Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   JS/Agent.H beseitigen (https://www.trojaner-board.de/93622-js-agent-h-beseitigen.html)

wgh52 09.12.2010 17:57
JS/Agent.H beseitigen
 
Bemerkte gerade mit Schrecken, dass der Beitrag ins falsche Forum gerutscht war, ich habe ihn also nochmals hier gepostet...

Hallo!

Ja leider muß ich Euch mal wieder (wie schon ein-zwei mal) in Anspruch nehmen. Bisher wurde mir hier ja sehr kompetent und SEHR gründlich geholfen. :party:

Also dann mal los:

Ich benutze WinXP Profesional mit allen Servicepacks und Updates, dazu IE-7 mit allen updates und bekam dann von Avira die Meldung "Malware gefunden - JS/Agent.H", was ich mit Zugriff verweigern wie angeboten OK beantwortete.

Alles funktionierte zunächst normal, dann merkte ich, dass ich keine Applikationen mehr starten konnte, bereits laufende funktionierten weiter.

Avira Systemscan fand nichts, Malwarebytes fand, auch nach Reboot im abgesicherten Windows Modus nichts.

Nochmals normal gebootet, und alles schien wieder normal ... bis ich mein e-Banking startete und mich einloggte. Da erschien ein komischer Bildschirm mit schlechtem Deutsch auf dem ich eine TAN eingeben sollte. Bank angerufen: "Angriff auf meinen PC durch Malware, Online Banking Zugang ist hiermit gesperrt". Zum Glück hatte ich keine TAN eingegeben...

Code:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
 
Datenbank Version: 5278
 
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.11
 
09.12.2010 14:09:20
mbam-log-2010-12-09 (14-09-20).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 249028
Laufzeit: 25 Minute(n), 23 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Da stehe ich nun. OTL lässt sich im Normalbetrieb nicht starten, sondern bringt den Windows Programmcrash Dialog. Ich versuch's aber nochmal im abgesicherten Modus.

Oder gibt's bereits eine Methode, die ich benutzen sollte? Ich habe mit der Suchfunktion nichts klares gefunden...

Danke Euch schonmal ganz herzlich!

Gruß,
Winfried

Also OTL crasht auch im abgesicherten Modus.

Auf dem Web habe ich leider keine brauchbare Methode gefunden, den Plagegeist loszuwerden.

Bei Microsoft habe ich was dazu gefunden und lasse gerade den Windows Defender laufen. Ob's was bringt...?

Ich wäre für Hilfe dankbar!

Gruß,
Winfried

Also nachdem ja OTL nicht ging, habe ich nochmal Avira 10 Pro losgeschickt und folgenden LOG gefunden in dem TR/Scar.dhbr in A0124159.exe und A0124075.exe gefunden und in Quarantäne geschickt wurden:

Code:
Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 13. Dezember 2010  21:48
 
Es wird nach 3146341 Virenstämmen gesucht.
 
Das Programm läuft als voll funktionsfähige Evaluationsversion.
Online-Dienste stehen zur Verfügung.
 
Lizenznehmer  : Winfried Hoffmann
Seriennummer  : 2211684541-PEPWE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : NOTEBOOKC2D
 
