Internetverbindung wird immer nach paar Minuten unterbrochen

#1 Hallo Leuts,

ich weiss, dass es eventuell nicht hierher gehören wird.

Die Situation: Ein Bekannter rief an und erzählte, dass sein Rechner nach paar Minuten keine Internetverbindung mehr habe. Ich war dort, tatsächlich, die Verbindung ist gewöhnlich vorhanden und nach paar Minuten ist sie aber weg.

Ich habe natürlich gleich nach einer Virus oder Backdoor usw gedacht und versucht diese möglichst zu beseitigen.

Allerdings habe ich weiterhin das Problem, dass die Verbindung unterbrochen wird.

Momentan habe ich den Rechner bei mir und mit anderen Rechnern komme ich problemlos ins Internet. Also liegt kein DSL oder sonstige Fehler mit der Leitung. Das Problem ist definitiv am Rechner.

Hat jemand eine Idee oder braucht jemand irgendwelche Logs und wenn ja welche? Würde mich auf eine Antwort sehr freuen.

MfG


Zusatz: Leuts...

ich versuche Windows Update zu machen und hier passiert das hier:

bei der Suche nach mögliche Updates, ist ja ein grüner Balken, der von links nach Rechts wandert. Der hängt zwischen durch total und nach paar minuten geht er wieder und zeigt dann die möglichen Updates usw... Die Verbindung ist immer noch nach paar Minuten weg und es wird die Seite gezeigt, dass die Seite nicht gefunden wurde...

#2 Arbeite folgendes ab: http://board.protecus.de/t23188.htm

Gruss Swiss

#3 Hallo,

hier sind die Logs...

zu der Nummer 2:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1271
Windows 5.1.2600 Service Pack 3

23.10.2008 11:44:11
mbam-log-2008-10-23 (11-44-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 84245
Laufzeit: 28 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSN (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\gtfadsn.exe (Backdoor.Bot) -> Delete on reboot.


zu der Nummer 3

in der Anlage


zu der Nummer 4:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:57, on 15.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\System\gfdert.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: GF dert (GFdert) - Unknown owner - C:\Programme\Gemeinsame Dateien\System\gfdert.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3259 bytes


