Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Tidserv in ftdisk.sik (https://www.trojaner-board.de/90825-backdoor-tidserv-ftdisk-sik.html)

Cy-Music 15.09.2010 20:42
Backdoor.Tidserv in ftdisk.sik
 
Hallo Community,
mein Norton Internet Security zeigt mir an, dass in der Datei ftdisk.sik
(C:/WINDOWS/system32/drivers/ftdisk.sik) das RootKit Backdoor.Tidserv liegt.
Ich krieg's auch nicht weg.
Norton meint per Hand entfernen, Norton-Tools finden nix, weil sich der Virus anscheinend sehr, sehr gut tarnt, soviel ich gelesen habe.
Hoffe ihr könnt mir helfen!!

EDIT: Hier noch HiJackThis und Malwarebytes-Logs!

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:40:11, on 15.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\IPSBHO.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164535483125
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE

--
End of file - 7678 bytes
Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4623

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.09.2010 21:57:04
mbam-log-2010-09-15 (21-57-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177643
Laufzeit: 5 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\gpupdate.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.

markusg 16.09.2010 10:17
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Cy-Music 16.09.2010 16:24
Hallo markusg,
schonmal danke für die Antwort!

CF meinte kurz nach Scanbeginn er hätte RootKitAktivitäten festgestellt und müsste neustarten. Nach Klick auf OK, passierte aber nichts mehr, keine Festplattenaktivität, garnichts. Hab also manuell über den Power-Knopf am Rechner neu gestartet. Hoffe, das hat jetzt nichts verfälscht oder so.

Jedenfalls hier das Log:

Code:
ComboFix 10-09-15.02 - Daniel Baumann 16.09.2010  17:09:13.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\daemon.dll
c:\windows\jestertb.dll
c:\windows\system32\encapi32.dll
c:\windows\system32\lsprst7.dll
c:\windows\system32\msvcsv60.dll
c:\windows\system32\ssprs.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))
.

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ      autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\baumann\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 17:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A56B088]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a56b088
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
 SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
  6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
  68,6a,00,4d

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
  7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16  17:15:05
ComboFix-quarantined-files.txt  2010-09-16 15:15

Vor Suchlauf: 18 Verzeichnis(se), 135.330.201.600 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.305.781.248 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /tutag=ggmcvz

- - End Of File - - 147075EF6FAB4E6A16ACB8A84B8D1627

markusg 16.09.2010 16:32
Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

nutze den kaspersky tdss killer, log posten
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bek&#228;mpft?

Cy-Music 16.09.2010 16:48
Nachdem Defogger mit Disable fertig war und auf Finished geklickt hab, wurde kein Neustart durchgeführt. Hab dann disabled gelassen und Kaspersky scannen lassen. Dieser wiederum hat nichts gefunden.
Der Defogger ist immer noch disabled, soll ich warten bis du das OK zum Re-Enable gibst?
Gruß

Defogger-Log:

Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:42 on 16/09/2010 (Name)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-
Kaspersky-Log:

Code:
2010/09/16 17:44:05.0062        TDSS rootkit removing tool 2.4.2.1 Sep  7 2010 14:43:44
2010/09/16 17:44:05.0062        ================================================================================
2010/09/16 17:44:05.0062        SystemInfo:
2010/09/16 17:44:05.0062       
2010/09/16 17:44:05.0062        OS Version: 5.1.2600 ServicePack: 3.0
2010/09/16 17:44:05.0062        Product type: Workstation
2010/09/16 17:44:05.0062        ComputerName: xxx
2010/09/16 17:44:05.0062        UserName: xxx
2010/09/16 17:44:05.0062        Windows directory: C:\WINDOWS
2010/09/16 17:44:05.0062        System windows directory: C:\WINDOWS
2010/09/16 17:44:05.0062        Processor architecture: Intel x86
2010/09/16 17:44:05.0062        Number of processors: 2
2010/09/16 17:44:05.0062        Page size: 0x1000
2010/09/16 17:44:05.0062        Boot type: Normal boot
2010/09/16 17:44:05.0062        ================================================================================
2010/09/16 17:44:05.0437        Initialize success
2010/09/16 17:44:10.0906        ================================================================================
2010/09/16 17:44:10.0906        Scan started
2010/09/16 17:44:10.0906        Mode: Manual;
2010/09/16 17:44:10.0906        ================================================================================
2010/09/16 17:44:11.0390        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/09/16 17:44:11.0406        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/09/16 17:44:11.0453        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2010/09/16 17:44:11.0484        Afc            (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2010/09/16 17:44:11.0515        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2010/09/16 17:44:11.0593        ALCXSENS        (a9355a51698f6901b362ef738b15631d) C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2010/09/16 17:44:11.0609        ALCXWDM        (b191753b1aa2e7b11a18d5fde8248aa2) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2010/09/16 17:44:11.0718        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/09/16 17:44:11.0750        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/09/16 17:44:11.0781        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/09/16 17:44:11.0796        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/09/16 17:44:11.0812        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/09/16 17:44:11.0953        BHDrvx86        (5138da8715da5f9823b753b6cb36a9a9) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys
2010/09/16 17:44:12.0031        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/09/16 17:44:12.0062        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/09/16 17:44:12.0078        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/09/16 17:44:12.0125        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/09/16 17:44:12.0171        CLEDX          (b53f9635457b56dcffef750e18aec6cb) C:\WINDOWS\system32\DRIVERS\cledx.sys
2010/09/16 17:44:12.0265        cpudrv          (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys
2010/09/16 17:44:12.0328        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/09/16 17:44:12.0359        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2010/09/16 17:44:12.0390        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2010/09/16 17:44:12.0421        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/09/16 17:44:12.0437        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2010/09/16 17:44:12.0468        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/09/16 17:44:12.0531        eeCtrl          (089296aedb9b72b4916ac959752bdc89) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
2010/09/16 17:44:12.0562        EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
2010/09/16 17:44:12.0593        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/09/16 17:44:12.0609        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/09/16 17:44:12.0640        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2010/09/16 17:44:12.0671        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2010/09/16 17:44:12.0718        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2010/09/16 17:44:12.0734        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/09/16 17:44:12.0781        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/09/16 17:44:12.0812        ggflt          (007aea2e06e7cef7372e40c277163959) C:\WINDOWS\system32\DRIVERS\ggflt.sys
2010/09/16 17:44:12.0843        ggsemc          (c73de35960ca75c5ab4ae636b127c64e) C:\WINDOWS\system32\DRIVERS\ggsemc.sys
2010/09/16 17:44:12.0875        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/09/16 17:44:12.0906        hamachi        (7929a161f9951d173ca9900fe7067391) C:\WINDOWS\system32\DRIVERS\hamachi.sys
2010/09/16 17:44:12.0921        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2010/09/16 17:44:12.0937        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/09/16 17:44:13.0000        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/09/16 17:44:13.0062        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/09/16 17:44:13.0109        ialm            (7df53bb1f78de5dca8ac842868d34b01) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2010/09/16 17:44:13.0250        IDSxpx86        (231c3f6d5c520e99924e1e37401a90c4) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSxpx86.sys