Versionsinformationen:
BUILD.DAT      : 10.0.0.639    35936 Bytes  30.11.2010 19:02:00
AVSCAN.EXE    : 10.0.3.5      435368 Bytes  13.12.2010 20:46:20
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  02.08.2010 15:14:20
LUKE.DLL      : 10.0.3.2      104296 Bytes  13.12.2010 20:46:20
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 11:57:42
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:47:10
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 18:47:10
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 10:10:22
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 09:34:38
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 09:59:55
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 11:42:50
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 16:53:06
VBASE007.VDF  : 7.10.9.165  4840960 Bytes  23.07.2010 20:32:56
VBASE008.VDF  : 7.10.11.133  3454464 Bytes  13.09.2010 20:46:03
VBASE009.VDF  : 7.10.13.80  2265600 Bytes  02.11.2010 20:46:07
VBASE010.VDF  : 7.10.13.81      2048 Bytes  02.11.2010 20:46:07
VBASE011.VDF  : 7.10.13.82      2048 Bytes  02.11.2010 20:46:07
VBASE012.VDF  : 7.10.13.83      2048 Bytes  02.11.2010 20:46:07
VBASE013.VDF  : 7.10.13.116  147968 Bytes  04.11.2010 20:46:07
VBASE014.VDF  : 7.10.13.147  146944 Bytes  07.11.2010 20:46:07
VBASE015.VDF  : 7.10.13.180  123904 Bytes  09.11.2010 20:46:08
VBASE016.VDF  : 7.10.13.211  122368 Bytes  11.11.2010 20:46:08
VBASE017.VDF  : 7.10.13.243  147456 Bytes  15.11.2010 20:46:08
VBASE018.VDF  : 7.10.14.15    142848 Bytes  17.11.2010 20:46:09
VBASE019.VDF  : 7.10.14.41    134144 Bytes  19.11.2010 20:46:09
VBASE020.VDF  : 7.10.14.63    128000 Bytes  22.11.2010 20:46:09
VBASE021.VDF  : 7.10.14.87    143872 Bytes  24.11.2010 20:46:09
VBASE022.VDF  : 7.10.14.116  140800 Bytes  26.11.2010 20:46:10
VBASE023.VDF  : 7.10.14.147  150528 Bytes  30.11.2010 20:46:10
VBASE024.VDF  : 7.10.14.175  126464 Bytes  03.12.2010 20:46:10
VBASE025.VDF  : 7.10.14.203  120320 Bytes  07.12.2010 20:46:11
VBASE026.VDF  : 7.10.14.230  137216 Bytes  09.12.2010 20:46:11
VBASE027.VDF  : 7.10.15.8    135680 Bytes  13.12.2010 20:46:11
VBASE028.VDF  : 7.10.15.9      2048 Bytes  13.12.2010 20:46:11
VBASE029.VDF  : 7.10.15.10      2048 Bytes  13.12.2010 20:46:11
VBASE030.VDF  : 7.10.15.11      2048 Bytes  13.12.2010 20:46:11
VBASE031.VDF  : 7.10.15.15    52736 Bytes  13.12.2010 20:46:11
Engineversion  : 8.2.4.122
AEVDF.DLL      : 8.1.2.1      106868 Bytes  29.07.2010 20:28:22
AESCRIPT.DLL  : 8.1.3.48    1286524 Bytes  13.12.2010 20:46:18
AESCN.DLL      : 8.1.7.2      127349 Bytes  13.12.2010 20:46:17
AESBX.DLL      : 8.1.3.2      254324 Bytes  13.12.2010 20:46:18
AERDL.DLL      : 8.1.9.2      635252 Bytes  13.12.2010 20:46:17
AEPACK.DLL    : 8.2.4.1      512375 Bytes  13.12.2010 20:46:17
AEOFFICE.DLL  : 8.1.1.10      201084 Bytes  13.12.2010 20:46:16
AEHEUR.DLL    : 8.1.2.54    3113335 Bytes  13.12.2010 20:46:16
AEHELP.DLL    : 8.1.16.0      246136 Bytes  13.12.2010 20:46:13
AEGEN.DLL      : 8.1.5.0      397685 Bytes  13.12.2010 20:46:13
AEEMU.DLL      : 8.1.3.0      393589 Bytes  13.12.2010 20:46:13
AECORE.DLL    : 8.1.19.0      196984 Bytes  13.12.2010 20:46:12
AEBB.DLL      : 8.1.1.0        53618 Bytes  24.04.2010 11:37:30
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  02.08.2010 15:14:04
AVPREF.DLL    : 10.0.0.0      44904 Bytes  02.08.2010 15:14:03
AVREP.DLL      : 10.0.0.8      62209 Bytes  17.06.2010 14:30:13
AVREG.DLL      : 10.0.3.2      53096 Bytes  02.08.2010 15:14:03
AVSCPLR.DLL    : 10.0.3.2      84328 Bytes  13.12.2010 20:46:20
AVARKT.DLL    : 10.0.22.6    231784 Bytes  13.12.2010 20:46:19
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  02.08.2010 15:14:02
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 14:30:17
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  02.08.2010 15:14:04
NETNT.DLL      : 10.0.0.0      11624 Bytes  17.06.2010 14:30:17
RCIMAGE.DLL    : 10.0.0.32    2631528 Bytes  01.04.2010 12:57:40
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  02.08.2010 15:14:21
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,
 
Beginn des Suchlaufs: Montag, 13. Dezember 2010  21:48
 
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag11.00.00.01workstation
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag12.00.00.01professional
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
c:\windows\explorer.exe
c:\windows\explorer.exe
    [HINWEIS]  Der Prozess ist nicht sichtbar.
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashGet.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'FJWSLauncher.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefaceusbmix.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefaceusb.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtnHnd.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickTouch.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayManager.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'FJSSDMN.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '469' Dateien ).
 