zu der Nummer 5:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC80-2796

Verzeichnis von C:\WINDOWS\system32

04.12.2008 11:58 17.145 nvapps.xml
16.10.2008 23:19 436.090 perfh007.dat
16.10.2008 23:19 82.296 perfc007.dat
16.10.2008 23:19 979.554 PerfStringBackup.INI
16.10.2008 23:10 197 MRT.INI
16.10.2008 23:06 110.192 FNTCACHE.DAT
16.10.2008 20:54 397.560 perfh009.dat
16.10.2008 20:54 59.780 perfc009.dat
16.10.2008 20:34 265 spupdwxp.log
15.10.2008 11:58 2.262 wpa.dbl
07.10.2008 12:19 16.721.856 MRT.exe
03.10.2008 18:58 6.066.176 ieframe.dll
15.09.2008 17:24 1.846.528 win32k.sys
05.09.2008 23:31 267.304 WgaLogon.dll
05.09.2008 23:30 1.480.232 LegitCheckControl.dll
05.09.2008 23:30 952.360 WgaTray.exe
27.08.2008 10:57 3.593.216 mshtml.dll
26.08.2008 09:57 233.472 webcheck.dll
26.08.2008 09:57 1.159.680 urlmon.dll
26.08.2008 09:57 826.368 wininet.dll
26.08.2008 09:57 102.912 occache.dll
26.08.2008 09:57 193.024 msrating.dll
26.08.2008 09:57 44.544 pngfilt.dll
26.08.2008 09:57 477.696 mshtmled.dll
26.08.2008 09:57 671.232 mstime.dll
26.08.2008 09:57 105.984 url.dll
26.08.2008 09:57 459.264 msfeeds.dll
26.08.2008 09:57 52.224 msfeedsbs.dll
26.08.2008 09:57 27.648 jsproxy.dll
26.08.2008 09:57 1.831.424 inetcpl.cpl
26.08.2008 09:57 44.544 iernonce.dll
26.08.2008 09:57 267.776 iertutil.dll
26.08.2008 09:57 383.488 ieapfltr.dll
26.08.2008 09:57 347.136 dxtmsft.dll
26.08.2008 09:57 214.528 dxtrans.dll
26.08.2008 09:57 133.120 extmgr.dll
26.08.2008 09:57 153.088 ieakeng.dll
26.08.2008 09:57 230.400 ieaksie.dll
26.08.2008 09:57 63.488 icardie.dll
26.08.2008 09:57 384.512 iedkcs32.dll
26.08.2008 09:57 124.928 advpack.dll
25.08.2008 10:38 13.824 ieudinit.exe
25.08.2008 10:37 70.656 ie4uinit.exe
23.08.2008 07:54 161.792 ieakui.dll
18.08.2008 00:04 608.964 TZLog.log
14.08.2008 15:19 2.026.496 ntkrnlpa.exe
14.08.2008 15:19 2.147.840 ntoskrnl.exe
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
18.07.2008 22:07 270.880 mucltui.dll
18.07.2008 22:07 29.728 mucltui.dll.mui
18.07.2008 22:07 210.976 muweb.dll
07.07.2008 22:26 253.952 es.dll
26.06.2008 10:12 1.499.136 shdocvw.dll
24.06.2008 18:42 74.240 mscms.dll
24.06.2008 18:12 295.936 wmpeffects.dll
20.06.2008 19:46 247.296 mswsock.dll
20.06.2008 19:46 147.968 dnsapi.dll
26.05.2008 22:23 16.834 gthrctr.ini
26.05.2008 22:23 24.188 idxcntrs.ini
26.05.2008 22:23 16.568 gsrvctr.ini
26.05.2008 22:21 1.418.240 mssrch.dll
26.05.2008 22:21 1.582.592 tquery.dll
26.05.2008 22:19 273.408 oeph.dll
26.05.2008 22:19 108.032 UncNE.dll
26.05.2008 22:19 131.072 UncPH.dll
26.05.2008 22:19 2.048 UncRes.dll
26.05.2008 22:19 143.872 UncDMS.dll
26.05.2008 22:19 97.792 UncCplExt.dll
26.05.2008 22:19 11.264 oephRes.dll
26.05.2008 22:18 203.776 mssphtb.dll
26.05.2008 22:18 439.808 searchindexer.exe
26.05.2008 22:18 44.032 msstrc.dll
26.05.2008 22:18 56.320 xmlfilter.dll
26.05.2008 22:18 231.936 msshsq.dll
26.05.2008 22:18 38.400 rtffilt.dll
26.05.2008 22:18 350.208 mssph.dll
26.05.2008 22:18 184.832 searchprotocolhost.exe
26.05.2008 22:18 71.680 propdefs.dll
26.05.2008 22:17 87.552 searchfilterhost.exe
26.05.2008 22:17 754.176 propsys.dll
26.05.2008 22:17 34.816 msscb.dll
26.05.2008 22:17 11.776 msshooks.dll
26.05.2008 22:17 301.568 srchadmin.dll
26.05.2008 22:17 32.768 mssprxy.dll
26.05.2008 22:17 87.552 mssitlb.dll
26.05.2008 22:17 60.416 msscntrs.dll
26.05.2008 21:59 18.904 structuredqueryschematrivial.bin
26.05.2008 21:59 106.605 structuredqueryschema.bin
15.05.2008 12:03 249.856 sgbogkfetkmq.exe
10.05.2008 01:24 135.168 wshom.ocx
09.05.2008 12:54 180.224 scrobj.dll
09.05.2008 12:54 172.032 scrrun.dll
09.05.2008 12:54 90.112 wshext.dll
09.05.2008 12:54 430.080 vbscript.dll
09.05.2008 12:54 512.000 jscript.dll
08.05.2008 13:24 155.648 wscript.exe
07.05.2008 11:07 135.168 cscript.exe
07.05.2008 07:10 1.293.824 quartz.dll
14.04.2008 07:53 11.264 spnpinst.exe
14.04.2008 07:52 989.696 setupapi.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC80-2796

