Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   wtf? 20 viren (5 verschiedene) (https://www.trojaner-board.de/90006-wtf-20-viren-5-verschiedene.html)

nemi123 26.08.2010 09:15
wtf? 20 viren (5 verschiedene)
 
moin moin die herschaften,

ich denke mal das mein pc so arg nen problem hat...

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. August 2010 06:57

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!
HKEY_USERS\S-1-5-21-1060284298-963894560-725345543-1003\Software\Microsoft\MediaPlayer\Preferences\backgroundscancompletedate
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1060284298-963894560-725345543-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1060284298-963894560-725345543-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'notepad.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvPDsvc.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'XboxStat.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\WINDOWS\explorer.exe>
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\WINDOWS\system32\winlogon.exe>
[FUND] Ist das Trojanische Pferd TR/Spy.513024.11
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4f455284.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.

Die Registry wurde durchsucht ( '475' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 57d24996.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 058d1fa4.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 63ba5066.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 263e702c.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 5926b4c9.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\winlogon.exe
[FUND] Ist das Trojanische Pferd TR/Spy.513024.11
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 159c9dec.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\dllcache\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 6986d015.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 44dcf2d7.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000067.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 5df4c61b.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000629.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 31a8ea7c.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000758.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4011d3e4.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000759.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.gdf
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4e0be323.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000760.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 0b229a61.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 0269a00b.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\winlogon.exe
[FUND] Ist das Trojanische Pferd TR/Spy.513024.11
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 5a2aa4eb.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 76dcef81.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\dllcache\explorer.exe
[FUND] Ist das Trojanische Pferd TR/Spy.1036800.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 482282e1.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Donnerstag, 26. August 2010 09:02
Benötigte Zeit: 2:05:29 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11902 Verzeichnisse wurden überprüft
470315 Dateien wurden geprüft
20 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
18 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
470295 Dateien ohne Befall
3013 Archive wurden durchsucht
18 Warnungen
18 Hinweise
734033 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

habt ihr so eine krasse modul anzahl pro prozess schonmal gesehen? hab permanent ne info von avira da vonwegen malware gefunden "antivir guard erkannte 3 viren oder unerwünschte programme" 2 mal explorer.exe und einmal winlogon.exe. spybot search & destroy hatte 3 malware erkannt die ich auch zuvort bereinigt habe und zeigt auch jetzt keine mehr an.

hier mal nen hijackthis log:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:56:41, on 26.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jan\Desktop\HijackThis1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CC13347-1F03-47D3-A4D2-743AF53635E9}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DE50D14-6260-44A8-B89E-32AEC2470F02}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - C:\Programme\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Performance Driver Service - Unknown owner - C:\Programme\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PinnacleUpdate Service (PinnacleUpdateSvc) - PowerUp Software, LLC - C:\Programme\PowerUp Software\Pinnacle Game Profiler\pinnacle_updater.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 8041 bytes
--- --- ---
schaut doch eig. ok aus?

hab mal die viren in google gesucht und einige der seiten liesen sich garnicht aufbauen... auf der seite die sich dann nach gewisser zeit laden zeigte standen lauter komische dinge was ich nicht verstand und ganz unten so ne komische internet adresse. firefox stürze heut auch schon 2 mal ganz ab. komisch ist jetzt, das sich diese seiten aber wieder aufbauen... bei einer seite kommt jetzt so eine fehlermeldung :

Parse error: syntax error, unexpected T_ENDIF in /home/metadesc/public_html/IKLANWOW.COM/wp-content/themes/freicurv_v2/header.php on line 39

die ist viel kürzer als die anderen die da waren.
formatieren kommt für mich eigentlich nicht in frage, meint ihr das es sich noch so bereinigen lässt?
hatte auch so ein fake malware prog drauf was sich selbst installiert hatte, aber lediglich nur eine datei mit reg datei + info und die info war der hammer lol
da standen ca 10 punkte drin was das prog so callen wird...
zB blablabla wird melden das sich dort nen problem befindet oder nen virus oder malware usw... das hatte ich jetzt sogar schon zum 2ten mal diesen monat drauf habs aber im abgesichertem modus runtergeschmissen.
ich hoffe mal auf positive antworten das es ohne forma bewältigen lässt :)

achja, security suite hatte ich mir auch eingefangen... aber schon bereinigt^^

raman 26.08.2010 10:22
Das ist schon eine der etwas haerteren "Nuesse", neuaufsetzen waere hier definitiv die beste und sicherste MEthode.
Wenn du moechtest, lasse bitte ersteinmal Malwarebytes laufen und alle Funde bereinigen. Poste danach den erstellten Report.

