-02-12 13:42 . 2007-01-26 08:57 230632 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\mdb.bin
2010-02-09 07:05 . 2007-09-04 15:17 -------- d-----w- c:\programme\Google
2010-02-01 06:25 . 2009-01-26 15:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-07 09:43 . 2007-11-07 09:42 2293712 ----a-w- c:\programme\FLV PlayerFCSetup.exe
2007-11-07 09:41 . 2007-11-07 09:41 3928264 ----a-w- c:\programme\FLV PlayerRCATSetup.exe
2007-11-07 09:39 . 2007-11-07 09:39 411248 ----a-w- c:\programme\FLV PlayerRCSetup.exe
2005-01-24 12:03 . 2005-01-24 12:03 56 --sh--r- c:\windows\system32\F8295F8C0C.sys
2005-01-24 12:03 . 2005-01-24 12:03 1682 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2005-12-13 40960]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-07 68856]
"Device Detection"="c:\programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe" [2006-10-26 102400]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-08-02 4493312]
"nwiz"="nwiz.exe" [2004-08-02 917504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-08-02 86016]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-07-25 275760]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"avgnt"="c:\programme\AntiVir fuer KEN!\avgnt.exe" [2009-08-23 266754]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"DR2010CJobReader"="c:\programme\Canon Electronics\DR2010C\JobReader.exe" [2008-02-01 319488]
"CANON DR2010C SVC"="DR201SVC.dll" [2008-04-11 131072]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2004-12-3 1331200]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2004-12-3 229376]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANON DR2010C SVC]
2008-04-11 08:34 131072 ----a-w- c:\windows\system32\DR201SVC.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 03:27 144784 ----a-w- c:\programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
2008-04-14 02:22 144384 ----a-w- c:\windows\system32\mobsync.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\KEN!\\kentbcli.exe"=
"c:\\DCM321\\MCCWIN\\PRG\\ZBASE32.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [03.12.2004 17:40 59520]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [03.12.2004 12:14 173360]
R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [03.12.2004 12:14 63088]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [27.01.2009 09:18 37568]
R3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.07.2009 09:51 133104]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer;c:\windows\system32\drivers\ADM8511.SYS [27.01.2009 08:05 20160]
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [10.09.2004 02:06 35336]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [27.01.2009 09:18 444416]
.
Inhalt des "geplante Tasks" Ordners

2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-31 08:51]

2010-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-31 08:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.n-tv.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.fujitsu-siemens.de/
uInternet Settings,ProxyOverride = localhost;<local>
uInternet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:****
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
Toolbar-{1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
WebBrowser-{1392B8D2-5C05-419F-A8F6-B9F15A596612} - (no file)
MSConfigStartUp-cookw - c:\progra~1\GEMEIN~1\SCHUTZ~1\cookw.exe
MSConfigStartUp-Framework Windows - frmwrk32.exe
MSConfigStartUp-InstallProgram - c:\dokumente und einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XXTVNHRQ\setup_227_509_[1].exe
MSConfigStartUp-InstRpro - c:\windows\temp\pistart.exe
MSConfigStartUp-RestoreIT! - c:\programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 16:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2820)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\1031\OWCI11.DLL
c:\programme\Logitech\iTouch\iTchHk.dll
c:\programme\Windows Media Player\wmpband.dll
c:\windows\system32\msls31.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\AntiVir fuer KEN!\sched.exe
c:\programme\AntiVir fuer KEN!\avguard.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\RealVNC\VNC4\WinVNC4.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-26 17:01:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-26 16:01

Vor Suchlauf: 9 Verzeichnis(se), 135.688.192.000 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 135.650.983.936 Bytes frei

- - End Of File - - 898DB83CB088D34FD62D41AABC789F40

cosinus 28.02.2010 17:19
Oh, hab Deinen Strang übersehen :o
Probier mal jetzt das Log mit RSIT zu erstellen. Mach auch bitte noch einen vollständigen Durchlauf mti Malwarebytes (Programm vorher updaten!!)

ZTAndy 01.03.2010 14:34
Hallo Arne,
ich habe Malwarebyte nocheinmal durchlaufen lassen --> keine infizierten Dateien gefunden.

