Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Security Tools wirklich entfernt? Google suchergebnisse werden umgeleitet (https://www.trojaner-board.de/91244-security-tools-wirklich-entfernt-google-suchergebnisse-umgeleitet.html)

Xandros 28.09.2010 16:51
Security Tools wirklich entfernt? Google suchergebnisse werden umgeleitet
 
Hallo!

Ich habe mir gestern (27.09) Security Tools eingefangen und das nach langem Kampf anhand eurer Anleitung (http://www.trojaner-board.de/81432-s...entfernen.html) entfernt.

Allerdings habe ich seitdem das Problem, dass meine Google Sucherbnisse auf andere Websites umgeleitet werden. Wenn ich Opera Turbo aktiviere, funktioniert alles wunderbar, allerdings kommt da manchmal die Meldung, dass Opera Turbo nicht verfügbar ist.
Ich benutze ausschließlich Opera, und wenn mal was nicht geht Firefox.

Hier wären mal meine OTL Logfiles NACHDEM ich Security Tools entfernt habe und die mbam logfiles. Ich habe mehrere Scans durchgeführt die ich mal aneinander gehängt habe und mit "###" getrennt habe.


Ich hoffe ich habe alles so befolgt, dass ihr mir helfen könnt. Ich bin bereits schon von der professionalität hier begeistert! So viele exzellente Anleitungen findet man sonst nirgendwo :)

Grüße,
Daniel
(Ja, meinen Vornamen dürft ihr wissen, den habe ich auch nicht wegeditiert ;-)

cosinus 28.09.2010 19:40
Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Xandros 28.09.2010 21:21
Okay. Ich habe nochmal einen kompletten Scan gemacht. Hat tatsächlich noch was gefunden :-\

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4712

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.09.2010 22:20:57
mbam-log-2010-09-28 (22-20-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 432301
Laufzeit: 1 Stunde(n), 38 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\34629257.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
Jetzt funktionieren momentan auch die Suchergebnisse wieder. Aber ich trau dem ganzen noch nicht so ganz. Ich befürchte, dass das Problem nach einem Neustart wieder auftreten könnte.

cosinus 28.09.2010 21:52
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O33 - MountPoints2\{01fc6571-2203-11df-af5a-0015e9f82e6a}\Shell - "" = AutoRun
O33 - MountPoints2\{01fc6571-2203-11df-af5a-0015e9f82e6a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4b2f6509-6f97-11dd-bae7-0015e9f82e6a}\Shell\AutoRun\command - "" = O:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\Shell - "" = Autorun
O33 - MountPoints2\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\Shell\Open\command - "" = K:\RECYCLER\S-0-4-75-100011831-100028746-100007505-5684.com -- File not found
O33 - MountPoints2\{ff9a3aaa-f39d-11de-af18-0015e9f82e6a}\Shell\AutoRun\command - "" = RECYCLERS\runmgr.exe
O33 - MountPoints2\{ff9a3aaa-f39d-11de-af18-0015e9f82e6a}\Shell\open\command - "" = RECYCLERS\runmgr.exe
[2010.09.27 10:22:58 | 000,000,000 | -H-D | C] -- F:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.09.27 10:22:52 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\3E69C3EA14019EBF3CA8327B2B8E45A9
[2010.09.27 10:23:31 | 001,242,112 | ---- | M] () -- F:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\34629257.exe
[2010.09.27 10:43:21 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\3E69C3EA14019EBF3CA8327B2B8E45A9
@Alternate Data Stream - 498 bytes -> F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF
:Files
C:\RECYCLERS
D:\RECYCLERS
K:\RECYCLERS
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Xandros 28.09.2010 22:56
Ich hatte die LOP Prüfung und die Purity Prüfung deaktiviert. Ich hoffe das war richtig, in der Anleitung zu OTL steht zwar man soll's aktivieren, aber da hast du jetzt nichts speziell dazu gesagt...