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\' <System>
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1367\A0124075.exe
    [FUND]      Ist das Trojanische Pferd TR/Scar.dgxb
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1370\A0124159.exe
    [FUND]      Ist das Trojanische Pferd TR/Scar.dhbr
 
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1370\A0124159.exe
    [FUND]      Ist das Trojanische Pferd TR/Scar.dhbr
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467e3216.qua' verschoben!
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1367\A0124075.exe
    [FUND]      Ist das Trojanische Pferd TR/Scar.dgxb
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ee91db1.qua' verschoben!
 
 
Ende des Suchlaufs: Montag, 13. Dezember 2010  22:55
Benötigte Zeit: 59:14 Minute(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
  7794 Verzeichnisse wurden überprüft
 274070 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 274068 Dateien ohne Befall
  7764 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 811928 Objekte wurden beim Rootkitscan durchsucht
      5 Versteckte Objekte wurden gefunden
Nun ist mir nicht klar ob mein PC clean ist und was ich weiter tun kann um ihn zu checken.

Danke für weitere Hilfe!

Gruß,
Winfried

cosinus 14.12.2010 12:49
Im Log taucht kein Agent.H auf! "Nur" TR/Scar.dgxb in C:\System Volume Information!

wgh52 14.12.2010 16:12
Hmmm. Verstehe. Und was mache ich jetzt um festzustellen ob einer oder beide noch da oder weg sind?

Ich habe mal RSIT laufen lassen. Hier ist der log.txt (ein info.txt wurde nicht generiert):

Code:
Logfile of random's system information tool 1.08 (written by random/random)
Run by Winfried at 2010-12-14 11:56:24
Microsoft Windows XP Professional Service Pack 3
System drive C: has 10 GB (13%) free of 76 GB
Total RAM: 1014 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:56:48, on 14.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17091)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\firefaceusb.exe
C:\WINDOWS\system32\firefaceusbmix.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FlashGet\FlashGet.exe
C:\Dokumente und Einstellungen\Winfried\Desktop\RSIT(1).exe
C:\Programme\trend micro\Winfried.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SSUtility] C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FirefaceUsbTray1] firefaceusb.exe
O4 - HKLM\..\Run: [FirefaceUsbTray2] firefaceusbmix.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [FjWirSel] C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Modadv] C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Csccodec\advserv.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1DE9BB01-B121-401D-8877-BCD5ED5B7EE5} (Tpwin Control) - hxxp://www.crezio.com/test/leeyunho/AlwaysOn/AlwaysOn.CAB
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - hxxp://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {61E56682-2F9A-400C-A724-BC1E9D962225} (EGateRegiChecker Control) - hxxp://gw.aekyung.kr/comn/library.nsf/ByDesignName/eGateRegiChecker.cab/$FILE/eGateRegiChecker.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - hxxp://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {9040F8BC-1F13-4D8D-8F62-1140D49F12F4} (eGateFileManagerV2 Control) - hxxp://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateFileManager.cab/$FILE/eGateFileManagerV2.cab
O16 - DPF: {C854C4D1-ED53-4B1F-AA45-783B3CF3315C} (DacomUpload Control) - hxxp://program.webhard.co.kr/Plus/active_upload2/DacomUpload.cab
O16 - DPF: {CAFECAFE-0013-0001-0025-ABCDEFABCDEF} (JInitiator 1.3.1.25) - https://www.myfidelio.net/webhtml/opera_jinit_1012_25.exe
O16 - DPF: {DBEC973D-63E4-4063-A3B8-675D497AD7E4} (EGatePrint Control) - hxxp://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGatePrint.cab/$FILE/eGatePrint.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://microsinc.webex.com/client/T23L/support/ieatgpc.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F1233514-92E1-4E50-811F-B0F552D041CA} (eGateDocV2 Control) - hxxp://ma.aekyung.kr/comn/library.nsf/ByDesignName/eGateODSV2.files/$FILE/eGateODSV2.CAB
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SuperAntispyware\SASWINLO.dll
O20 - Winlogon Notify: FJWSEL - FJWSWNP.dll (file missing)
O20 - Winlogon Notify: PSUTY - PSUWNP.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: BrSplService (Brother XP spl Service) - Unknown owner - C:\WINDOWS\system32\brsvc01a.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8866 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19C8E43B-07B3-49CB-BFFC-6777B593E6F8}]
Download Manager Browser Helper Object - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL [2007-05-21 525792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1}]
FG2CatchUrl - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll [2008-08-19 104016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-12-07 297648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll [2010-10-28 843832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-12-07 297648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-03-07 16010240]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2006-01-05 761946]
"SSUtility"=C:\AddOn\Fujitsu\SSUtility\FJSSDMN.exe [2006-07-22 233472]
"PSUtility"=C:\AddOn\Fujitsu\PSUtility\TrayManager.exe [2006-07-05 118784]
"LoadFUJ02E3"=C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe [2006-04-20 73728]
"IndicatorUtility"=C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2005-08-09 81920]
"LoadFujitsuQuickTouch"=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2005-07-21 353792]
"LoadBtnHnd"=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2005-07-21 61440]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2006-06-29 89541]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2010-08-02 281768]
"FirefaceUsbTray1"=C:\WINDOWS\system32\firefaceusb.exe [2009-06-18 325632]
"FirefaceUsbTray2"=C:\WINDOWS\system32\firefaceusbmix.exe [2009-06-18 1048064]
"Windows Defender"=C:\Programme\Windows Defender\MSASCui.exe [2006-11-03 866584]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FjWirSel"=C:\Addon\Fujitsu\WirelessSelector\FJWSLauncher.exe [2006-06-29 102400]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-23 68856]
"Modadv"=C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Csccodec\advserv.exe [2010-12-13 266240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-10-10 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
C:\WINDOWS\system32\hkcmd.exe [2005-11-03 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M-Audio Taskbar Icon]
C:\WINDOWS\system32\M-AudioTaskBarIcon.exe [2009-09-02 643592]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SuperAntispyware\SASWINLO.dll [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\FJWSEL]
C:\WINDOWS\system32\FJWSWNP.dll [2006-06-29 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-03 135168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PSUTY]
C:\WINDOWS\system32\PSUWNP.dll [2006-06-02 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SuperAntispyware\SASSEH.DLL [2008-05-13 77824]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WIFD1F~1\MpShHook.dll [2006-11-03 83224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1
"NoDriveAutoRun"=67108863
"NoDriveTypeAutoRun"=323
"NoDrives"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"
"C:\Programme\FlashGet\FlashGet.exe"="C:\Programme\FlashGet\FlashGet.exe:*:Enabled:Flashget2"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\drivers\svchost.exe"="%windir%\system32\drivers\svchost.exe:*:Enabled:svchost"