Anschließend mit RSIT die folgenden Logs erstellt.
Bitte schau Dir die Logs mal an. Vielen Dank.
***************************************
info.txt logfile of random's system information tool 1.06 2010-03-01 14:03:03

======Uninstall list======

-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A71000000002}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ArcSoft Camera Suite 2.1-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{14FB1C47-B0F2-4DB6-B9C0-1A817862F9A3}\setup.exe" -l0x7
Avira AntiVir für KEN!-->C:\Programme\AntiVir fuer KEN!\SETUP.EXE /REMOVE
AVM FRITZ!-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\FRITZ!\Uninst.isu -cC:\Programme\FRITZ!\UNINST.DLL
AVM ISDN CAPI Port-->"C:\WINDOWS\AVM_cpdi.clr" -Delete
AVM KEN!-->C:\WINDOWS\ISUN0407.EXE -fC:\PROGRA~1\KEN!\Uninst.isu -cC:\PROGRA~1\KEN!\Uninst.dll
BEB*Zahntechnik-->MsiExec.exe /I{2542F73D-9E53-484D-AB9A-659B51DA94A6}
Canon Camera Access Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon DR-2010C Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{66A5F2EF-1057-4BA4-AEEC-F27F037BF698}\setup.exe" -l0x9 -uninst -removeonly
CANON iMAGE GATEWAY Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon iP4300 Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP4300\UNINST.EXE
Canon iP4300-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300 /L0x0007
Canon MovieEdit Task for ZoomBrowser EX-->C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{DE286975-ACF1-45B8-9EF7-34E162B2C817}
Canon PhotoRecord-->MsiExec.exe /X{BBBC2B89-E193-4348-A83C-C8DD8210A4AC}
Canon RAW Image Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon Setup Utility 2.3-->"C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.3\uninst.ini
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Utilities CameraWindow-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\CameraWindowLauncher\Uninst.ini"
Canon Utilities Digital Photo Professional 3.3-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Digital Photo Professional\Uninst.ini"
Canon Utilities Easy-PhotoPrint-->C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox-->C:\Programme\Canon\Easy-PrintToolBox\uninst.exe uninst.ini
Canon Utilities EOS Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities MyCamera-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\MyCamera\Uninst.ini"
Canon Utilities Original Data Security Tools-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Original Data Security Tools\Uninst.ini"
Canon Utilities PhotoStitch-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities Picture Style Editor-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\Picture Style Editor\Uninst.ini"
Canon Utilities RemoteCapture Task for ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities ZoomBrowser EX-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
Canon ZoomBrowser EX Memory Card Utility-->"C:\Programme\Gemeinsame Dateien\Canon\UIW\1.4.0.0\Uninst.exe" "C:\Programme\Canon\ZoomBrowser EX MCU\Uninst.ini"
CapturePerfect 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D2F3B366-830E-4371-9130-A8D6BE751363}\setup.exe" -l0x7 -uninst -removeonly
CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
CHIPDRIVE extern/intern/micro driver 3.0-->MsiExec.exe /I{3BF87814-35E7-4098-B89B-FA070A0A45B5}
CHIPDRIVE extern/intern/micro driver 3.0-->MsiExec.exe /I{6B21C4F2-BF54-486D-8A12-0CBB06C19545}
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Digital Camera Driver-->C:\PROGRA~1\DIGITA~1\UNWISE.EXE C:\PROGRA~1\DIGITA~1\INSTALL.LOG
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DR-2010C Job Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3318D1D7-08AF-4316-9B75-32FDFEEBF7FF}\Setup.exe" -l0x7 -uninst -removeonly
DR-2010C UserManual-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5248A9DE-F702-4D26-97CB-ABE611D9C971}\setup.exe" -l0x7 -removeonly