Verzeichnis von C:\WINDOWS

04.12.2008 11:58 227 system.ini
16.10.2008 18:58 0 Sti_Trace.log
16.10.2008 13:08 297 wininit.ini
15.10.2008 11:59 879.315 WindowsUpdate.log
15.10.2008 11:58 157 wiadebug.log
15.10.2008 11:57 0 0.log
15.10.2008 11:57 50 wiaservc.log
15.10.2008 11:57 2.048 bootstat.dat
15.10.2008 11:54 4.772 SchedLgU.Txt
28.09.2008 09:51 75.274 gtfadsn.exe
19.09.2008 16:20 2.188 BRMFBIDI.INI
23.06.2008 14:56 5.706 cdplayer.ini
11.06.2008 00:40 1.409 QTFont.for
11.06.2008 00:40 54.156 QTFont.qfn
14.04.2008 04:23 288.768 winhlp32.exe
14.04.2008 04:23 32.866 slrundll.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC80-2796

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC80-2796

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.03.2008 19:33 1.527.056 FP_AX_CAB_INSTALLER.exe
25.06.2006 12:50 1.793 erma.inf
13.05.2005 00:18 65 desktop.ini
3 Datei(en) 1.528.914 Bytes
0 Verzeichnis(se), 545.095.680 Bytes frei



Ich bedanke mich jetzt schon mal voraus...

MfG

#4 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\Programme\Gemeinsame Dateien\System\gfdert.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt (falls vorhanden)

"GF dert"

aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"GF dert" beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Windows System Hardware BackUp...usw.. " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

>>
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc stop GF dert

sc delete GF dert

del C:\Programme\Gemeinsame Dateien\System\gfdert.exe

>>
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

GF dert

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn

>>
Kannst du mal nachschauen was hier drin steht?
C:\WINDOWS\wininit.ini

Poste den inhalt

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss

#5 ««
zusätzlich:

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\sgbogkfetkmq.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Ergebnisse von Onlinescan:
AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 -
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 -
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
weitere Informationen
File size: 120353 bytes
MD5...: aa50ea8759108aa5a730ea4bc32c7e4b
SHA1..: 14e764e4942ac4c27ffbc00147d07443811dc58e
SHA256: 14106d22d1b66013042ca2e6758480f44906c4a6d8277710dd892637c9508092
SHA512: 82f542feddbf9b4cc6b16e4d90c9b8ccf35f0dff9b93ce84d571970757a470a4
99b469897fd2f7be1b175558aa27eb5d978bf1b62c819e171aa6f0a6bd6dda53
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40110c
timedatestamp.....: 0x490c33e6 (Sat Nov 01 10:48:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3d30 0x4000 4.88 80eb52fa2d5fa4ad7cf67b47d3323712
.data 0x5000 0x480 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x6000 0x88c 0x1000 1.83 5b97f55609047a20324a4a25c4ffe992

( 1 imports )
> MSVBVM60.DLL: -, -, -, -, -, -, -, DllFunctionCall, -, -, __vbaExceptHandler, -, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -

( 0 exports )


Regsearch

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 15.10.2008 20:39:56 for strings:
; 'gf dert'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GFDERT\0000]
"DeviceDesc"="GF dert"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GFdert]
"DisplayName"="GF dert"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GFDERT\0000]
"DeviceDesc"="GF dert"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GFdert]
"DisplayName"="GF dert"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GFDERT\0000]
"DeviceDesc"="GF dert"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GFdert]
"DisplayName"="GF dert"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc stop GF dert\\1"
"b"="sc delete GF dert\\1"

; End Of The Log...


Winini:

[RENAME]
NUL=C:\DOKUME~1\Orhan\LOKALE~1\Temp\nstmp\uninstall.exe
NUL=C:\DOKUME~1\Orhan\LOKALE~1\Temp\nstmp\uninstall.ini
nul=c:\tempjunk7646.tmp
c:\tempjunk5040.tmp=C:\WINDOWS\wt\WDInUsePlugin.dll
c:\tempjunk2227.tmp=C:\WINDOWS\wt\webdriver.dll
c:\tempjunk7646.tmp=C:\WINDOWS\wt\info.txt