Eine Datensicherung und das aendern aller Passworte vorher von einem sauberen Rechner aus, kann ebenfalls nicht schaden!

nemi123 26.08.2010 11:13
hi raman, progi läuft
hm, mir fällt grad auf das das problem ja eigentlich nur im windoof besteht oder? die ausm system value sollten sich doch easy bereinigen lassen? mit neuaufsetzten meinste jetzt hoffe ich nicht formatieren sondern einfach nur windoof neu draufschmeissen? denke das es reichen müsste.
bin aber kein pro daher lasse ich mich auch gern des besseren belehren falls es nicht anders gehen sollte, falls doch... wie sicher ich installierte games und progs, sodas ich sie nachm neuaufsetzten nicht wieder neu installieren muss? ist das möglich?

raman 26.08.2010 11:25
Die Malware hat einige deiner Systemdateien infiziert. Du kannst froh sein, das Antivir diese nicht vorschnell geloescht hat, sonst waere dein REchner nicht mehr gestartet..

C:\WINDOWS\system32\winlogon.exe
[FUND] Ist das Trojanische Pferd TR/Spy.513024.11
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 159c9dec.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.

Da die Malware so keine Systemdateien mehr befaellt, reicht eigentlich ein neu Partitionieren und formatieren aus. Achte halt darauf keine Software aus nicht vertrauenswuerdigen Quellen zu nutzen!

nemi123 26.08.2010 11:35
löschen wollte ich sie auch defenitiv nicht, aber glaube selbst wenn dann wäre das löschen nicht erfolgreich gewesen da der prozess ja permanent läuft, oder täusch ich mich da?
A-M-M läuft leider noch, 7 infizierte objekte bis jetzt.
mal ANGENOMMEN ich würde nicht formatieren und es so belassen... was könnte draus folgen, die modul anzahl würde warscheinlich immer mehr und der pc würde immer langsamer werden?

nemi123 26.08.2010 11:47
das prog ist echt nice und lässt spybot mal im wind stehen...^^

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4482

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.08.2010 12:42:38
mbam-log-2010-08-26 (12-42-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 239693
Laufzeit: 1 Stunde(n), 7 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 6
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\SolutionAV (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\BulletProofSoft.com (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Flags (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Help (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Language (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Skin (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000062.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000061.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000759.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000758.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000760.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{310920F4-6AC4-482F-8AAE-DFCA60602C8F}\RP2\A0000774.EXE (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\DFile.mrc (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\PC System Tweak for Windows.url (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\TurboDLL.dll (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\unins000.dat (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\unins000.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Flags\English.bmp (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Help\English.chm (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Language\ENGLISH.ini (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Skin\BG.jpg (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Skin\skin.skn (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Programme\BulletProofSoft.com\PCSystemTweakforWindows\Skin\Splash.spl (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\UACd.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

mal rebooten und schauen ob sich was geändert hat.

edit: werd wohl nicht ums formatieren kommen. wie schaut das den mit saves von spielen aus? kann ich die einfach brennen und danach einfach wieder draufpacken?

raman 26.08.2010 12:21
Du kannst die Spielstaende brennen oder auf USB Stick kopieren, wenn du denn weisst, wo sie sind und nachher wieder hin muessen...

Du hattest ja gefragt, was dir schlimmsten falls passieren kann, wenn du nicht formatierst (und partitionierst bzw MBR neu schreiben!), dann kann einiges an Malware uebrigbleiben und weiter schlummern. Im besten Fall machen diese "Reste" nichts, aber wenn es ein aktiver Passwortstehler ist, ist es uebel.