Dresdner Office Banking-->C:\DCM321\SETUP.EXE [C:\DCM321\mccDE.inf] /UNINSTUSER
Easy-WebPrint-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
FLV Player-->"C:\WINDOWS\FLV Player\uninstall.exe" "/U:C:\Programme\FLV Player\Uninstall\uninstall.xml"
Freecorder Toolbar 3.0 Application-->"C:\WINDOWS\Freecorder Toolbar\uninstall.exe" "/U:C:\Programme\Freecorder Toolbar\Uninstall\uninstall.xml"
Freecorder Toolbar-->C:\PROGRA~1\FREECO~2\UNWISE.EXE C:\PROGRA~1\FREECO~2\INSTALL.LOG
Google Earth-->MsiExec.exe /X{2EAF7E61-068E-11DF-953C-005056806466}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Heute_Bildschirmschoner Screen Saver-->C:\WINDOWS\NCUNINST.EXe REMOVE Heute_Bildschirmschoner
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840}
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Intel(R) PRO Network Connections Drivers-->C:\Programme\Intel\DMIX\uninst\DxSetup.exe /x /qr /le C:\DOKUME~1\*****\LOKALE~1\Temp\DxUninst.log
Intel(R) PROSafe for Wired Connections-->MsiExec.exe /I{36BD0774-6CD6-4FF9-A148-83CA09AC123E}
Intel(R) PROSafe for Wired Connections-->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
InterVideo WinDVD-->"C:\Programme\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL
Java 2 Runtime Environment, SE v1.4.2_05-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
KZBV – DPF – Aktualisierung 2.1.0 (19.12.2008)-->"C:\Programme\KZBV\DPF\unins000.exe"
Logitech iTouch Software-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{036AA4D4-6D32-11D4-9875-00105ACE7734}\Setup.exe" -l0x7 UNINSTALL
Logitech MouseWare 9.79.1 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\Setup.exe" -l0x7 -l0007 UNINSTALL
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MegaDent OfficeManager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C8B4392E-26E8-4D4D-9ED3-95B93A5CA751}\setup.exe" -l0x7 -removeonly
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{91110407-6000-11D3-8CFE-0150048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visio Professional 2002 [English]-->MsiExec.exe /I{90510409-6D54-11D4-BEE3-00C04F990354}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
OLfolders 2.1.4-->C:\Programme\Quester\OLfolders\unins000.exe
PC Connectivity Solution-->MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
PowerArchiver-->C:\Programme\PowerArchiver\UNINST.EXE
QSynchronization for Outlook 1.8-->C:\Programme\QSynchronization\unins000.exe
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Replay Media Catcher-->"C:\WINDOWS\Replay Media Catcher\uninstall.exe" "/U:C:\Programme\Replay Media Catcher\Uninstall\uninstall.xml"
SAMSUNG Mobile Modem Driver Set-->C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
Samsung Mobile phone USB driver Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung PC Studio 3 USB Driver Installer-->"C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x0007 -removeonly
Samsung PC Studio 3-->"C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x0007 -removeonly
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
T-Online 6.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B1275E23-717A-4D52-997A-1AD1E24BC7F3}\Setup.exe" CPAS
Update für Windows XP (KB943729)-->"C:\WINDOWS\$NtUninstallKB943729$\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
VNC 4.0-->C:\Programme\RealVNC\VNC4\unins000.exe
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Windows Driver Package - Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccswpddri_039E7E24575DBAE6A389611AF28F4EB97729D33E\pccswpddriver.inf
Windows Driver Package - Nokia Modem (02/15/2007 3.1)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinZip-->"C:\Programme\WinZip\WINZIP32.EXE" /uninstall
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
Yahoo! Toolbar mit Pop-Up-Blocker-->C:\PROGRA~1\Yahoo!\Common\unyt.exe
ZkaSigApi-->MsiExec.exe /I{90F9DFAC-0242-42C7-AD28-86BBBB76BC77}