SDfix


SDFix: Version 1.235
Run by Administrator on 15.10.2008 at 20:51

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 20:56:07
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd502199]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd502199]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"
"C:\\Programme\\Gemeinsame Dateien\\System\\gfdert.exe"="C:\\Programme\\Gemeinsame Dateien\\System\\gfdert.exe:*:Enabled:GFdert"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Sun 28 Sep 2008 75,274 ..SHR --- "C:\WINDOWS\gtfadsn.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 23 Oct 2005 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 17 Nov 2008 120,353 ..SHR --- "C:\Programme\Gemeinsame Dateien\System\gfdert.exe"
Thu 16 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0fa1062e6377fca04fa9021040ea562d\BIT1D.tmp"
Thu 16 Oct 2008 266,174 A.SHR --- "C:\WINDOWS\system32\drivers\alt_etc\hosts.bak"
Thu 16 Oct 2008 266,174 A.SHR --- "C:\WINDOWS\system32\drivers\etc\hosts.bak"
Sun 23 Oct 2005 4,348 ...H. --- "C:\Dokumente und Einstellungen\Orhan\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sun 23 Oct 2005 20 A..H. --- "C:\Dokumente und Einstellungen\Orhan\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Sun 23 Oct 2005 312 ...H. --- "C:\Dokumente und Einstellungen\Orhan\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Sun 23 Oct 2005 1,536 A..H. --- "C:\Dokumente und Einstellungen\Orhan\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2lic.bak"

Finished!

die Überprüfung von der 2. Datei, welche Sabina gesagt hat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 Win32:XDrop
AVG 8.0.0.161 2008.10.15 SpamTool.BRH
BitDefender 7.2 2008.10.15 Backdoor.Oderoor.2.Gen
CAT-QuickHeal 9.50 2008.10.14 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.15 W32/PackBobax.B!tr
GData 19 2008.10.15 Backdoor.Oderoor.2.Gen
Ikarus T3.1.1.34.0 2008.10.15 Trojan-Dropper
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 Spam-SamBurg
Microsoft 1.4005 2008.10.15 Backdoor:Win32/Oderoor.gen!C
NOD32 3524 2008.10.15 a variant of Win32/Kryptik.F
Norman 5.80.02 2008.10.15 W32/Oderoor.BL
Panda 9.0.0.4 2008.10.15 Trj/Downloader.MDW
PCTools 4.4.2.0 2008.10.15 Trojan.Oderoor.Gen!Pac.3
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.15 Mal/EncPk-DJ
Sunbelt 3.1.1725.1 2008.10.15 Backdoor.Oderoor.2.Gen
Symantec 10 2008.10.15 Backdoor.Spakrab
TheHacker 6.3.1.0.112 2008.10.15 Trojan/Downloader.gen
TrendMicro 8.700.0.1004 2008.10.15 -
VBA32 3.12.8.6 2008.10.14 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 Trojan.Oderoor.Gen!Pac.3
weitere Informationen
File size: 249856 bytes
MD5...: 846a6d9e0a67a1af4d75d4c67d1d0afb
SHA1..: 6473d4a6e9e9a2cc6ba52e9949ebf68a6a4e5865
SHA256: 823b6d1ebc26ba1491b387e46b7678220705595217d2c3005c2a4a9365126e11
SHA512: afabe77fefa083b7bb76c84920b3605901674ddb7308ec83abcad1ff9a32c683
446ac7433924dca869d4b27911a3f1e7994c87e53f39a9e19234220ecf7dd51d
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010db
timedatestamp.....: 0x46dd0c59 (Tue Sep 04 07:42:17 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x548 0x1000 2.92 767fd3688c3bac7b3feceaef0d8fff9a
.rdata 0x2000 0x376 0x1000 1.48 3f8e292d1d439d099c43b79c0b187bf4
.data 0x3000 0x2a5d4 0x2b000 7.98 60c979b53e40b9514046f88fecb7d430
.data0 0x2e000 0xe214 0xf000 7.76 5180ef32dd0ca2f81ca6678328e80c0b