Bei dir ist so ein alter "Rest" das hier C:\WINDOWS\system32\drivers\UACd.sys, der muss schon laenger bei dir auf dem Rechner sein...

raman 26.08.2010 12:24
Nachtrag: Infiziert bist du ja immer noch, koenntest du eine infizierte winlogon.exe und explorer.exe im Uploadchannel hochladen?
http://www.trojaner-board.de/54791-a...ner-board.html

nemi123 26.08.2010 12:35
das passt schon mit den savegames, die sind ja meist alle unter eigene dateien zu finden^^

ein böser ist auf jeden fall noch activ

affid=37 subid=471 sub_id=730000471 agent=Mozilla%2F5.0+%28Windows%3B+U%3B+Windows+NT+5.1%3B+de%3B+rv%3A1.9.2.8%29+Gecko%2F20100722+Firefox%2F3.6.8 ref=http%3A%2F%2Fautoinsurancepoplarbluff.com%2F%3Fc%3DMmM1MjAxNWY1YzE4Mjk0NGNmMTdkYjRiODA5NjM2ZWY ip=178.1.103.35 pos=1 dt=2010-08-26+11:25:40 q=bladder+cancer+treatment bid=0.01265 feedname=klikvip clickurl=http%3A%2F%2F208.94.233.34%2Fgo.php%3Fdata%3DB9qXsJyDeYXIk61kPVEeHlA9jEeVJI1eyDWDkG68GTNcnWGnUULBu41RWW7Db9u5ibYEtC4OPMGAaNHT8RpZJtUvKy%252FP ojR4XGvOhg2MX%252B8cMKhIyK54wTMomS6nBXpTTmroqFp3Vf4DDOqUb%252FharXfh42ysdlzqgvCdSYTqocRolFCRipDgXmcuRDcM7zoWK9o8YKVaYp6Z3FJYGrVoFgRGbiyPyu%252F2O7i2%2 52FJRBwSEOAEjQQXQOc2b7ICa6QZLwcWcCqE7wq7nH66mwafQouzTsMCZ7PryRSOF49%252F96RqITWM%252F9g59WNbNNpSnc4sFrGAu9cMKayqzcDDnQ5hG7kW7x0KAV2Wll9tiQiTIswanBVoae xRu3TSkzX4xwp%252FUwNJtpyRh%252FNP5QRjpLF2YFjGqzNjKb8yIGZw8hH9dLpZ6atKpeCRi0F85ktNhKa5jlTa%252F7xEpG9N6j8Owv2KP5mrdScpggWDuQh9IHyk1m5CwuzF5YVoi6rfHZeu LL6thtYsM%252FkDXN9KihaACmx93pHNX1NDGLbmV0I2XyRi8XM90kZEl4DlgYxOr39sDnpadKpwjxAgta0dySZtAb3ep%252B2KIfHaPfFiCsJ8ANBXcpxvIjIyxQnGSu14pVn9BxMEYrKwM6D%25 2B8sWZXmalU%252BM3VmNAiDgiKS5B4OO2mcFe5KJmzPEPi3RE9FjYthJ71sOe9TTQ7%252FcOQh%252BftN36y54Zt94bL5%252FU3nuw1e4rZoEcXnqxD05B6WhYbhBX%252FCb5Hu8kfy5fvn2v G3c6U%253D url=www.toseeka.com country=
ERROR: Wrong P parameter

die info krieg ich zB wenn ich auf ne MBR infoseite gehen will...
naja hab leider beim letzten neuaufsetzten das partitionieren vergessen, aber diesmal wird mir das nicht nochmal passieren.

wie kannste das so genau sagen das UACd.sys schon länger drauf ist?

nemi123 26.08.2010 12:47
Zitat:
Zitat von raman (Beitrag 560278)
Nachtrag: Infiziert bist du ja immer noch, koenntest du eine infizierte winlogon.exe und explorer.exe im Uploadchannel hochladen?
http://www.trojaner-board.de/54791-a...ner-board.html


aber sicher doch

raman 26.08.2010 13:02
Dem Dateinamen nach wuerde ich das schaetzen, da Logs mit dieser TDSS Variante schon ueber 6 Monate alt sind. In neuen Reporten tauchen die eigentlich nie auf.