======Security center information======

AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN! (disabled)
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN!
AV: Avira AntiVir für KEN! (disabled)
AV: Avira AntiVir für KEN!

======System event log======

Computer Name: *****
Event Code: 59
Message: Generate Activation Context ist für C:\Programme\Canon\ZoomBrowser EX\Program\MFC80U.DLL fehlgeschlagen.
Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.
.

Record Number: 59017
Source Name: SideBySide
Time Written: 20091116112736.000000+060
Event Type: Fehler
User:

Computer Name: *****
Event Code: 59
Message: Resolve Partial Assembly ist für Microsoft.VC80.MFCLOC fehlgeschlagen.
Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert.
.

Record Number: 59016
Source Name: SideBySide
Time Written: 20091116112736.000000+060
Event Type: Fehler
User:

Computer Name: *****
Event Code: 32
Message: Abhängige Assemblierung "Microsoft.VC80.MFCLOC" konnte nicht gefunden werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer installiert.


Record Number: 59015
Source Name: SideBySide
Time Written: 20091116112736.000000+060
Event Type: Fehler
User:

Computer Name: ****
Event Code: 16
Message: Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht, eine Verbindung herzustellen.

Record Number: 59014
Source Name: Windows Update Agent
Time Written: 20091116075308.000000+060
Event Type: Fehler
User:

Computer Name: *****
Event Code: 7036
Message: Dienst "Google Update Service (gupdate)" befindet sich jetzt im Status "Beendet".

Record Number: 59013
Source Name: Service Control Manager
Time Written: 20091116075242.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: PC-SHAAG
Event Code: 1100
Message: The Job is started
ModuleName : JobCore
Job Number : 3
Function : ScanToPC


Record Number: 16261
Source Name: CeiApplLog
Time Written: 20090720075818.000000+120
Event Type: Informationen
User:

Computer Name: ****
Event Code: 1120
Message: The Job can be begun.
ModuleName : JobSVC
Job Button : 3

Record Number: 16260
Source Name: CeiApplLog
Time Written: 20090720075817.000000+120
Event Type: Informationen
User:

Computer Name: *****
Event Code: 1100
Message: The Job is started
ModuleName : JobCore
Job Number : 3
Function : ScanToPC


Record Number: 16259
Source Name: CeiApplLog
Time Written: 20090720075643.000000+120
Event Type: Informationen
User:

Computer Name: *****
Event Code: 1220
Message: The operation dose not execute the JobTool.
ModuleName : JobSVC
Job Button : 0

Record Number: 16258
Source Name: CeiApplLog
Time Written: 20090720075643.000000+120
Event Type: Warnung
User:

Computer Name: ****
Event Code: 1120
Message: The Job can be begun.
ModuleName : JobSVC
Job Button : 3

Record Number: 16257
Source Name: CeiApplLog
Time Written: 20090720075642.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\Programme\PC Connectivity Solution;C:\Programme\Intel\DMIX;C:\Programme\QuickTime\QTSystem;C:\Programme\Samsung\Samsung PC Studio 3
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 3 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0304
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"ZKA_SIG_HOME"=C:\Programme\ZkaSigApi\
"CLASSPATH"=.;C:\Programme\Java\j2re1.4.2_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\j2re1.4.2_05\lib\ext\QTJava.zip