( 3 imports )
> KERNEL32.dll: GetSystemTimeAsFileTime, lstrcatA, SetSystemTime, GetExitCodeProcess, GetStringTypeExW, GetProfileIntA, HeapCompact, GetEnvironmentVariableA, SetConsoleTitleA
> USER32.dll: ExcludeUpdateRgn, EnumDesktopWindows, ToUnicode, CreateCaret, EnumPropsW, BeginDeferWindowPos, ShowOwnedPopups, DefFrameProcA, IntersectRect
> GDI32.dll: EnumFontsA, GetKerningPairsW, GetPaletteEntries, MaskBlt, SetBkColor, GetDCOrgEx, SetTextCharacterExtra, CombineRgn, PolyDraw, GetEnhMetaFileDescriptionW, LineDDA

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6A79291300E508FDD0C9033B4AC8B4002981E05E
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=846a6d9e0a67a1af4d75d4c67d1d0afb


ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt

#7 welche exe hast du geprüft ? die von Tonstudio angegebene oder meine ?
__________
MfG Sabina

rund um die PC-Sicherheit

#8

Zitat

Sabina postete
welche exe hast du geprüft ? die von Tonstudio angegebene oder meine ?

deine hab ich jetzt auch drin

#9 >>
Teatimer deaktivieren:
Zum Deaktivieren des TeaTimer-Moduls musst du in Spybot Search & Destroy in der Menüleiste unter "Modus" zunächst den "Erweiterten Modus" wählen.
Dann links im Menü "Werkzeuge" auswählen. Nun - ebenfalls links - den Untermenü-Punkt "Resident" wählen und nun das Häkchen bei "Resident Teatimer (Schutz von Systemeinstellungen)" entfernen. (Umgekehrt kannst du Teatimer dort später auch wieder aktivieren).

>>
Bitte lass folgende Datei ebenfalls prüfen: (dürfte auch ein Backdoor sein)

C:\WINDOWS\gtfadsn.exe


>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Gemeinsame Dateien\System\gfdert.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GFDERT\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GFdert]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GFDERT\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GFdert]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GFDERT\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GFdert]

File::
C:\Programme\Gemeinsame Dateien\System\gfdert.exe
C:\WINDOWS\gtfadsn.exe
C:\WINDOWS\system32\sgbogkfetkmq.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
http://virus-protect.org/artikel/bilder/cfscript.gif



danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

Gruss Swiss

#10 wenn wir C:\WINDOWS\gtfadsn.exe mit virus-total geprüft sehen ...beginnt die Reinigung
__________
MfG Sabina

rund um die PC-Sicherheit

#11

Zitat

Sabina postete
wenn wir C:\WINDOWS\gtfadsn.exe mit virus-total geprüft sehen ...beginnt die Reinigung

darauf freue ich mich ja jetzt schon.. mach schon seit 2 Tagen ununterbrochen damit rum :-)

nun logfile:

ComboFix 08-10-15.06 - Degirmenci 2008-10-16 10:25:10.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.556 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Degirmenci\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-16 bis 2008-10-16 ))))))))))))))))))))))))))))))
.