Hier jetzt trotzdem mal die Logfile:
Code:
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01fc6571-2203-11df-af5a-0015e9f82e6a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01fc6571-2203-11df-af5a-0015e9f82e6a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01fc6571-2203-11df-af5a-0015e9f82e6a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01fc6571-2203-11df-af5a-0015e9f82e6a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4b2f6509-6f97-11dd-bae7-0015e9f82e6a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4b2f6509-6f97-11dd-bae7-0015e9f82e6a}\ not found.
File O:\InstallTomTomHOME.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8136cb2-8e67-11de-8425-0015e9f82e6a}\ not found.
File K:\RECYCLER\S-0-4-75-100011831-100028746-100007505-5684.com not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff9a3aaa-f39d-11de-af18-0015e9f82e6a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff9a3aaa-f39d-11de-af18-0015e9f82e6a}\ not found.
File F:\RECYCLERS\runmgr.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff9a3aaa-f39d-11de-af18-0015e9f82e6a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ff9a3aaa-f39d-11de-af18-0015e9f82e6a}\ not found.
File F:\RECYCLERS\runmgr.exe not found.
Folder move failed. F:\Dokumente und Einstellungen\All Users\Dokumente\Server scheduled to be moved on reboot.
F:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\3E69C3EA14019EBF3CA8327B2B8E45A9 folder moved successfully.
File F:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\34629257.exe not found.
Folder F:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\3E69C3EA14019EBF3CA8327B2B8E45A9\ not found.
ADS F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF deleted successfully.
========== FILES ==========
File\Folder C:\RECYCLERS not found.
File\Folder D:\RECYCLERS not found.
File\Folder K:\RECYCLERS not found.
========== COMMANDS ==========
F:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Daniel
->Temp folder emptied: 2805510 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 32443014 bytes
->Flash cache emptied: 5412 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11628321 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2349610 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16699 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 47,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 09282010_235041

Files\Folders moved on Reboot...
Folder move failed. F:\Dokumente und Einstellungen\All Users\Dokumente\Server scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus 29.09.2010 09:08
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Xandros 29.09.2010 09:34
Ich bin mir jetzt nicht sicher, ob AVG wirklich geschlossen war. CF hat den Rechner neugestartet und bevor die Programme laden den Test gemacht. Bevor die Logfile geschrieben wurde, wurden jedoch die Programme aus dem Autostart geladen.
(Ich weiss zwar nicht, ob diese Infos dir helfen, aber ich gebe lieber zuviel Informationen als zuwenig ;)

Hier die logfile

[code]
Combofix Logfile:
Code:
ComboFix 10-09-28.03 - Daniel 29.09.2010  10:22:42.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3582.3063 [GMT 2:00]
ausgeführt von:: f:\dokumente und einstellungen\Daniel\Desktop\cofi.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

f:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat
f:\dokumente und einstellungen\Daniel\Anwendungsdaten\inst.exe
f:\windows\system32\prsgrc.dll
f:\windows\system32\sj1jw3p.dll
f:\windows\system32\ssprs.dll

Infizierte Kopie von f:\windows\system32\winlogon.exe wurde gefunden und desinfiziert
Kopie von - f:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt

Infizierte Kopie von f:\windows\explorer.exe wurde gefunden und desinfiziert
Kopie von - f:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt

.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-28 bis 2010-09-29  ))))))))))))))))))))))))))))))
.