Combofix kann dich von noch mehr malware befreien, wenn das arbeiten mit dem Rechner noch probleme bereitet...

nemi123 26.08.2010 13:05
hm, wenn ich auf hochladen klicke dann sind die dateien zuvort hochgeladen? 1,8 MB dauert bei meiner leitung eigentlich schon so 20-35 sek ca... hoffe mal das die dateien angekommen sind.

ists sicher avira zu beenden? combofix wills ja so^^

raman 26.08.2010 13:17
Es sind nur "0" Bytes angekommen. ISt aber nicht so wichtig. Ja, dactiviere Avira vor der Combofixnutzung...

nemi123 26.08.2010 13:50
combofis is echt der hammer :)
Combofix Logfile:
Code:
ComboFix 10-08-25.01 - Jan 26.08.2010  14:24:30.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1485 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\installer.exe
c:\windows\system32\tmp3.tmp

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2010-07-26 bis 2010-08-26  ))))))))))))))))))))))))))))))
.

2010-08-26 12:09 . 2010-08-26 12:09        --------        dc----w-        c:\programme\softonic-de3
2010-08-26 12:09 . 2010-08-26 12:09        --------        d-----w-        c:\dokumente und einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-08-26 12:09 . 2010-06-08 09:29        52224        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\hjn21v3b.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-08-26 12:09 . 2010-06-08 09:29        101376        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\hjn21v3b.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
2010-08-26 09:29 . 2010-08-26 09:29        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Malwarebytes
2010-08-26 09:28 . 2010-04-29 10:19        38224        -c--a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-26 09:28 . 2010-08-26 09:29        --------        dc----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-26 09:28 . 2010-04-29 10:19        20952        -c--a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-26 03:37 . 2010-08-26 03:37        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2010-08-26 01:20 . 2010-08-26 01:20        --------        dc----w-        c:\windows\system32\wbem\Repository
2010-08-26 01:18 . 2010-08-26 01:18        --------        dc----w-        c:\dokumente und einstellungen\Administrator\IETldCache
2010-08-22 02:33 . 2010-08-22 02:33        --------        dc----w-        c:\programme\Microsoft Sync Framework
2010-08-22 02:31 . 2010-08-22 02:31        --------        dc----w-        c:\programme\Microsoft SQL Server Compact Edition
2010-08-22 02:29 . 2010-08-22 02:29        --------        dc----w-        c:\programme\Windows Live SkyDrive
2010-08-18 01:08 . 2010-08-18 01:08        --------        d-----w-        c:\dokumente und einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\id Software
2010-08-13 00:31 . 2010-08-13 00:31        10134        -c--a-r-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Microsoft\Installer\{9FD6F1A8-5550-46AF-8509-271DF0E768B5}\ARPPRODUCTICON.exe
2010-08-13 00:31 . 2007-06-29 12:47        34304        -c--a-w-        c:\windows\system32\drivers\AmdLLD.sys
2010-08-13 00:31 . 2010-08-13 00:31        --------        dc----w-        c:\programme\AMD
2010-08-12 20:29 . 2010-08-12 20:29        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\S.A.D
2010-08-12 20:29 . 2010-08-12 20:29        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\concept design
2010-08-12 20:29 . 2010-08-12 20:29        --------        dc----w-        c:\programme\S.A.D
2010-08-12 20:10 . 2010-07-06 11:26        30528        -c--a-w-        c:\windows\system32\TURegOpt.exe
2010-08-12 20:10 . 2010-07-06 11:20        30016        -c--a-w-        c:\windows\system32\uxtuneup.dll
2010-08-12 20:09 . 2010-08-12 20:14        --------        dc----w-        c:\programme\TuneUp Utilities 2010
2010-08-12 15:22 . 2010-08-12 20:46        --------        dc----w-        c:\programme\Star Wars The Force Unleashed
2010-08-12 15:18 . 2010-08-12 15:18        --------        d-----w-        c:\dokumente und einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Aspyr
2010-08-11 23:04 . 2010-08-11 23:04        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-08-11 21:43 . 2010-08-11 21:43        --------        dc----w-        c:\programme\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
2010-08-11 17:41 . 2010-08-11 17:41        299        -c--a-w-        c:\windows\system32\nvUnsupRes.dat
2010-08-11 17:06 . 2010-08-11 19:19        233200        -c--a-w-        c:\windows\system32\nvdrsdb0.bin
2010-08-11 17:06 . 2010-08-11 19:19        1        -c--a-w-        c:\windows\system32\nvdrssel.bin
2010-08-11 17:06 . 2010-08-11 19:19        233200        -c--a-w-        c:\windows\system32\nvdrsdb1.bin
2010-08-11 17:03 . 2010-08-06 00:08        61440        -c--a-w-        c:\windows\system32\OpenCL.dll
2010-08-11 17:03 . 2010-08-06 00:08        10260480        -c--a-w-        c:\windows\system32\nvcompiler.dll