2008-10-23 11:05 . 2008-10-23 11:05 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-23 11:05 . 2008-10-23 11:05 <DIR> d-------- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Malwarebytes
2008-10-23 11:05 . 2008-10-23 11:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-23 11:05 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-23 11:05 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-16 23:58 . 2008-10-16 23:58 <DIR> d-------- C:\WINDOWS\system32\drivers\alt_etc
2008-10-16 23:34 . 2008-10-16 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\Degirmenci\Contacts
2008-10-16 23:20 . 2008-10-16 23:20 <DIR> d-------- C:\Programme\Microsoft Silverlight
2008-10-16 23:19 . 2008-10-16 23:19 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-10-16 23:19 . 2008-10-16 23:19 <DIR> d-------- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Windows Desktop Search
2008-10-16 23:18 . 2008-03-07 19:02 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-10-16 23:18 . 2008-03-07 19:02 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-10-16 23:18 . 2008-03-07 19:02 29,696 -----c--- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-10-16 23:03 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-16 21:54 . 2005-05-13 00:14 <DIR> d--h----- C:\Dokumente und Einstellungen\Degirmenci\Vorlagen
2008-10-16 21:54 . 2005-05-13 01:04 <DIR> dr------- C:\Dokumente und Einstellungen\Degirmenci\Startmenü
2008-10-16 21:54 . 2005-05-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Degirmenci\Netzwerkumgebung
2008-10-16 21:54 . 2008-10-16 10:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Degirmenci\Lokale Einstellungen
2008-10-16 21:54 . 2008-10-16 21:54 <DIR> dr------- C:\Dokumente und Einstellungen\Degirmenci\Favoriten
2008-10-16 21:54 . 2008-10-19 00:04 <DIR> dr------- C:\Dokumente und Einstellungen\Degirmenci\Eigene Dateien
2008-10-16 21:54 . 2005-05-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Degirmenci\Druckumgebung
2008-10-16 21:54 . 2008-10-16 23:45 <DIR> dr-h----- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten
2008-10-16 21:54 . 2008-10-23 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\Degirmenci
2008-10-16 21:21 . 2008-10-16 21:21 <DIR> d-------- C:\Programme\Trend Micro
2008-10-16 21:06 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 21:06 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 21:06 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 21:06 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 21:06 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 20:20 . 2008-10-16 23:19 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-16 20:20 . 2008-10-16 20:20 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-16 20:20 . 2008-10-16 20:20 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-16 20:20 . 2008-10-16 20:20 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-16 20:18 . 2008-10-16 20:18 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-16 18:54 . 2008-10-16 18:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-16 16:42 . 2008-10-16 16:42 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-10-16 16:38 . 2008-10-16 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Orhan\Anwendungsdaten\VSRevoGroup
2008-10-16 16:30 . 2008-10-16 16:30 <DIR> d-------- C:\Programme\VS Revo Group
2008-10-16 13:51 . 2005-05-13 00:14 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-16 13:51 . 2005-05-13 01:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-16 13:51 . 2005-05-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-16 13:51 . 2008-10-16 10:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-16 13:51 . 2005-05-13 01:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-16 13:51 . 2005-05-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-16 13:51 . 2005-05-13 01:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-16 13:51 . 2008-10-16 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-16 13:14 . 2008-10-16 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-10-16 12:22 . 2008-10-16 13:07 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-16 12:22 . 2008-10-16 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-15 21:16 . 2008-10-15 21:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-10-15 20:50 . 2008-10-15 20:50 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-15 20:49 . 2008-10-15 20:49 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-03 18:58 . 2008-10-03 18:58 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-28 10:00 . 2008-09-28 10:00 120,353 --a--c--- C:\pup.exe
2008-09-28 09:51 . 2008-09-28 09:51 75,274 --a--c--- C:\Unkf.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 21:33 --------- d-----w C:\Programme\MSN Messenger
2008-10-16 14:35 --------- d-----w C:\Programme\Google
2008-10-16 14:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-25 16:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2006-05-14 15:24 16,368 ----a-w C:\Dokumente und Einstellungen\Orhan\Anwendungsdaten\GDIPFONTCACHEV1.DAT
1999-06-25 08:55 149,504 ----a-w C:\Programme\UNWISE.EXE
1998-12-23 07:20 6,067 ----a-w C:\Programme\UNWISE.INI
.

((((((((((((((((((((((((((((( snapshot_2008-10-15_12.00.46.75 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-15 18:49:22 1,888,256 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-10-15 18:49:22 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-15 18:49:13 1,888,256 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-10-15 18:49:13 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 4620288]
"nwiz"="nwiz.exe" [2004-10-29 C:\WINDOWS\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Windows Search.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2003-12-02 20610]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2003-12-02 23858]
S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 BrSerWDM;Brother-Treiber (seriell);C:\WINDOWS\system32\Drivers\BrSerWdm.sys [2003-03-14 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);C:\WINDOWS\system32\Drivers\BrUsbMdm.sys [2001-08-17 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 10368]
S3 ip100xp;10/100Mbps Fast Ethernet Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\ipfnd51.sys [2004-07-23 26624]
S3 TIAcxubt;D-Link WLAN USB Boot Device;C:\WINDOWS\system32\Drivers\tiacxubt.sys [ ]
S3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter;C:\WINDOWS\system32\Drivers\tiacxusb.sys [ ]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Mozilla\Firefox\Profiles\qemzqwr1.default\
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_03\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 10:26:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-16 10:27:45
ComboFix-quarantined-files.txt 2008-10-16 08:27:43
ComboFix2.txt 2008-10-16 08:23:33
ComboFix3.txt 2008-10-15 10:01:16
ComboFix4.txt 2008-10-16 10:02:25

Vor Suchlauf: 566.513.664 Bytes frei
Nach Suchlauf: 555,872,256 Bytes frei

161 --- E O F --- 2008-10-12 22:32:42


Teatimer war schon ausgeschaltet...