======List of files/folders created in the last 1 months======

2010-12-13 21:45:37 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Avira
2010-12-09 20:19:25 ----N---- C:\WINDOWS\system32\MpSigStub.exe
2010-12-09 20:17:14 ----D---- C:\Programme\Windows Defender
2010-12-09 17:48:43 ----ASH---- C:\hiberfil.sys
2010-12-09 13:39:37 ----SHD---- C:\WINDOWS\CSC
2010-12-09 11:31:23 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Csccodec
2010-12-08 13:03:21 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\BITS
2010-12-02 13:56:03 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\vlc
2010-11-27 19:38:39 ----D---- C:\Programme\Auslogics Disk Defrag
2010-11-27 19:14:02 ----D---- C:\WINDOWS\Temp
2010-11-27 19:07:14 ----A---- C:\WINDOWS\system32\pgdfgsvc.exe
2010-11-27 18:24:31 ----D---- C:\Programme\Pagedefrag
2010-11-26 20:56:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2010-11-26 20:56:05 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\TomTom
2010-11-26 20:55:59 ----D---- C:\Programme\TomTom International B.V
2010-11-26 20:55:45 ----D---- C:\Programme\TomTom HOME 2
2010-11-26 20:54:46 ----D---- C:\Programme\TomTom DesktopSuite