2010-08-11 17:00 . 2010-08-11 17:00        --------        dc----w-        c:\programme\SiSoftware
2010-08-11 16:59 . 2010-08-11 22:12        --------        dc----w-        c:\programme\aTuner
2010-08-11 16:59 . 2010-08-11 22:24        --------        dc----w-        c:\programme\ATITool
2010-08-11 16:09 . 2010-08-11 16:09        --------        dc----w-        c:\programme\Lavalys
2010-08-11 15:01 . 2010-08-11 15:01        --------        dc----w-        c:\windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2010-08-11 14:51 . 2010-08-11 14:51        --------        dc----w-        c:\windows\B83FC356B7C0441F8A4DD71E088E7974.TMP
2010-08-11 10:05 . 2010-08-11 10:05        1861000        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nexon\Common\NMService.exe
2010-08-11 10:05 . 2010-08-11 10:05        1774992        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nexon\Common\nmconew.dll
2010-08-10 21:49 . 2010-08-10 21:49        --------        dc----w-        c:\programme\Fox
2010-08-10 08:05 . 2010-08-10 08:05        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-08-08 14:21 . 2010-08-08 14:21        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2010-08-08 14:18 . 2010-08-10 08:14        --------        dc----w-        c:\programme\Logia
2010-08-08 14:17 . 2010-08-08 14:18        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Logia
2010-08-06 23:34 . 2010-08-06 23:34        --------        dcsh--w-        c:\dokumente und einstellungen\Jan\IECompatCache
2010-08-06 23:33 . 2010-08-06 23:33        --------        dcsh--w-        c:\dokumente und einstellungen\Jan\PrivacIE
2010-08-06 23:32 . 2010-08-06 23:32        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2010-08-06 23:32 . 2010-08-06 23:32        --------        dcsh--w-        c:\dokumente und einstellungen\Jan\IETldCache
2010-08-06 23:28 . 2010-08-26 10:49        --------        dc-h--w-        c:\windows\ie8
2010-08-05 17:16 . 2010-08-05 17:23        --------        dc----w-        c:\programme\PCSX2 0.9.7
2010-08-05 17:01 . 2010-08-05 17:01        --------        d-----w-        c:\dokumente und einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\PCSX2_Team
2010-08-05 16:46 . 2010-08-14 01:58        --------        d-----w-        c:\dokumente und einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\pcsx2
2010-08-05 03:00 . 2008-04-13 22:10        34688        -c--a-w-        c:\windows\system32\drivers\lbrtfdc.sys
2010-08-05 03:00 . 2008-04-13 22:10        34688        -c--a-w-        c:\windows\system32\dllcache\lbrtfdc.sys
2010-08-05 03:00 . 2008-04-13 22:11        8576        -c--a-w-        c:\windows\system32\drivers\i2omgmt.sys
2010-08-05 03:00 . 2008-04-13 22:11        8576        -c--a-w-        c:\windows\system32\dllcache\i2omgmt.sys
2010-08-05 03:00 . 2008-04-13 22:11        8192        -c--a-w-        c:\windows\system32\drivers\changer.sys
2010-08-05 03:00 . 2008-04-13 22:11        8192        -c--a-w-        c:\windows\system32\dllcache\changer.sys
2010-08-03 21:46 . 2010-08-03 21:46        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\PowerUp Software
2010-08-03 21:43 . 2010-08-03 21:43        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PowerUp Software
2010-08-03 21:37 . 2008-01-13 15:36        91632        -c--a-w-        c:\windows\system32\dsofile.dll
2010-08-03 21:37 . 2003-01-26 12:41        40960        -c--a-w-        c:\windows\system32\SSubTmr6.dll
2010-08-03 21:37 . 2001-04-05 05:43        94208        -cs---r-        c:\windows\system32\msstkprp.dll
2010-08-03 21:37 . 1998-06-17 22:00        89360        -c--a-w-        c:\windows\system32\VB5DB.DLL
2010-08-03 21:37 . 2010-08-26 00:54        119296        -c--a-w-        c:\windows\system32\zlib.dll
2010-08-03 21:37 . 2008-01-13 18:59        36864        -c--a-w-        c:\windows\system32\dxinputdll.dll
2010-08-03 21:37 . 1999-05-17 12:55        57344        -c----w-        c:\windows\system32\ADsSecurity.dll
2010-08-03 21:37 . 2010-08-03 21:37        --------        dc----w-        c:\programme\PowerUp Software
2010-08-03 20:59 . 2010-08-03 20:59        --------        dc----w-        c:\programme\Terminal Reality
2010-08-02 21:19 . 2010-08-02 21:19        2238        -c--a-r-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Microsoft\Installer\{C6866249-495A-4ED7-AD69-99336B5E86E4}\_4ae13d6c.exe
2010-08-02 21:19 . 2010-08-02 21:19        2238        -c--a-r-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Microsoft\Installer\{C6866249-495A-4ED7-AD69-99336B5E86E4}\_2cd672ae.exe
2010-08-02 21:11 . 2010-08-02 22:20        --------        dc----w-        c:\programme\GUILTY GEAR XX ?RELOAD
2010-08-01 21:45 . 2010-08-01 21:45        --------        dc----w-        c:\windows\64F6748976BB4CDDA236F954BE774B35.TMP
2010-08-01 21:33 . 2010-08-17 23:32        --------        dc----w-        c:\programme\Activision
2010-07-27 23:06 . 2010-07-27 23:06        --------        dc----w-        C:\ijji