-----------------EOF-----------------
*****************************************************
Logfile of random's system information tool 1.06 (written by random/random)
Run by ***** at 2010-03-01 14:02:39
Microsoft Windows XP Professional Service Pack 3
System drive C: has 129 GB (89%) free of 145 GB
Total RAM: 511 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:59, on 01.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Canon Electronics\DR2010C\JobReader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\DCM321\MCCWIN\PRG\ZBASE32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\RSIT.exe
C:\Programme\trend micro\*****.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.***.***:****;http=192.168.***.***:****;https=192.168.***.***:****;socks=192.168.***.***:****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DR2010CJobReader] "C:\Programme\Canon Electronics\DR2010C\JobReader.exe" DR2010C.dll
O4 - HKLM\..\Run: [CANON DR2010C SVC] rundll32.exe DR201SVC.dll,EntryPointUserMessage
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Device Detection] C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.***.***:****/ken.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264678701805
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264678546913
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\Software\..\Telephony: DomainName = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 9015 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}]
EWPBrowseObject Class - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll [2006-06-09 34304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll [2009-12-02 764912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar mit Pop-Up-Blocker - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2005-08-04 343112]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Easy-WebPrint - C:\Programme\Canon\Easy-WebPrint\Toolband.dll [2006-06-09 552960]
{2318C2B1-4965-11d4-9B18-009027A5CD4F}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2004-08-02 4493312]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2004-08-02 86016]
"zBrowser Launcher"=C:\Programme\Logitech\iTouch\iTouch.exe [2004-03-18 892928]
"Logitech Utility"=C:\WINDOWS\Logi_MwX.Exe [2003-12-17 19968]
"KEN Taskbar Client"=C:\Programme\KEN!\kentbcli.exe [2007-07-25 275760]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"avgnt"=C:\Programme\AntiVir fuer KEN!\avgnt.exe [2009-08-23 266754]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2006-10-17 398944]
"DR2010CJobReader"=C:\Programme\Canon Electronics\DR2010C\JobReader.exe [2008-02-01 319488]
"CANON DR2010C SVC"=DR201SVC.dll,EntryPointUserMessage []
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2010-01-07 429392]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"NCLaunch"=C:\WINDOWS\NCLAUNCH.EXe [2005-12-13 40960]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-09-07 68856]
"Device Detection"=C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe [2006-10-26 102400]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANON DR2010C SVC]
DR201SVC.dll,EntryPointUserMessage []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
C:\WINDOWS\system32\mobsync.exe [2008-04-14 144384]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
C:\PROGRA~1\Adobe\ACROBA~2.0\Reader\READER~1.EXE [2008-04-23 29696]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
FRITZ!fax.lnk - C:\Programme\FRITZ!\FriFax32.exe
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=67108863
"NoDriveTypeAutoRun"=323
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\KEN!\kentbcli.exe"="C:\Programme\KEN!\kentbcli.exe:*:Enabled:kentbcli"
"C:\DCM321\MCCWIN\PRG\ZBASE32.EXE"="C:\DCM321\MCCWIN\PRG\ZBASE32.EXE:*:Disabled:Database Engine 8.89"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\KEN!\kentbcli.exe"="C:\Programme\KEN!\kentbcli.exe:LocalSubNet:Enabled:AVM KEN! - kentbcli.exe"
"C:\Programme\KEN!\KICKMCLI.EXE"="C:\Programme\KEN!\KICKMCLI.EXE:LocalSubNet:Enabled:AVM KEN! - kickmcli.exe"
"C:\DRECASH\MCCWIN\PRG\ZBASE32.EXE"="C:\DRECASH\MCCWIN\PRG\ZBASE32.EXE:*:Enabled:ZBASE32"
"C:\Programme\RealVNC\VNC4\winvnc4.exe"="C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:winvnc4.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\DCM321\MCCWIN\PRG\ZBASE32.EXE"="C:\DCM321\MCCWIN\PRG\ZBASE32.EXE:*:Enabled:Database Engine 8.89"

======List of files/folders created in the last 1 months======

2010-03-01 14:02:39 ----D---- C:\rsit
2010-02-26 17:42:16 ----SHD---- C:\RECYCLER
2010-02-26 17:01:55 ----D---- C:\WINDOWS\temp
2010-02-26 17:01:51 ----A---- C:\ComboFix.txt
2010-02-26 16:46:12 ----A---- C:\WINDOWS\zip.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\SWSC.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\SWREG.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\sed.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\PEV.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\NIRCMD.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\MBR.exe
2010-02-26 16:46:12 ----A---- C:\WINDOWS\grep.exe
2010-02-26 16:46:08 ----D---- C:\WINDOWS\ERDNT
2010-02-26 16:43:42 ----D---- C:\Qoobox