2010/09/16 17:44:13.0296        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/09/16 17:44:13.0406        IntcAzAudAddService (662b65eeb8d070bd1162a7b63859afcf) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2010/09/16 17:44:13.0453        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2010/09/16 17:44:13.0500        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/09/16 17:44:13.0515        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/09/16 17:44:13.0531        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/09/16 17:44:13.0546        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/09/16 17:44:13.0578        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/09/16 17:44:13.0609        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/09/16 17:44:13.0640        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/09/16 17:44:13.0671        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/09/16 17:44:13.0687        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/09/16 17:44:13.0703        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2010/09/16 17:44:13.0750        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/09/16 17:44:13.0812        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/09/16 17:44:13.0828        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2010/09/16 17:44:13.0843        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/09/16 17:44:13.0875        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/09/16 17:44:13.0890        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/09/16 17:44:13.0937        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/09/16 17:44:14.0000        MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/09/16 17:44:14.0031        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2010/09/16 17:44:14.0046        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/09/16 17:44:14.0062        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/09/16 17:44:14.0078        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/09/16 17:44:14.0093        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/09/16 17:44:14.0125        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2010/09/16 17:44:14.0234        NAVENG          (0953bb24c1e70a99c315f44f15993c17) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVENG.SYS
2010/09/16 17:44:14.0281        NAVEX15        (3ddb0bef60b65df6b110c23e17cd67dc) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVEX15.SYS
2010/09/16 17:44:14.0312        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2010/09/16 17:44:14.0328        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/09/16 17:44:14.0343        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/09/16 17:44:14.0359        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/09/16 17:44:14.0375        NDProxy        (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/09/16 17:44:14.0406        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/09/16 17:44:14.0453        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/09/16 17:44:14.0500        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2010/09/16 17:44:14.0531        Nsynas32        (4b4a21e158c039ee0888741bfe1d24e0) C:\WINDOWS\system32\drivers\Nsynas32.sys
2010/09/16 17:44:14.0562        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/09/16 17:44:14.0578        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/09/16 17:44:14.0609        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/09/16 17:44:14.0640        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/09/16 17:44:14.0656        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/09/16 17:44:14.0671        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/09/16 17:44:14.0718        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/09/16 17:44:14.0750        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/09/16 17:44:14.0781        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/09/16 17:44:14.0812        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/09/16 17:44:14.0906        pfc            (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys
2010/09/16 17:44:14.0937        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/09/16 17:44:14.0953        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/09/16 17:44:14.0984        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/09/16 17:44:15.0015        PxHelp20        (40fedd328f98245ad201cf5f9f311724) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2010/09/16 17:44:15.0093        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/09/16 17:44:15.0093        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/09/16 17:44:15.0125        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/09/16 17:44:15.0125        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/09/16 17:44:15.0187        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/09/16 17:44:15.0203        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/09/16 17:44:15.0234        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/09/16 17:44:15.0265        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/16 17:44:15.0328        RTLE8023xp      (185641ad7e80bfce0aa545d3ec79d557) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
2010/09/16 17:44:15.0359        s1018bus        (1c5c2cb892553d2cf3f45a4bb323fcd6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys
2010/09/16 17:44:15.0375        s1018mdfl      (38f5ea219593f19b6b3a1b9c169e3b61) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys
2010/09/16 17:44:15.0406        s1018mdm        (666af6b64fc7df92d3ca4819ea91631d) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys
2010/09/16 17:44:15.0421        s1018mgmt      (f4ceda6e2ddff2af8bd745615a7ca9c0) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys
2010/09/16 17:44:15.0453        s1018nd5        (3622d9ff2253dcbe885b10736609a4ca) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys