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-26 12:20 . 2006-03-24 12:00        84826        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-26 12:20 . 2006-03-24 12:00        459428        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-26 11:17 . 2010-03-21 19:42        --------        dc----w-        c:\programme\NVIDIA Corporation
2010-08-26 09:56 . 2009-11-16 01:19        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\vlc
2010-08-26 06:21 . 2010-08-26 06:21        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml24.tmp
2010-08-26 06:21 . 2010-08-26 06:21        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml23.tmp
2010-08-26 06:21 . 2010-08-26 06:21        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml22.tmp
2010-08-26 06:20 . 2010-08-26 06:20        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml21.tmp
2010-08-26 04:07 . 2009-01-25 01:20        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-26 04:07 . 2009-01-25 01:20        --------        dc----w-        c:\programme\Spybot - Search & Destroy
2010-08-26 02:47 . 2009-02-23 22:12        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Awqy
2010-08-22 02:33 . 2008-08-13 15:31        --------        dc----w-        c:\programme\Windows Live
2010-08-18 00:07 . 2008-08-13 14:05        --------        dc-h--w-        c:\programme\InstallShield Installation Information
2010-08-15 00:15 . 2010-02-16 17:16        --------        dc----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-08-13 23:44 . 2010-03-24 00:59        307152        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-12 18:57 . 2010-08-26 03:53        276102        -c--a-w-        c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-08-11 21:15 . 2008-08-13 15:03        18592        ----a-w-        c:\dokumente und einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-11 21:15 . 2010-08-11 21:15        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlCB.tmp
2010-08-11 21:15 . 2010-08-11 21:15        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlCA.tmp
2010-08-11 21:15 . 2010-08-11 21:15        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlC9.tmp
2010-08-11 21:15 . 2010-08-11 21:15        0        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlC8.tmp
2010-08-11 15:00 . 2010-02-12 20:47        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2010-08-11 14:51 . 2008-08-18 19:16        664        -c--a-w-        c:\windows\system32\d3d9caps.dat
2010-08-09 22:47 . 2010-05-09 15:14        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Ipsiyq
2010-08-06 12:25 . 2010-07-26 19:26        --------        dc----w-        c:\programme\Pando Networks
2010-08-05 23:29 . 2008-08-26 15:50        --------        dc----w-        c:\programme\2K Games
2010-08-05 13:40 . 2010-06-06 23:26        --------        dc----w-        c:\programme\Neffy
2010-08-05 13:40 . 2010-06-17 14:43        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Napster
2010-08-05 03:23 . 2008-08-14 13:50        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Ybmyif
2010-08-05 03:00 . 2010-05-19 20:37        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Imfi
2010-08-05 00:42 . 2008-09-20 22:31        --------        dc----w-        c:\programme\Xfire
2010-08-04 19:33 . 2008-09-20 22:31        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Xfire
2010-08-02 22:23 . 2010-05-13 18:04        --------        dc----w-        c:\programme\Microsoft Games for Windows - LIVE
2010-07-29 15:22 . 2010-07-29 15:22        --------        dc----w-        c:\programme\ijji
2010-07-27 02:46 . 2010-07-27 02:46        --------        dc----w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Turbine
2010-07-27 02:32 . 2010-07-27 02:32        --------        dc----w-        c:\programme\Turbine
2010-07-18 12:27 . 2010-05-07 14:59        --------        dc----w-        c:\programme\DAEMON Tools Lite
2010-07-17 21:35 . 2010-07-17 21:34        --------        dc----w-        c:\programme\DAEMON Tools Toolbar
2010-07-09 22:38 . 2008-12-11 22:14        604776        -c--a-w-        c:\windows\system32\nvudisp.exe
2010-07-09 19:04 . 2010-07-09 19:04        41872        -c--a-w-        c:\windows\system32\xfcodec.dll
2010-07-08 19:00 . 2009-05-06 22:41        --------        dc----w-        c:\programme\Left 4 Dead
2010-07-07 11:46 . 2008-12-11 22:14        604776        -c--a-w-        c:\windows\system32\NVUNINST.EXE
2010-07-04 20:21 . 2010-07-04 20:21        --------        dc----w-        c:\programme\Disney Interactive Studios
2010-07-03 22:03 . 2010-03-23 18:20        --------        dc----w-        c:\programme\Steam
2010-06-08 01:38 . 2010-06-08 01:38        22328        -c--a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2010-06-08 01:38 . 2008-08-20 15:04        22328        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\PnkBstrK.sys
2010-06-08 01:38 . 2008-08-20 15:04        22328        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\PnkBstrK.sys
2010-06-08 01:38 . 2010-06-08 01:38        103736        ----a-w-        c:\windows\system32\PnkBstrB.exe
2010-06-08 01:38 . 2010-06-08 01:38        66872        ----a-w-        c:\windows\system32\PnkBstrA.exe
2010-06-04 13:00 . 2010-06-04 13:00        503808        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2437e3a8-n\msvcp71.dll
2010-06-04 13:00 . 2010-06-04 13:00        499712        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2437e3a8-n\jmc.dll