2010-09-28 21:50 . 2010-09-28 21:50        --------        d-----w-        F:\_OTL
2010-09-28 17:48 . 2010-09-29 07:55        20042        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3165u3164uq.bin
2010-09-28 14:59 . 2010-09-28 14:59        388096        ----a-r-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-28 06:41 . 2010-09-28 12:14        22904        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3164u3163iv.bin
2010-09-28 05:02 . 2010-09-28 12:14        317        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_242d241gl.bin
2010-09-27 18:02 . 2010-09-28 08:40        21421        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3163u3162jb.bin
2010-09-27 12:41 . 2010-09-27 12:41        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2010-09-27 12:41 . 2010-04-29 10:19        38224        ----a-w-        f:\windows\system32\drivers\mbamswissarmy.sys
2010-09-27 12:41 . 2010-09-27 12:41        --------        d-----w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-27 12:41 . 2010-04-29 10:19        20952        ----a-w-        f:\windows\system32\drivers\mbam.sys
2010-09-27 08:33 . 2010-09-27 08:33        --------        d-s---w-        f:\dokumente und einstellungen\NetworkService\UserData
2010-09-27 06:42 . 2010-09-27 13:01        29062        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3162u3161cm.bin
2010-09-27 05:04 . 2010-09-27 13:01        609        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_355d354cm.bin
2010-09-26 18:48 . 2010-09-27 06:44        51653        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3161u3159sg.bin
2010-09-26 05:29 . 2010-09-26 10:17        1131        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_354d3539a.bin
2010-09-25 17:52 . 2010-09-26 10:17        38435        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3159u3158jm.bin
2010-09-25 06:42 . 2010-09-25 12:17        28393        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3158u3157iu.bin
2010-09-24 17:23 . 2010-09-25 08:04        26575        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3157u3156dz.bin
2010-09-24 06:43 . 2010-09-24 13:33        21127        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3156u3155sy.bin
2010-09-24 05:00 . 2010-09-24 13:33        837        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_353d352f.bin
2010-09-23 18:43 . 2010-09-24 08:12        47342        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3155u3154uz.bin
2010-09-23 09:00 . 2010-09-23 09:00        620896        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgnsx.exe
2010-09-23 09:00 . 2010-09-23 09:00        4093792        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgui.exe
2010-09-23 09:00 . 2010-09-23 09:00        3586912        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\setup.exe
2010-09-23 09:00 . 2010-09-23 09:00        1619296        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgssie.dll
2010-09-23 09:00 . 2010-09-23 09:00        1377632        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgssff.dll
2010-09-23 09:00 . 2010-09-23 09:00        942432        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgcfgx.dll
2010-09-23 09:00 . 2010-09-23 09:00        598368        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgsrmx.dll
2010-09-23 09:00 . 2010-09-23 09:00        4371296        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgcorex.dll
2010-09-23 09:00 . 2010-09-23 09:00        300896        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgchclx.dll
2010-09-23 08:59 . 2010-09-23 08:59        1690952        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgupd.dll
2010-09-23 06:43 . 2010-09-23 12:16        23965        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3154u3153ey.bin
2010-09-23 05:02 . 2010-09-24 08:12        595        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_352d351wf.bin
2010-09-22 18:49 . 2010-09-23 08:59        36812        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3153u3152xm.bin
2010-09-22 17:52 . 2010-09-23 08:59        731        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_351d349dt.bin
2010-09-22 14:01 . 2010-09-22 14:01        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\2K Games
2010-09-22 14:00 . 2010-06-02 02:55        74072        ----a-w-        f:\windows\system32\XAPOFX1_5.dll
2010-09-22 14:00 . 2010-06-02 02:55        527192        ----a-w-        f:\windows\system32\XAudio2_7.dll
2010-09-22 14:00 . 2010-06-02 02:55        239960        ----a-w-        f:\windows\system32\xactengine3_7.dll
2010-09-22 14:00 . 2010-05-26 09:41        248672        ----a-w-        f:\windows\system32\d3dx11_43.dll
2010-09-22 14:00 . 2010-05-26 09:41        2106216        ----a-w-        f:\windows\system32\D3DCompiler_43.dll
2010-09-22 14:00 . 2010-05-26 09:41        1868128        ----a-w-        f:\windows\system32\d3dcsx_43.dll
2010-09-22 14:00 . 2010-05-26 09:41        470880        ----a-w-        f:\windows\system32\d3dx10_43.dll
2010-09-22 14:00 . 2010-05-26 09:41        1998168        ----a-w-        f:\windows\system32\D3DX9_43.dll
2010-09-22 13:57 . 2010-09-23 08:59        317        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_241d2407a.bin
2010-09-22 06:44 . 2010-09-22 13:51        11271        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3152u3151ew.bin
2010-09-22 05:01 . 2010-09-22 13:51        887        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_349d348sd.bin
2010-09-22 05:00 . 2010-09-22 13:51        7542        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_240d239sc.bin
2010-09-21 22:23 . 2010-09-22 08:41        50409        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3151u3149en.bin
2010-09-21 06:43 . 2010-09-21 13:32        21602        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3149u3148ix.bin
2010-09-21 05:00 . 2010-09-21 13:32        797        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_348d347ob.bin
2010-09-21 05:00 . 2010-09-21 13:32        4296        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_239d238ob.bin
2010-09-20 17:10 . 2010-09-21 08:28        30197        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3148u3147mr.bin
2010-09-20 06:41 . 2010-09-20 12:04        30992        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3147u3146uc.bin
2010-09-20 05:01 . 2010-09-20 12:04        1906        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_347d346kb.bin
2010-09-20 05:00 . 2010-09-20 12:04        24577        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_238d237ka.bin
2010-09-19 18:42 . 2010-09-20 07:47        42846        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3146u3145rm.bin
2010-09-19 06:41 . 2010-09-19 10:29        100504        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3145u3143wj.bin
2010-09-18 11:36 . 2010-09-23 08:59        42387        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9lng855df.bin
2010-09-18 06:41 . 2010-09-18 12:55        101583        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3143u3142is.bin