#12 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\pup.exe
C:\Unkf.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#13 vielleicht ist es sinnvoll zu erwähnen, dass die Partitionen C und D blau beschriftet sind... hast du eine Idee woran das liegen könnte, obwohl E und F ganz normal mit schwarzem Schrift geschrieben ist.


von der erste Datei:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.16.0 2008.10.16 -
AntiVir 7.9.0.4 2008.10.16 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.16 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.16 -
BitDefender 7.2 2008.10.16 -
CAT-QuickHeal 9.50 2008.10.16 -
ClamAV 0.93.1 2008.10.16 -
DrWeb 4.44.0.09170 2008.10.16 -
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6150 2008.10.16 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.15 -
F-Secure 8.0.14332.0 2008.10.16 Trojan-Dropper.Win32.VB.fwe
Fortinet 3.113.0.0 2008.10.16 -
GData 19 2008.10.16 -
Ikarus T3.1.1.34.0 2008.10.16 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.16 Trojan-Dropper.Win32.VB.fwe
McAfee 5406 2008.10.16 -
Microsoft 1.4005 2008.10.16 -
NOD32 3527 2008.10.16 -
Norman 5.80.02 2008.10.16 -
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.16 -
Rising 20.66.32.00 2008.10.16 -
SecureWeb-Gateway 6.7.6 2008.10.16 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.16 -
Sunbelt 3.1.1727.1 2008.10.16 -
Symantec 10 2008.10.16 -
TheHacker 6.3.1.0.114 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.16 -
VBA32 3.12.8.7 2008.10.16 -
ViRobot 2008.10.16.1423 2008.10.16 -
VirusBuster 4.5.11.0 2008.10.15 -
weitere Informationen
File size: 120353 bytes
MD5...: aa50ea8759108aa5a730ea4bc32c7e4b
SHA1..: 14e764e4942ac4c27ffbc00147d07443811dc58e
SHA256: 14106d22d1b66013042ca2e6758480f44906c4a6d8277710dd892637c9508092
SHA512: 82f542feddbf9b4cc6b16e4d90c9b8ccf35f0dff9b93ce84d571970757a470a4
99b469897fd2f7be1b175558aa27eb5d978bf1b62c819e171aa6f0a6bd6dda53
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40110c
timedatestamp.....: 0x490c33e6 (Sat Nov 01 10:48:06 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3d30 0x4000 4.88 80eb52fa2d5fa4ad7cf67b47d3323712
.data 0x5000 0x480 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x6000 0x88c 0x1000 1.83 5b97f55609047a20324a4a25c4ffe992

( 1 imports )
> MSVBVM60.DLL: -, -, -, -, -, -, -, DllFunctionCall, -, -, __vbaExceptHandler, -, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -

( 0 exports )