======List of files/folders modified in the last 1 months======

2010-12-14 11:56:33 ----D---- C:\Programme\trend micro
2010-12-14 11:56:08 ----D---- C:\WINDOWS\Prefetch
2010-12-14 10:53:06 ----D---- C:\WINDOWS\system32
2010-12-14 09:27:00 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-12-14 07:37:23 ----SD---- C:\WINDOWS\Tasks
2010-12-14 07:34:57 ----D---- C:\WINDOWS\system32\CatRoot2
2010-12-14 07:34:27 ----D---- C:\WINDOWS\system32\Lang
2010-12-13 22:57:57 ----D---- C:\Programme\Malwarebekämpfung
2010-12-13 22:47:38 ----SHD---- C:\System Volume Information
2010-12-13 22:46:02 ----D---- C:\WINDOWS\system32\NtmsData
2010-12-13 21:48:21 ----D---- C:\WINDOWS
2010-12-13 21:48:13 ----D---- C:\WINDOWS\repair
2010-12-13 21:48:11 ----D---- C:\WINDOWS\Registration
2010-12-13 21:44:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2010-12-13 21:42:26 ----SHD---- C:\WINDOWS\Installer
2010-12-13 21:42:26 ----D---- C:\Config.Msi
2010-12-13 21:42:24 ----D---- C:\WINDOWS\WinSxS
2010-12-13 21:40:04 ----D---- C:\Programme\Avira
2010-12-09 20:18:31 ----HD---- C:\WINDOWS\inf
2010-12-09 20:18:30 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-12-09 20:17:14 ----D---- C:\Programme
2010-12-09 15:26:20 ----D---- C:\Dokumente und Einstellungen\Winfried\Anwendungsdaten\Media Player Classic
2010-12-09 13:42:51 ----D---- C:\WINDOWS\system32\drivers
2010-12-07 16:11:47 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP
2010-12-06 09:51:22 ----D---- C:\TEMP
2010-12-05 21:41:16 ----A---- C:\WINDOWS\win.ini
2010-12-05 21:41:16 ----A---- C:\WINDOWS\system.ini
2010-12-02 13:54:05 ----D---- C:\Programme\VLC Player
2010-11-25 16:37:37 ----RSHD---- C:\WINDOWS\system32\dllcache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 FJGSDisk;G-Sensor Application Filter Driver; C:\WINDOWS\system32\DRIVERS\FJGSDisk.sys [2007-03-22 7168]
R0 iaStor;Intel AHCI Controller; C:\WINDOWS\system32\DRIVERS\iaStor.sys [2005-10-12 874240]
R0 O2MDRDR;O2MDRDR; C:\WINDOWS\system32\DRIVERS\o2media.sys [2005-07-08 34176]
R0 O2SDRDR;O2SDRDR; C:\WINDOWS\system32\DRIVERS\o2sd.sys [2005-09-23 28544]
R0 ohci1394;OHCI-konformer IEEE 1394-Hostcontroller; C:\WINDOWS\system32\DRIVERS\ohci1394.sys [2008-04-13 61696]
R0 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2010-12-13 135096]
R1 crlscsi;crlscsi; C:\WINDOWS\system32\drivers\crlscsi.sys [1995-11-07 6144]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS []
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 ATNT40K;ActiveTouch NT Appsharing Driver; C:\WINDOWS\SYSTEM32\DRIVERS\ATNT40K.SYS [2007-04-26 51304]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-12-13 61960]
R2 BtnHnd;BtnHnd; \??\C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINDOWS\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-03-08 4246016]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 O2SCBUS;O2Micro SmartCardBus Reader; C:\WINDOWS\system32\DRIVERS\ozscr.sys [2004-10-25 92561]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SMCIRDA;SMC IrCC-Miniportgerätetreiber; C:\WINDOWS\system32\DRIVERS\smcirda.sys [2001-08-18 35913]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2006-01-05 191936]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
S1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
S3 ADM8511;ADMtek ADM8511/AN986-USB-Fast Ethernetkonvertierer; C:\WINDOWS\system32\DRIVERS\ADM8511.SYS [2001-08-17 20160]
S3 AR5211;Atheros Wireless Network Adapter Service; C:\WINDOWS\system32\DRIVERS\ar5211.sys [2005-09-14 468768]
S3 catchme;catchme; \??\C:\DOKUME~1\Winfried\LOKALE~1\Temp\catchme.sys []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 firefaceu;RME Fireface USB Audio Device; C:\WINDOWS\system32\drivers\fireface_usb.sys [2009-06-18 69632]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-07 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-07 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-07 21744]
S3 MADFUTRANSIT;Service for M-Audio Transit DFU; C:\WINDOWS\system32\DRIVERS\MAudioTransit_DFU.sys [2009-09-02 42248]
S3 MADFUTS;M-Audio Transit DFU Driver; C:\WINDOWS\system32\DRIVERS\MADFUTS.sys []
S3 MAUSBTRANSIT;Service for M-Audio Transit; C:\WINDOWS\system32\DRIVERS\MAudioTransit.sys [2009-09-02 158344]
S3 MAUSBTZ;Service for M-Audio Transit (WDM); C:\WINDOWS\system32\DRIVERS\mausbts.sys []
S3 NRKCTL32;NRKCTL32; \??\E:\Programme\WCPUID\NRKCTL32.SYS []
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\NSNDIS5.SYS []
S3 pdcv2;pdcv2; C:\WINDOWS\system32\DRIVERS\pdcv2.sys [2003-09-22 16128]
S3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2004-08-03 166912]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
S3 sermouse;Serieller Maustreiber; C:\WINDOWS\system32\DRIVERS\sermouse.sys [2001-08-18 18176]
S3 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2010-06-17 28520]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WINIO;WINIO; \??\C:\Programme\HiFi Akademie\dspModul\winio.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 agp440;Intel AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agp440.sys [2008-04-13 42368]
S4 agpCPQ;Compaq AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\agpCPQ.sys [2008-04-13 44928]
S4 alim1541;ALI AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\alim1541.sys [2008-04-13 42752]
S4 amdagp;AMD AGP-Bus-Filtertreiber; C:\WINDOWS\system32\DRIVERS\amdagp.sys [2008-04-13 43008]
S4 cbidf;cbidf; C:\WINDOWS\system32\DRIVERS\cbidf2k.sys [2001-08-17 13952]
S4 sisagp;SIS AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\sisagp.sys [2008-04-13 40960]
S4 viaagp;VIA AGP-Bus-Filter; C:\WINDOWS\system32\DRIVERS\viaagp.sys [2008-04-13 42240]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirMailService;Avira AntiVir MailGuard; C:\Programme\Avira\AntiVir Desktop\avmailc.exe [2010-08-02 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2010-08-02 135336]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2010-12-13 267944]
R2 AntiVirWebService;Avira AntiVir WebGuard; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-08-02 403624]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 TomTomHOMEService;TomTomHOMEService; C:\Programme\TomTom HOME 2\TomTomHOMEService.exe [2010-08-24 92008]
R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe []
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 182768]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]