2010-09-17 18:42 . 2010-09-18 08:42        38247        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3142u3140tb.bin
2010-09-17 06:41 . 2010-09-17 14:10        21064        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3140u3139qd.bin
2010-09-17 05:00 . 2010-09-17 14:10        619        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_346d34587.bin
2010-09-16 23:05 . 2010-09-17 06:28        782        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_345d343yb.bin
2010-09-16 18:41 . 2010-09-17 06:28        42171        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3139u3138zh.bin
2010-09-16 06:41 . 2010-09-16 12:33        26193        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3138u3137ej.bin
2010-09-16 05:00 . 2010-09-17 06:28        7824        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_237d23646.bin
2010-09-15 18:42 . 2010-09-16 08:15        41045        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3137u3136kl.bin
2010-09-15 06:44 . 2010-09-15 13:45        15960        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3136u3135ef.bin
2010-09-15 05:01 . 2010-09-15 13:45        773        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_343d3426.bin
2010-09-15 05:00 . 2010-09-15 13:45        374771        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_236d2355.bin
2010-09-14 18:46 . 2010-09-22 22:31        281024        ----a-w-        f:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-09-14 18:41 . 2010-09-14 18:41        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Aspyr
2010-09-14 18:41 . 2010-09-15 08:49        27657        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3135u3134yi.bin
2010-09-14 06:42 . 2010-09-14 12:50        20660        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3134u3133ar.bin
2010-09-14 05:00 . 2010-09-14 12:50        940        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_342d341w3.bin
2010-09-13 18:41 . 2010-09-14 08:42        14920        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3133u3132cl.bin
2010-09-13 06:42 . 2010-09-13 10:28        12858        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3132u3131pi.bin
2010-09-13 05:00 . 2010-09-13 10:28        868        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_341d339s2.bin
2010-09-12 18:43 . 2010-09-13 07:24        184710        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3131u3120dw.bin
2010-09-10 05:00 . 2010-09-13 10:28        9056        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_235d234fz.bin
2010-09-09 18:39 . 2010-09-10 06:51        20825        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3125u3124lw.bin
2010-09-09 15:00 . 2010-09-23 08:59        400        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9lsimg855b847ga.bin
2010-09-09 15:00 . 2010-09-23 08:59        129578        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9lsie856b845pu.bin
2010-09-09 15:00 . 2010-09-23 08:59        111242        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9lsff855b847dg.bin
2010-09-09 15:00 . 2010-09-23 08:59        4562        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9lngus855b851cy.bin
2010-09-09 15:00 . 2010-09-23 08:59        4815        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9lngge855b851kq.bin
2010-09-09 15:00 . 2010-09-23 08:59        157572        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9krnl855b847ny.bin
2010-09-09 15:00 . 2010-09-23 08:59        263053        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9core856b846dn.bin
2010-09-09 15:00 . 2010-09-23 08:59        207612        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9ui856b832zm.bin
2010-09-09 15:00 . 2010-09-23 08:59        140187        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9upd855b839vh.bin
2010-09-09 15:00 . 2010-09-23 08:59        326598        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9setup855b832me.bin
2010-09-09 15:00 . 2010-09-23 08:59        62192        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9nsx855b832dt.bin
2010-09-09 14:59 . 2010-09-23 08:59        27706        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\f9chjc855b832ur.bin
2010-09-09 06:41 . 2010-09-09 13:15        30845        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3124u3123wu.bin
2010-09-09 05:00 . 2010-09-09 13:15        1917        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_339d338by.bin
2010-09-09 05:00 . 2010-09-09 13:15        18992        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_234d233by.bin
2010-09-08 17:47 . 2010-09-09 08:51        44630        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3123u3121he.bin
2010-09-08 06:14 . 2010-09-08 10:42        55106        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3121u3119sk.bin
2010-09-08 05:00 . 2010-09-08 14:25        1129        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_338d3367x.bin
2010-09-07 06:43 . 2010-09-07 11:51        198087        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3119u3108bz.bin
2010-09-06 05:00 . 2010-09-07 11:51        755        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_336d333zu.bin
2010-09-05 05:20 . 2010-09-07 11:51        413430        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_233d232wd.bin
2010-09-03 06:41 . 2010-09-03 19:03        20112        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3111u3110xi.bin
2010-09-03 05:00 . 2010-09-03 19:03        1136        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_333d332nr.bin
2010-09-02 18:56 . 2010-09-03 08:42        35984        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3110u3108dv.bin
2010-09-02 17:14 . 2009-12-09 15:31        20992        ----a-w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\Thunderbird\Profiles\25m695yq.default\extensions\{de1b245c-de57-11da-ba2d-0050c2490048}\library\WINNT-32\MinimizeToTrayPlus.dll
2010-09-02 06:42 . 2010-09-02 16:41        138106        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3108u3103au.bin
2010-09-02 05:53 . 2010-09-02 16:41        781        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_332d330l7.bin
2010-09-02 05:53 . 2010-09-02 16:41        8986        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_232d231l7.bin
2010-08-31 18:41 . 2010-09-01 08:46        25189        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3105u3104ui.bin
2010-08-31 18:04 . 2010-09-01 08:46        747        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_330d329ef.bin
2010-08-31 18:04 . 2010-09-01 08:46        13440        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_231d230ef.bin
2010-08-31 06:44 . 2010-08-31 19:45        500622        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\u9iavi3104u3084wi.bin
2010-08-31 05:00 . 2010-08-31 19:45        231111        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsc_329sm.bin
2010-08-31 05:00 . 2010-08-31 19:45        4843747        ----a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\download\x8xplsb_230sm.bin