2010/09/16 17:44:15.0468        s1018obex      (49431efda842b474531c29ffae9f5d09) C:\WINDOWS\system32\DRIVERS\s1018obex.sys
2010/09/16 17:44:15.0484        s1018unic      (ac6b514cb4474f4c867d7cdc9cd54f05) C:\WINDOWS\system32\DRIVERS\s1018unic.sys
2010/09/16 17:44:15.0531        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/09/16 17:44:15.0546        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/09/16 17:44:15.0578        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/09/16 17:44:15.0625        sfdrv01        (4c0d673281178cb496011a2e28571fc8) C:\WINDOWS\system32\drivers\sfdrv01.sys
2010/09/16 17:44:15.0640        sfhlp02        (15be2b5e4dc5b8623cf167720682abc9) C:\WINDOWS\system32\drivers\sfhlp02.sys
2010/09/16 17:44:15.0656        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/09/16 17:44:15.0703        sfvfs02        (d5a7e09d2c6a702809e49190d52adc9f) C:\WINDOWS\system32\drivers\sfvfs02.sys
2010/09/16 17:44:15.0750        SiS315          (c10865ab0a1fd9f4ec7db70a1b8425d1) C:\WINDOWS\system32\DRIVERS\sisgrp.sys
2010/09/16 17:44:15.0781        SISAGP          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2010/09/16 17:44:15.0796        SiSkp          (96ad556979fb5d5e56141219772a9ec9) C:\WINDOWS\system32\DRIVERS\srvkp.sys
2010/09/16 17:44:15.0828        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2010/09/16 17:44:15.0875        sptd            (a80cd850d69d996c832bea37e3a6aa1e) C:\WINDOWS\system32\Drivers\sptd.sys
2010/09/16 17:44:15.0906        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/09/16 17:44:15.0953        SRTSP          (d0ab8e989935d895f1bed8f607fa0948) C:\WINDOWS\System32\Drivers\NIS\1201000.025\SRTSP.SYS
2010/09/16 17:44:15.0968        SRTSPX          (fae9f5558a1f53670e579f9ffb4a67cc) C:\WINDOWS\system32\drivers\NIS\1201000.025\SRTSPX.SYS
2010/09/16 17:44:16.0015        Srv            (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/09/16 17:44:16.0031        st3wolf        (1e9a652d898cc96038e5e5554f79c49f) C:\WINDOWS\system32\DRIVERS\st3wolf.sys
2010/09/16 17:44:16.0062        stwlfbus        (24e09d134304fbc605626fced3e4cb50) C:\WINDOWS\system32\DRIVERS\stwlfbus.sys
2010/09/16 17:44:16.0078        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/09/16 17:44:16.0109        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2010/09/16 17:44:16.0296        SymDS          (67e83f8c7e80dc898a1d73b38412ba7a) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMDS.SYS
2010/09/16 17:44:16.0343        SymEFA          (3986a8de371e985ba6c82eb8da3b1e98) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMEFA.SYS
2010/09/16 17:44:16.0375        SymEvent        (5c76a63fac8a5580c5a1c4a4ed827782) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
2010/09/16 17:44:16.0390        SymIRON        (8ae632773b5192dce48f4ec8de753863) C:\WINDOWS\system32\drivers\NIS\1201000.025\Ironx86.SYS
2010/09/16 17:44:16.0421        SYMTDI          (34ff2368b7914d1b29d16aba865e982d) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMTDI.SYS
2010/09/16 17:44:16.0468        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/09/16 17:44:16.0515        TClass2k        (1b3c28d36e669deeb39331255a3feeeb) C:\WINDOWS\system32\DRIVERS\TClass2k.sys
2010/09/16 17:44:16.0562        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/09/16 17:44:16.0578        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/09/16 17:44:16.0593        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/09/16 17:44:16.0625        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/09/16 17:44:16.0671        uagp35          (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys
2010/09/16 17:44:16.0703        UCTblHid        (adfa2e999bd2ddf89187dcbf0e3dd404) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys
2010/09/16 17:44:16.0718        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2010/09/16 17:44:16.0765        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2010/09/16 17:44:16.0796        usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2010/09/16 17:44:16.0796        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/09/16 17:44:16.0828        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/09/16 17:44:16.0843        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/09/16 17:44:16.0859        usbohci        (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/09/16 17:44:16.0890        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/09/16 17:44:16.0906        usbstor        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/09/16 17:44:16.0906        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2010/09/16 17:44:16.0937        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2010/09/16 17:44:16.0984        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/09/16 17:44:17.0000        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/09/16 17:44:17.0015        wceusbsh        (2e8ba025d65dd49d15ea66973e2a15df) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2010/09/16 17:44:17.0062        Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2010/09/16 17:44:17.0093        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/09/16 17:44:17.0140        WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2010/09/16 17:44:17.0187        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2010/09/16 17:44:17.0203        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2010/09/16 17:44:17.0250        ================================================================================
2010/09/16 17:44:17.0250        Scan finished
2010/09/16 17:44:17.0250        ================================================================================