-----------------EOF-----------------
Wie komme ich blos weiter?
Gruß,
Winfried

cosinus 14.12.2010 16:48
Vllt postest du erstmal wo Agent.H gefunden wurde? Oder waren alle Funde in System Volume Information?

wgh52 17.12.2010 13:45
Hallo!

Leider - genau das kann ich leider nicht mehr herausfinden, weil ich's beim Fund vergas aufzuschreiben. Ich meine der Funed war in den Temp Internet Files und Zugriff wurde verweigert, aber offensichtlich verhinderte das nicht die Agent Installlation, denn mein eBanking war offensichtlich "überlagert".

Obwohl momentan nichts gefunden wird benimmt sich der PC eigenartig (eBanking mache ich natürlich damit nicht), u.a. mit unerwartetem System-Shutdown ("Der PC wird in xx Sekunden heruntergefahren, sichern Sie ihre Daten..."), merkwürdigem Bildschirmzucken, manchmal langsamerem Applikationsstart, usw.

Also habe ich beschlossen den PC neu aufzusetzten, mir eine neue HD besorgt, dort Windows XP von Grund auf mit Formatierung usw. neu installiert, IE-8 und Avira Pro ist auch drauf, das funktioniert schonmal. Ansonsten werde ich der Anleitung hier im Forum folgen, aber eine Frage habe ich dazu:

Wie kann ich den Ordner mit meinen "eigenen Dateien" und mein Outlook.pst mit möglichst geringem Risiko, dass der Agent mitkommt, auf die neue Platte übertragen?
Per Memorystick? Oder per Kopie übers Netzwerk? Oder wie...?

Vielen Dank!
Gruß,
Winfried

cosinus 17.12.2010 14:31
Zitat:
Wie kann ich den Ordner mit meinen "eigenen Dateien" und mein Outlook.pst mit möglichst geringem Risiko, dass der Agent mitkommt, auf die neue Platte übertragen?
Der Agent.H wird bestimmt nicht in eigenen Dateien rumschlummern. Sind beide Platten eingebaut? Du kannst auch einfach dann stumpf die relevanten Daten rüberkopieren. Aber bitte keine ausführbaren Dateien!!

wgh52 17.12.2010 15:08
Nein, der PC ist ein Notebook mit einer Drive Bay. Ich könnte die (alte!) Platte evtl. als externe USB Platte anschließen. Wär' das OK?

Gruß,
Winfried

cosinus 17.12.2010 15:55
Ja das kann man so machen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131