======List of files/folders modified in the last 1 months======

2010-03-01 14:02:59 ----D---- C:\Programme\Trend Micro
2010-03-01 14:02:45 ----D---- C:\WINDOWS\Prefetch
2010-03-01 13:54:02 ----D---- C:\Programme\AntiVir fuer KEN!
2010-03-01 13:53:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir fuer KEN!
2010-03-01 13:21:27 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-03-01 13:21:23 ----D---- C:\WINDOWS\system32\drivers
2010-03-01 09:41:31 ----A---- C:\WINDOWS\SetScan.ini
2010-03-01 09:15:00 ----D---- C:\WINDOWS\system32
2010-03-01 08:05:38 ----D---- C:\WINDOWS\security
2010-03-01 07:59:44 ----A---- C:\WINDOWS\iTouch.ini
2010-02-26 17:58:17 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-02-26 17:43:33 ----RD---- C:\Programme
2010-02-26 17:01:55 ----D---- C:\WINDOWS
2010-02-26 17:00:40 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-26 16:57:55 ----A---- C:\WINDOWS\system.ini
2010-02-26 16:52:31 ----D---- C:\WINDOWS\srchasst
2010-02-26 16:51:19 ----RSHD---- C:\WINDOWS\system32\dllcache
2010-02-26 16:49:59 ----D---- C:\WINDOWS\AppPatch
2010-02-26 16:49:55 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-26 08:01:54 ----SHD---- C:\WINDOWS\Installer
2010-02-25 08:10:06 ----D---- C:\Programme\FRITZ!
2010-02-09 08:05:47 ----D---- C:\Config.Msi
2010-02-09 08:05:23 ----D---- C:\Programme\Google
2010-02-05 11:49:01 ----A---- C:\WINDOWS\win.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir fuer KEN!\avgio.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2006-07-24 5632]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 AVMPORT;AVMPORT; C:\WINDOWS\System32\drivers\avmport.sys [2004-05-24 59520]
R2 ndc;AVM KEN CAPI; C:\WINDOWS\System32\Drivers\ndc.sys [2007-07-25 63088]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir fuer KEN!\avgntflt.sys []
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2004-09-15 171008]
R3 itchfltr;iTouch Keyboard Filter; C:\WINDOWS\system32\DRIVERS\itchfltr.sys [2004-03-10 12953]
R3 L8042pr2;Logitech PS/2 Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\L8042pr2.Sys [2003-12-17 51729]
R3 LCcfltr;Logitech USB Filter Driver; C:\WINDOWS\System32\Drivers\LCcFltr.Sys [2004-03-03 14095]
R3 LHidFlt2;Logitech HID/USB Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFlt2.Sys [2003-12-17 25505]
R3 LHidUsb;Logitech USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsb.Sys [2004-03-03 37887]
R3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFlt2.Sys [2003-12-17 70801]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-02 2627328]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-10-01 9856]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-08-04 5888]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-06-13 578752]
R3 TWKSER2K;CHIPDRIVE Serial SmartCardReader; C:\WINDOWS\system32\DRIVERS\TWKSER2K.sys [2004-08-25 185611]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\p3.sys [2008-04-14 46848]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer; C:\WINDOWS\system32\DRIVERS\ADM8511.SYS [2001-08-17 20160]
S3 BthEnum;Bluetooth-Auflistungsdienst; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
S3 BTHMODEM;Serieller Kommunikationstreiber für Bluetooth; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-13 18944]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2005-01-05 55320]
S3 catchme;catchme; \??\C:\cofi\catchme.sys []
S3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader; C:\WINDOWS\system32\DRIVERS\TwkUsb2K.sys [2004-09-10 35336]
S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\system32\DRIVERS\sscdbus.sys [2007-07-03 80552]
S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys [2007-07-03 11944]
S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\WINDOWS\system32\DRIVERS\sscdmdm.sys [2007-07-03 106792]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir für KEN! Planer; C:\Programme\AntiVir fuer KEN!\sched.exe [2008-10-24 69889]
R2 AntiVirService;AntiVir für KEN! Guard; C:\Programme\AntiVir fuer KEN!\avguard.exe [2008-10-24 151297]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 CCALib8;Canon Camera Access Library 8; C:\Programme\Canon\CAL\CALMAIN.exe [2007-01-31 96370]
R2 KEN Client Service;AVM KEN Klient; C:\Programme\KEN!\KENCLI.EXE [2007-07-25 173360]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2004-08-02 114755]
R2 WinVNC4;VNC Server Version 4; C:\Programme\RealVNC\VNC4\WinVNC4.exe [2004-06-15 380928]
R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2009-07-31 133104]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-09-04 138168]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2007-03-26 292864]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

-----------------EOF-----------------

cosinus 01.03.2010 15:26
Logs sehen okay aus. Wenn nun keine Probleme mehr sind, bitte unbedingt die Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ZTAndy 12.03.2010 00:27
Hallo Arne,

vielen Dank für Deine Hilfe.
Ich habe alle Udates geprüft bzw. die Software aktualiesiert. Der PC läuft wieder super.

ZTAndy :taenzer:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131