markusg 16.09.2010 16:55
kannst du noch mal cf ausprobieren?

Cy-Music 16.09.2010 16:56
Klar, Defogger dabei disabled lassen?

markusg 16.09.2010 17:00
ja, es steht da, bis angewiesen wird. und dass ist am ende.

Cy-Music 16.09.2010 17:23
Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden?

Hier das CF-Log:

Code:
ComboFix 10-09-15.03 - xxx 16.09.2010  18:14:11.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))
.

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll
.

(((((((((((((((((((((((((((((  SnapShot@2010-09-16_15.14.00  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-16 16:14 . 2010-09-16 16:14    16384              c:\windows\Temp\Perflib_Perfdata_29c.dat
+ 2010-09-16 16:13 . 2010-09-16 16:13    16384              c:\windows\Temp\Perflib_Perfdata_25c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ      autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\xxx\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 18:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3E1DC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a3e1dc8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
 SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
  6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
  68,6a,00,4d

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
  7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16  18:19:54
ComboFix-quarantined-files.txt  2010-09-16 16:19
ComboFix2.txt  2010-09-16 15:15

Vor Suchlauf: 23 Verzeichnis(se), 135.289.184.256 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.274.700.800 Bytes frei

- - End Of File - - A7027AFEB2BD7042E98C1AA076F40EA4

markusg 16.09.2010 17:29
nutze mal gmer.
http://www.trojaner-board.de/74908-a...t-scanner.html

Cy-Music 16.09.2010 23:05
GMER lief seit 19:30 Uhr bist grade eben.
Musste es allerdings abbrechen, da ich morgen arbeiten muss und es immer noch nicht fertig war mit scannen.
Gibt's eine Möglichkeit den Scan etwas abzukürzen, so dass er keine 5 oder 6 Stunden läuft? So lange bin ich ja nie am PC!

markusg 17.09.2010 10:21
1. atf cleaner:
|MG| ATF Cleaner 3.0.0.2 Download
hake alles an, auch auf dem firefox tap, wähle emty selected, bestätige mit ok.
2. ccleaner, dateien + registry bereinigen:
http://www.trojaner-board.de/51464-a...-ccleaner.html
3. systemwiederherstellung de-und reaktivieren
Windows XP - Die Systemwiederherstellung komplett abschalten
vor dem reaktivieren 5 min warten.
4. wärend gmer läuft, schaltest du alle aktieven programme, auch antivirus aus und trennst die internet verbindung.
vllt bringen diese tipps ne zeitersparniss.

Cy-Music 18.09.2010 18:57
Habs mal ausgeführt, wie du es beschrieben hast.
War dann weg vom PC in der Annahme es würde wieder länger dauern.
Als ich wieder kam, war ich am Anmeldebildschirm und als ich mich dann angemeldet hatte, kam die Meldung, dass das System aufgrund eines schwerwiegenden Fehlers neugestartet wurde.
Des weiteren hängt mein PC nach jedem GMER-Scan und lässt sich nicht herunterfahren.
Werde wohl morgen nochmal versuchen zu scannen, hoffe dann geht es, ansonsten müssten wir uns eine Alternative zurechtlegen.

Gruß

Cy-Music 19.09.2010 19:28
So, hier endlich mal ein GMER-Log.
Hat lange gedauert.

Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-19 20:22:07
Windows 5.1.2600 Service Pack 3
Running: zscfi4o6.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pwldqpog.sys


---- System - GMER 1.0.15 ----

SSDT            8A46F810                                                                                                                            ZwAlertResumeThread
SSDT            8A48D980                                                                                                                            ZwAlertThread
SSDT            89ED4A00                                                                                                                            ZwAllocateVirtualMemory
SSDT            8A5C3318                                                                                                                            ZwAssignProcessToJobObject
SSDT            8A524AC0                                                                                                                            ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwCreateKey [0xA7B3A720]
SSDT            8A597E90                                                                                                                            ZwCreateMutant
SSDT            8A11EE78                                                                                                                            ZwCreateSymbolicLinkObject
SSDT            8A4E8A60                                                                                                                            ZwCreateThread
SSDT            8A5CA3E8                                                                                                                            ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwDeleteKey [0xA7B3A9A0]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwDeleteValueKey [0xA7B3AF00]
SSDT            89E87130                                                                                                                            ZwDuplicateObject
SSDT            8A59C168                                                                                                                            ZwFreeVirtualMemory
SSDT            8A46AB70                                                                                                                            ZwImpersonateAnonymousToken
SSDT            8A46E0F0                                                                                                                            ZwImpersonateThread
SSDT            8A414E30                                                                                                                            ZwLoadDriver
SSDT            89B6F090                                                                                                                            ZwMapViewOfSection
SSDT            8A463520                                                                                                                            ZwOpenEvent
SSDT            8A860FC0                                                                                                                            ZwOpenProcess
SSDT            8A764050                                                                                                                            ZwOpenProcessToken
SSDT            8A4576D0                                                                                                                            ZwOpenSection
SSDT            8A415188                                                                                                                            ZwOpenThread
SSDT            8997FE78                                                                                                                            ZwProtectVirtualMemory
SSDT            8A48D9B8                                                                                                                            ZwResumeThread
SSDT            8A4DE0A8                                                                                                                            ZwSetContextThread
SSDT            8A4F0A20                                                                                                                            ZwSetInformationProcess
SSDT            8A5B8478                                                                                                                            ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwSetValueKey [0xA7B3B150]
SSDT            8A457FD0                                                                                                                            ZwSuspendProcess
SSDT            8A4B10B0                                                                                                                            ZwSuspendThread
SSDT            8A4EE240                                                                                                                            ZwTerminateProcess
SSDT            8A4B3CD0                                                                                                                            ZwTerminateThread
SSDT            8A6B2050                                                                                                                            ZwUnmapViewOfSection
SSDT            89EF9A00                                                                                                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2CC8                                                                                                80504564 4 Bytes  CALL DEDAA20C