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-29 08:26 . 2008-04-20 00:19        --------        d---a-w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-28 21:50 . 2006-02-28 12:00        81118        ----a-w-        f:\windows\system32\perfc007.dat
2010-09-28 21:50 . 2006-02-28 12:00        452310        ----a-w-        f:\windows\system32\perfh007.dat
2010-09-28 21:31 . 2008-08-13 20:57        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\Skype
2010-09-28 20:23 . 2008-08-09 09:14        --------        d-----w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-27 20:59 . 2008-08-13 20:58        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\skypePM
2010-09-27 20:57 . 2009-09-01 09:31        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\vlc
2010-09-27 14:11 . 2008-05-09 15:29        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\Winamp
2010-09-24 19:19 . 2009-02-02 20:36        --------        d-----w-        f:\programme\Google
2010-09-22 16:32 . 2010-04-26 08:21        233960        ----a-w-        f:\windows\system32\PnkBstrB.exe
2010-09-22 16:05 . 2010-04-26 08:21        138520        ----a-w-        f:\windows\system32\drivers\PnkBstrK.sys
2010-09-22 14:01 . 2010-04-16 20:04        --------        d-----w-        f:\programme\NVIDIA Corporation
2010-09-15 09:24 . 2008-04-19 22:09        84584        -c--a-w-        f:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-08 19:34 . 2008-05-04 17:13        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\dvdcss
2010-09-07 12:27 . 2009-02-16 13:15        --------        d-----w-        f:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2010-08-17 13:17 . 2006-02-28 12:00        58880        ----a-w-        f:\windows\system32\spoolsv.exe
2010-08-05 14:35 . 2008-06-01 20:34        --------        d-----w-        f:\dokumente und einstellungen\Daniel\Anwendungsdaten\FileZilla
2010-07-22 15:48 . 2006-02-28 12:00        590848        ----a-w-        f:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 06:25        5632        ----a-w-        f:\windows\system32\xpsp4res.dll
2010-07-18 11:19 . 2008-07-03 13:59        243024        ----a-w-        f:\windows\system32\drivers\avgtdix.sys
2010-07-18 11:19 . 2010-07-18 11:19        12536        ----a-w-        f:\windows\system32\avgrsstx.dll
2010-07-18 11:19 . 2008-07-03 13:59        216400        ----a-w-        f:\windows\system32\drivers\avgldx86.sys
2010-07-06 16:37 . 2008-04-19 19:37        86327        ----a-w-        f:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-06 15:44 . 2008-04-19 22:41        107888        ----a-w-        f:\windows\system32\CmdLineExt.dll
2010-07-05 15:02 . 2006-02-28 12:00        1025        ----a-w-        f:\windows\system32\i9bmwjw.dll
2010-07-05 15:02 . 2006-02-28 12:00        1025        ----a-w-        f:\windows\system32\grcauth2.dll
2010-07-05 15:02 . 2006-02-28 12:00        1025        ----a-w-        f:\windows\system32\grcauth1.dll
2010-07-05 15:02 . 2006-02-28 12:00        1025        ----a-w-        f:\windows\system32\clauth2.dll
2010-07-05 15:02 . 2006-02-28 12:00        1025        ----a-w-        f:\windows\system32\clauth1.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Fraps"="d:\programme\FRAPS\FRAPS.EXE" [2008-01-14 913064]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"zBrowser Launcher"="d:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"D-Link AirPlus G"="d:\programme\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 1519616]
"AVG9_TRAY"="d:\progra~1\AVG9\avgtray.exe" [2010-07-18 2065760]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-02 18782720]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2010-04-03 13670504]