2010-06-04 13:00 . 2010-06-04 13:00        348160        -c--a-w-        c:\dokumente und einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2437e3a8-n\msvcr71.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsoft.dll" [2010-06-03 2736736]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-06-03 16:24        2736736        -c--a-w-        c:\programme\softonic-de3\tbsoft.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsoft.dll" [2010-06-03 2736736]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XboxStat"="c:\programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-27 734264]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-08 13762560]
"nwiz"="nwiz.exe" [2009-07-08 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-08 86016]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^802.11g USB Wireless Network Utility  .lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\802.11g USB Wireless Network Utility  .lnk
backup=c:\windows\pss\802.11g USB Wireless Network Utility  .lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup=c:\windows\pss\ScanPanel.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jan^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]
path=c:\dokumente und einstellungen\Jan\Startmenü\Programme\Autostart\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jan^Startmenü^Programme^Autostart^Registration .LNK]
path=c:\dokumente und einstellungen\Jan\Startmenü\Programme\Autostart\Registration .LNK
backup=c:\windows\pss\Registration .LNKStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jan^Startmenü^Programme^Autostart^Xfire.lnk]
path=c:\dokumente und einstellungen\Jan\Startmenü\Programme\Autostart\Xfire.lnk
backup=c:\windows\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06        976832        -c--a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-06-01 11:32        94208        -c--a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-04-12 22:46        1135912        -c--a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52        1695232        -c----w-        c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40        155648        -c--a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-06-15 08:45        1826816        -c--a-w-        c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"sdCoreService"=3 (0x3)
"sdAuxService"=3 (0x3)
"usnjsvc"=3 (0x3)
"GS In-Game Service"=2 (0x2)
"gusvc"=3 (0x3)
"gupdate"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"=c:\windows\ehome\ehtray.exe
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP3c\\RpcAgentSrv.exe"=
"c:\\Programme\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Programme\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP3c\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.06.2009 19:54 135336]
R2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\programme\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [14.05.2009 09:01 4440064]
R2 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [15.07.2007 04:37 27992]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [06.07.2010 13:23 1051968]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\aspi32.sys [09.09.2009 14:30 16512]
S3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;c:\programme\Dragon Age\bin_ship\daupdatersvc.service.exe [25.03.2010 03:46 25832]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;c:\windows\system32\drivers\rtl8187.sys [13.08.2008 16:04 169472]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe [11.08.2010 19:00 98488]
S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\sjypkt.sys [13.08.2008 16:05 13532]
S4 gupdate;Google Update Service (gupdate);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.08.2008 15:45 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-08-26 c:\windows\Tasks\User_Feed_Synchronization-{DA653C9F-DBF6-4C8D-9E89-9950F10CB4BA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2431245
TCP: {1CC13347-1F03-47D3-A4D2-743AF53635E9} = 192.168.2.1
TCP: {2DE50D14-6260-44A8-B89E-32AEC2470F02} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\hjn21v3b.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\hjn21v3b.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\hjn21v3b.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npijjiautoinstallpluginff.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-Locked - (no file)
WebBrowser-{A057A204-BACC-4D26-8087-36EE87E26986} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-GameTracker - c:\programme\GameTracker\GTLite.exe
MSConfigStartUp-ICQ - c:\progra~1\ICQ6.5\ICQ.exe
MSConfigStartUp-msnmsgr - ~c:\programme\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-RGSC - c:\programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe
MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MSConfigStartUp-Uniblue RegistryBooster 2009 - c:\programme\Uniblue\RegistryBooster\RegistryBooster.exe
MSConfigStartUp-{02C168B3-7785-367C-8811-18B3CF8B1EA4} - c:\dokumente und einstellungen\Jan\Anwendungsdaten\Yxsy\aryma.exe
MSConfigStartUp-{7E26D00B-B3D7-B24A-021F-82317A060E08} - c:\dokumente und einstellungen\Jan\Anwendungsdaten\Ymwo\zineg.exe
AddRemove-HijackThis - c:\dokumente und einstellungen\Jan\Desktop\HijackThis.exe
AddRemove-PC System Tweak for Windows_is1 - c:\programme\BulletProofSoft.com\PCSystemTweakforWindows\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-26 14:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,e9,0e,35,97,fe,de,44,98,87,2e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,e9,0e,35,97,fe,de,44,98,87,2e,\