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                          SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\Cdrom \Device\CdRom0                                                                                                        8A3F0188
Device          \Driver\Cdrom \Device\CdRom1                                                                                                        8A3F0188
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                                        8A452E08
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                                  8A452E08
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e                                                                                        8A452E08
Device          \Driver\Cdrom \Device\CdRom2                                                                                                        8A3F0188
Device          \Driver\Cdrom \Device\CdRom3                                                                                                        8A3F0188
Device          \Driver\Cdrom \Device\CdRom4                                                                                                        8A3F0188

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                          SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                        SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target2Lun0                                                                          8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1                                                                                              8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target0Lun0                                                                          8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target3Lun0                                                                          8A16D940
Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target1Lun0                                                                          8A16D940

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                               
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                    0
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                  0x50 0x35 0xAD 0xC7 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                    C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                     
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                        0xA5 0x50 0x02 0x4E ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                    0xD0 0xE6 0x8D 0x00 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                    0xAE 0x51 0xE9 0xA4 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                    0xFC 0xED 0xAE 0xD5 ...
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                    0x35 0x75 0xDA 0xF1 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                    0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                  0x50 0x35 0xAD 0xC7 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                    C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                     
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                        0xA5 0x50 0x02 0x4E ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                    0x24 0xED 0x9C 0x5E ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                    0xAE 0x51 0xE9 0xA4 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                    0xFC 0xED 0xAE 0xD5 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)                 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                    0x35 0x75 0xDA 0xF1 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                              0x50 0x35 0xAD 0xC7 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                    0xA5 0x50 0x02 0x4E ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                0x24 0xED 0x9C 0x5E ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                0xAE 0x51 0xE9 0xA4 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                0xFC 0xED 0xAE 0xD5 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                0x35 0x75 0xDA 0xF1 ...
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell@                                                                              Open
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New                                                                           
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New@                                                                          &Neu
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command                                                                   
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@                                                                  "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@command                                                            .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec                                                                   
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec@                                                                  [REM _DDE_Direct][FileNew("%1")]
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application                                                       
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application@                                                      WinWord
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic                                                             
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic@                                                            System
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open                                                                         
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open@                                                                          ?&ffnen
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command                                                                 
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@                                                                  "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@command                                                          .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec                                                                 
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec@                                                                  [REM _DDE_Direct][FileOpen("%1")]
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application                                                     
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application@                                                      WinWord
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic                                                           
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic@                                                            System
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print                                                                         
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print@                                                                        &Drucken
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec                                                                 
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec@                                                                [REM _DDE_Minimize][FileOpen("%1")][t=IsDocumentDirty()][FilePrint 0][SetDocumentDirty t][DocClose]
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application                                                     
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application@                                                    WinWord
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec                                                         
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec@                                                          [FileOpen("%1")][FilePrint 0][FileExit 2]
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic                                                           
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic@                                                          System
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto                                                                       
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec                                                               
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec@                                                              [REM _DDE_Minimize][FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][DocClose 2][FilePrintSetup ""]
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application                                                   
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application@                                                  WinWord
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec                                                       
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec@                                                        [FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][FileExit 2]
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic                                                         
Reg            HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic@                                                        System
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}                   
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@iadbiiibeagnjnadmd  0x6A 0x61 0x6D 0x65 ...
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@habbgiihkmpljcpi    0x6A 0x61 0x6D 0x65 ...