f:\dokumente und einstellungen\Daniel\Startmen\Programme\Autostart\
Trillian.lnk - d:\programme\Trillian\trillian.exe [2010-8-10 1867776]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-18 11:19        12536        ----a-w-        f:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-01-29 21:17        64592        ----a-w-        f:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 05:52        1695232        ------w-        f:\programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="d:\programme\DAEMON Tools Lite\daemon.exe" -autorun
"ctfmon.exe"=f:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"lxdiamon"="d:\programme\Lexmark 3500-4500 Series\Lexmark 3500-4500 Series\lxdiamon.exe"
"lxdimon.exe"="d:\programme\Lexmark 3500-4500 Series\Lexmark 3500-4500 Series\lxdimon.exe"
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="f:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="f:\programme\Java\jre6\bin\jusched.exe"
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" -atboottime
"ANIWZCS2Service"=f:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"NvCplDaemon"=RUNDLL32.EXE f:\windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE f:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"<NO NAME>"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Trillian\\trillian.exe"=
"d:\\Spiele\\Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"=
"d:\\Spiele\\Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"d:\\Spiele\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Spiele\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"d:\\Programme\\Lexmark 3500-4500 Series\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
"d:\\Programme\\Lexmark 3500-4500 Series\\Lexmark 3500-4500 Series\\App4R.exe"=
"d:\\Programme\\Lexmark 3500-4500 Series\\Lexmark 3500-4500 Series\\lxdimon.exe"=
"f:\\WINDOWS\\system32\\lxdicfg.exe"=
"f:\\WINDOWS\\system32\\lxdicoms.exe"=
"f:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
"f:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
"f:\\WINDOWS\\system32\\lxdiih.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Programme\\AVG9\\avgupd.exe"=
"d:\\Programme\\AVG9\\avgnsx.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Spiele\\Steam\\steamapps\\common\\company of heroes\\RelicCOH.exe"=
"d:\\Spiele\\Steam\\steamapps\\common\\company of heroes\\help.htm"=
"d:\\Spiele\\Steam\\steamapps\\common\\star wars the force unleashed\\SWTFU Launcher.exe"=
"d:\\Spiele\\Steam\\steamapps\\xandros1501\\counter-strike source\\hl2.exe"=
"d:\\Spiele\\Steam\\steamapps\\common\\serious sam hd the first encounter\\Bin\\SamHD.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Spiele\\Steam\\Steam.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;f:\windows\system32\drivers\avgldx86.sys [03.07.2008 15:59 216400]
R1 AvgTdiX;AVG Free8 Network Redirector;f:\windows\system32\drivers\avgtdix.sys [03.07.2008 15:59 243024]
R1 VBoxDrv;VirtualBox Service;f:\windows\system32\drivers\VBoxDrv.sys [15.11.2009 20:45 116368]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;f:\windows\system32\drivers\VBoxUSBMon.sys [15.11.2009 20:44 41424]
R2 avg9wd;AVG Free WatchDog;d:\programme\AVG9\avgwdsvc.exe [18.07.2010 13:19 308136]
R2 lxdi_device;lxdi_device;f:\windows\system32\lxdicoms.exe -service --> f:\windows\system32\lxdicoms.exe -service [?]
R3 VBoxNetFlt;VBoxNetFlt Service;f:\windows\system32\drivers\VBoxNetFlt.sys [29.10.2009 15:48 103888]
S3 Ambfilt;Ambfilt;f:\windows\system32\drivers\Ambfilt.sys [20.12.2009 14:55 1684736]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;f:\windows\system32\drivers\VBoxNetAdp.sys [15.11.2009 20:45 95376]
S4 gupdate1c9857641359cbc;Google Update Service (gupdate1c9857641359cbc);f:\programme\Google\Update\GoogleUpdate.exe [02.02.2009 22:38 133104]
S4 lxdiCATSCustConnectService;lxdiCATSCustConnectService;f:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [26.03.2009 13:48 99248]
S4 sptd;sptd;f:\windows\system32\drivers\sptd.sys [20.04.2008 00:49 691696]
.
Inhalt des "geplante Tasks" Ordners