[HKEY_USERS\S-1-5-21-1060284298-963894560-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9f,13,f6,58,6b,ec,37,9b,ff,36,95,c2,07,68,f8,41,47,27,b7,39,53,fb,fd,
  89,6e,64,f6,4e,58,57,0d,ef,82,93,f3,a0,5c,96,10,aa,8e,a0,09,0a,3a,bc,9b,ce,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-1060284298-963894560-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:15,52,89,30,8e,7e,b2,95,9a,04,b8,8b,93,5d,31,1d,8e,b4,9a,88,fa,
  74,48,c1,62,7c,3d,ef,4a,22,4b,a7,12,7d,d6,31,57,e5,83,35,59,07,f6,7f,9b,99,\
"rkeysecu"=hex:ee,77,51,cf,df,03,ca,4c,f2,6e,e5,2d,fe,7d,60,04
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3996)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\nvwddi.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\programme\Illustrate\dBpoweramp\dBShell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wscntfy.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-26  14:33:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-26 12:33

Vor Suchlauf: 12 Verzeichnis(se), 14.854.705.152 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.755.037.184 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=RRG9GT /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=RRG9GT-BAK

- - End Of File - - A45556406F17731324DE6DE820A7AD1E
--- --- ---
schaut doch super aus? avira ist auf jeden fall jetzt ruhig geworden.^^
woran mags gelegen haben das nur 0 byte ankamen? rest malware? oO

raman 26.08.2010 13:58
Ich schiebe das mal auf Antivir. Sofern Antivir die Malware nicht aus dem c:\Qoobox Ordner gloescht hat, packe den mal mit Zip. o.ae. und lade das erstellte Archiv hoch...


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:45 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19