---- EOF - GMER 1.0.15 ----

markusg 20.09.2010 09:41
kannst du mal das esage lab tdss remover tool versuchen
esage lab - resources

Cy-Music 20.09.2010 18:35
Done!
Hab jetzt 4x gescannt und er findet immer wieder Hidden Objects in der Registry.
Werd's anscheinend nicht los.
So langsam schleicht sich mir der Verdacht, dass die einzig sichere Lösung das Neuaufsetzen und ändern aller wichtiger Passwörter ist. -.-

Hier noch das Log:

Code:
##########################################################################
#
#  TDSS Remover detected objects log
#  Copyright (c) 2009-2010 eSage Lab
#
#    hxxp://www.esagelab.com/
#    support@esagelab.com
#
#  Program Version: 1.8.0.0
#  OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
#
#  Computer Name: xxx
#
#  Log File Date/Time: 20.09.2010/19:22:06
#
##########################################################################

    Alert Type: Hidden Object
  Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

    Alert Type: Hidden Object
  Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1

    Alert Type: Hidden Object
  Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2

    Alert Type: Hidden Object
  Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3

    Alert Type: Hidden Object
  Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

    Alert Type: Hidden Object
  Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

markusg 20.09.2010 18:42
ja, neu aufsetzen geht auf jeden fall schneller.
ich bin dir dann gern behilflich beim absichern

Cy-Music 20.09.2010 18:59
Alles klar, dann erstmal danke soweit. ;)
Ich melde mich, sobald ich neu aufgesetzt habe.
Gruß

Cy-Music 21.09.2010 18:25
Hallo markusg,
folgendes:
Mein PC war vor ca. 3 Wochen mit einem RootKit verseucht.
Also hab ich ihn zu einem Fachmann gegeben, der es entfernt hat.
Das RootKit hatte sich in der System-Date "Ftdisk.sys" eingenistet und startete somit bei jedem Systemstart automatisch mit.
Ich bekam den PC zurück und fand ja in der "Ftdisk.sik" den Backdoor.Tidserv.
Ich war eben nochmal bei besagtem Fachmann, der mir erklärte, dass er alles entfernt habe und die .sys-Datei lediglich in .sik umbenannt habe, damit diese nicht mitstarte.
Er hat sie nun einfach gelöscht und nun ist Ruhe!
Sämtliche nun noch durchgeführte Scans mit Norton und Malwarebytes ergaben keine Infektionen und einen cleanen PC.
Eine Neuaufsetzung war daher unnötig.

Bin froh, dass sich das jetzt geklärt hat und hoffe nun auf Hilfe von dir, wie ich das System absichere.

Gruß

markusg 21.09.2010 18:38
norton war nicht in der lage eine inaktieve datei zu entfernen oder wie?
musstest du den typen für den zweiten besuch noch bezahlen?
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//


adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
plugin-container.exe
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
dies geht mit nem klick auf sandboxed web browser
autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
11. passwörter endern
und es wäre nett gewesen das vorher zu erfahren. das da schon jemand gebastelt hatt

Cy-Music 21.09.2010 18:42
Keine Bezahlung, nein :D
Ich hab versucht, die Datei per Hand zu löschen, aber mir wurde der Zugriff verweigert. Er hat dann einfach Norton deaktiviert und es ging.
Naja, bin wohl selten doof :D

Eine Frage noch:
Surfe zurzeit als Administrator, auch eher suboptimal oder?
Will mir ein zweites, eingeschränktes Konto erstellen, aber wie krieg ich dann alles, was ich auf dem Admin-Konto hab auf das andere rüber? (Programme, etc.)
Geht das nur über Deinstallation + Neuinstallation auf dem zweiten Account?

Lieben Gruß und vielen Dank für die kompetente Hilfe und die Tips ;)

markusg 21.09.2010 18:43
a die norton meldung hättest du mir posten können, norton sperrt die datei und will sie dann nach neustart löschen oder der wächter schlägt an. naja wenn jetzt alles läuft...


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27