2010-09-28 f:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- f:\programme\Google\Update\GoogleUpdate.exe [2009-02-02 20:38]

2010-09-28 f:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- f:\programme\Google\Update\GoogleUpdate.exe [2009-02-02 20:38]

2010-03-12 f:\windows\Tasks\WGASetup.job
- f:\windows\system32\KB905474\wgasetup.exe [2010-03-12 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - f:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - f:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - f:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - f:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-GrooveMonitor - d:\programme\Microsoft Office\Office12\GrooveMonitor.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-29 10:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1177238915-261903793-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:42,2b,c2,7d,37,60,30,9d,b1,9d,a4,ae,6e,8e,a3,27,4c,de,d5,02,3f,25,58,
  10,4f,2f,c6,52,62,a1,7d,c7,fb,8b,6f,5c,b3,31,90,22,ec,2b,51,b4,c3,60,40,dd,\
"??"=hex:e7,64,87,bc,f0,ce,f5,b1,98,7e,2d,6f,6d,19,51,61

[HKEY_USERS\S-1-5-21-1177238915-261903793-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:c0,67,39,a3,f5,b0,cc,e7,a5,2c,2a,09,77,fd,de,37,18,94,fe,27,40,
  80,0a,e0,25,ba,2a,84,a0,12,9d,a4,35,7b,06,ff,4c,20,ae,95,1f,15,2b,cc,a5,1f,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1164)
f:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll

- - - - - - - > 'explorer.exe'(2408)
d:\programme\Logitech\iTouch\iTchHk.dll
f:\windows\system32\WPDShServiceObj.dll
f:\windows\system32\PortableDeviceTypes.dll
f:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\windows\system32\nvsvc32.exe
d:\programme\AVG9\avgchsvx.exe
d:\programme\AVG9\avgrsx.exe
d:\programme\AVG9\avgcsrvx.exe
f:\windows\Logi_MwX.Exe
f:\windows\RTHDCPL.EXE
f:\windows\system32\RUNDLL32.EXE
f:\programme\Bonjour\mDNSResponder.exe
f:\programme\Java\jre6\bin\jqs.exe
f:\windows\system32\lxdicoms.exe
d:\programme\AVG9\avgnsx.exe
f:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-29  10:30:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-29 08:30

Vor Suchlauf: 5.603.921.920 Bytes frei
Nach Suchlauf: 5.611.069.440 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - ECB2D7B01A735A088699B1472E8744FC
--- --- ---

cosinus 29.09.2010 10:21
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Xandros 29.09.2010 11:38
GMER konnte ich zwar starten, aber als ich das logfile speichern wollte ging gar nix mehr. Alles abgestürzt. Hier jetzt der OSAM log

Code:
OSAM Logfile:

       
Code:

       
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:36:23 on 29.09.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Opera Software Opera Internet Browser 10.62

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - F:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - F:\Programme\Google\Update\GoogleUpdate.exe
"WGASetup.job" - "Microsoft Corporation" - F:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - F:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - F:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - F:\WINDOWS\system32\nvcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - D:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ANIO Service" (ANIO) - "Alpha Networks Inc." - F:\WINDOWS\system32\ANIO.SYS
"atksgt" (atksgt) - ? - F:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"AVG Free AVI Loader Driver x86" (AvgLdx86) - "AVG Technologies CZ, s.r.o." - F:\WINDOWS\System32\Drivers\avgldx86.sys
"AVG Free On-access Scanner Minifilter Driver x86" (AvgMfx86) - "AVG Technologies CZ, s.r.o." - F:\WINDOWS\System32\Drivers\avgmfx86.sys
"AVG Free8 Network Redirector" (AvgTdiX) - "AVG Technologies CZ, s.r.o." - F:\WINDOWS\System32\Drivers\avgtdix.sys
"catchme" (catchme) - ? - F:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - F:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ENTECH" (ENTECH) - "EnTech Taiwan" - F:\WINDOWS\system32\DRIVERS\ENTECH.sys
"i2omgmt" (i2omgmt) - ? - F:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - F:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lirsgt" (lirsgt) - ? - F:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - F:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - F:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - F:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - F:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - F:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - F:\WINDOWS\System32\Drivers\PxHelp20.sys
"VBoxNetFlt Service" (VBoxNetFlt) - "Sun Microsystems, Inc." - F:\WINDOWS\System32\DRIVERS\VBoxNetFlt.sys
"VirtualBox Host-Only Ethernet Adapter" (VBoxNetAdp) - "Sun Microsystems, Inc." - F:\WINDOWS\System32\DRIVERS\VBoxNetAdp.sys
"VirtualBox Service" (VBoxDrv) - "Sun Microsystems, Inc." - F:\WINDOWS\System32\DRIVERS\VBoxDrv.sys
"VirtualBox USB Monitor Driver" (VBoxUSBMon) - "Sun Microsystems, Inc." - F:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys
"VSO Software pcouffin" (pcouffin) - "VSO Software" - F:\WINDOWS\System32\Drivers\pcouffin.sys
"WDICA" (WDICA) - ? - F:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - F:\WINDOWS\system32\Rundll32.exe F:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - F:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - F:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - F:\WINDOWS\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - F:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{F274614C-63F8-47D5-A4D1-FBDDE494F8D1} "XPLPPFilter Class" - "AVG Technologies CZ, s.r.o." - d:\Programme\AVG9\avgpp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - d:\Programme\7-Zip\7-zip.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - d:\Programme\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.dll
{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} "AVG Find Extension" - ? -   (File not found | COM-object registry key not found)
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} "AVG Shell Extension Class" - "AVG Technologies CZ, s.r.o." - d:\Programme\AVG9\avgse.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - F:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - F:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - F:\WINDOWS\system32\nvcpl.dll
{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech, Inc." - D:\Programme\Logitech\SetPointP\kbcplext.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - F:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - F:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - F:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - F:\Programme\NVIDIA Corporation\nView\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - F:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - F:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
Logitech Setpoint Extension "{B9B9F083-2B04-452A-8691-83694AC1037B}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Macromedia, Inc." - F:\WINDOWS\system32\Macromed\Flash\Flash6.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\npjpi160_18.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
AutorunsDisabled "AutorunsDisabled" - ? -   (File not found | COM-object registry key not found)
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "AVG Safe Search" - "AVG Technologies CZ, s.r.o." - d:\Programme\AVG9\avgssie.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - F:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Autostart\desktop.ini
"Trillian.lnk" - "Cerulean Studios" - D:\Programme\Trillian\trillian.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Fraps" - "Beepa P/L" - D:\PROGRAMME\FRAPS\FRAPS.EXE
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"AVG9_TRAY" - "AVG Technologies CZ, s.r.o." - d:\PROGRA~1\AVG9\avgtray.exe
"D-Link AirPlus G" - "D-Link" - D:\Programme\D-Link\AirPlus G\AirGCFG.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"zBrowser Launcher" - "Logitech Inc." - d:\Programme\Logitech\iTouch\iTouch.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - F:\WINDOWS\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - F:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - F:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ANIWZCSd Service" (ANIWZCSdService) - "Alpha Networks Inc." - F:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - F:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)
"AVG Free WatchDog" (avg9wd) - "AVG Technologies CZ, s.r.o." - d:\Programme\AVG9\avgwdsvc.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - F:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"HID Input Service" (HidServ) - ? -  F:\WINDOWS\System32\hidserv.dll  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - F:\Programme\Java\jre6\bin\jqs.exe
"Logitech Bluetooth Service" (LBTServ) - "Logitech, Inc." - F:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\lbtserv.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - F:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - F:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - F:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - F:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"avgrsstarter" - "AVG Technologies CZ, s.r.o." - F:\WINDOWS\system32\avgrsstx.dll
"LBTWlgn" - "Logitech, Inc." - f:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - F:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
Bootkit Remover lasse ich jetzt gleich durchlaufen.

Xandros 29.09.2010 11:42
Hier ist der debug log vom bootkit. Ich glaube ansonsten ist im schwarzen fenster nicht viel passiert.

cosinus 29.09.2010 12:24
Zitat:
596 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Xandros 29.09.2010 14:05
Erstmal die mbam log:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4715

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.09.2010 14:59:10
mbam-log-2010-09-29 (14-59-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 430863
Laufzeit: 1 Stunde(n), 34 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Das andere lass ich jetzt gleich durchlaufen.

Xandros 29.09.2010 18:49
Okay, hier ist jetzt noch die logfile von SUPERAntiSpyware

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/29/2010 at 05:27 PM

Application Version : 4.43.1000

Core Rules Database Version : 5601
Trace Rules Database Version: 3413

Scan type      : Complete Scan
Total Scan Time : 02:14:39

Memory items scanned      : 708
Memory threats detected  : 0
Registry items scanned    : 6909
Registry threats detected : 0
File items scanned        : 301249
File threats detected    : 5

Adware.Tracking Cookie
        media1.break.com [ C:\Users\Daniel\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2RW49XTH ]
        static.youporn.com [ C:\Users\Daniel\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2RW49XTH ]
        media1.break.com [ F:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\9AM5JF84 ]
        secure-us.imrworldwide.com [ F:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\9AM5JF84 ]

Trojan.Agent/Gen-Nullo[Short]
        F:\SYSTEM VOLUME INFORMATION\_RESTORE{9B4616C8-C1CB-47AD-84AA-93B78F831AC0}\RP3\A0000252.EXE

cosinus 30.09.2010 14:36
Sieht ok aus, da wurden nur Cookies und ein Überrest in der SWH auf Laufwerk F: gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Xandros 30.09.2010 14:42
Nein, bis jetzt funktioniert alles wunderbar wie es soll!
Vielen vielen Dank! Du hast mir echt geholfen! Ich schreibe gerade an meiner Bachelor Arbeit, da wäre eine Windowsneuinstallation echt die Hölle gewesen ^^

Ich werde das jetzt noch weiter beobachten, und mich bei Bedarf wieder melden. Ansonsten würde ich das hier als gelöst betrachten :)

Nochmals herzlichen Dank! Ich hätte nie gehofft irgendwo im Internet so professionelle Hilfe auf so unkomplizierte Weise in Anspruch nehmen zu können!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:41 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131