die zweite Datei:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.16.0 2008.10.16 -
AntiVir 7.9.0.4 2008.10.16 -
Authentium 5.1.0.4 2008.10.16 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.16 -
BitDefender 7.2 2008.10.16 -
CAT-QuickHeal 9.50 2008.10.16 -
ClamAV 0.93.1 2008.10.16 -
DrWeb 4.44.0.09170 2008.10.16 -
eSafe 7.0.17.0 2008.10.15 -
eTrust-Vet 31.6.6150 2008.10.16 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.15 -
F-Secure 8.0.14332.0 2008.10.16 -
Fortinet 3.113.0.0 2008.10.16 -
GData 19 2008.10.16 -
Ikarus T3.1.1.34.0 2008.10.16 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.16 -
McAfee 5406 2008.10.16 -
Microsoft 1.4005 2008.10.16 -
NOD32 3527 2008.10.16 -
Norman 5.80.02 2008.10.16 -
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.16 -
Rising 20.66.32.00 2008.10.16 -
SecureWeb-Gateway 6.7.6 2008.10.16 -
Sophos 4.34.0 2008.10.16 -
Sunbelt 3.1.1727.1 2008.10.16 -
Symantec 10 2008.10.16 -
TheHacker 6.3.1.0.114 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.16 -
VBA32 3.12.8.7 2008.10.16 -
ViRobot 2008.10.16.1423 2008.10.16 -
VirusBuster 4.5.11.0 2008.10.15 -
weitere Informationen
File size: 75274 bytes
MD5...: a0c88113819fae6efe2dd982e910fffe
SHA1..: f62e25e3049782bb3d981f8e0d517233357014d3
SHA256: d91633e94c6d1b6147bb862adfa4c3d2e3e2851efc135958c16a538bf8c6b521
SHA512: 9b2153574612f463be26894b8b4240751508808b3a593d3c09bb6338708e77b6
fdc0d3a0805430e1f448eed0afafca640fb891abc1da3948de7197f354ac5dd3
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010bc
timedatestamp.....: 0x48ce375b (Mon Sep 15 10:22:19 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3000 0x3000 4.91 c42c05081973e80e208c3ee94f89afe0
.data 0x4000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x5000 0x88c 0xe60a 5.73 5920d827deb23fc510867713f2169e8b

( 1 imports )
> MSVBVM60.DLL: -, -, -, -, -, DllFunctionCall, -, -, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -

( 0 exports )

#14 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\pup.exe
C:\Unkf.exe

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
wende bitte RSIT an + poste die zwei Logs
http://virus-protect.org/artikel/tools/random.html

Gruss Swiss

#15 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\pup.exe" deleted successfully.
File "C:\Unkf.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




info.txt logfile of random's system information tool 1.04 2008-10-17 10:33:12

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
C-Media WDM Audio Driver-->C:\WINDOWS\system32\cmirmdrv.exe
Diamond Caves 3-->C:\PROGRA~1\UNWISE.EXE C:\PROGRA~1\Diamond Caves 3\INSTALL.LOG
EchoLink-->C:\WINDOWS\IsUninst.exe -fC:\Programme\K1RFD\EchoLink\Uninst.isu
FRITZ!Box-->C:\Programme\FRITZ!Box\install.exe -d
Garmin City Navigator Europe NT v9-->MsiExec.exe /X{200B415D-7CC6-4818-8624-9E43EDF19D9C}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915800-v4)-->"C:\WINDOWS\$NtUninstallKB915800-v4$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150030}
Logitech Desktop Messenger-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\Setup.exe" -l0x7 UNINSTALL
Logitech Print Service-->C:\PROGRA~1\Logitech\PRINTS~1\UNWISE.EXE C:\PROGRA~1\Logitech\PRINTS~1\INSTALL.LOG
Logitech QuickCam-->MsiExec.exe /I{26AA53D5-1307-48F9-A80F-A4D25F5849D4}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU-->MsiExec.exe /I{9309DD7E-EBFE-3C95-8B47-30D3A012F606}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Musicmatch® Jukebox-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8EF1122E-E90C-4EE9-AB0C-7FDE2BA42C26}\setup.exe" -l0x7 -uninst
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NVIDIA WDM Drivers-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B023185F-F1EF-4F97-B0BD-AE6D802226D1}\Setup.exe"
NVIDIA Windows 95/98/ME/2000/XP Stereo Drivers-->nvStInst.exe /uninstall /ask
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Revo Uninstaller 1.71-->C:\Programme\VS Revo Group\Revo Uninstaller\uninst.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Search 4.0-->"C:\WINDOWS\$NtUninstallKB940157$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

=====HijackThis Backups=====

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [MSN] C:\Windows\gtfadsn.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O23 - Service: GF dert (GFdert) - Unknown owner - C:\Programme\Gemeinsame Dateien\System\gfdert.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)

======Hosts File======

127.0.0.1 mpa.one.microsoft.com

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------



Logfile of random's system information tool 1.04 (written by random/random)
Run by Degirmenci at 2008-10-17 10:33:05
Microsoft Windows XP Professional Service Pack 3
System drive C: has 547 MB (5%) free of 10 GB
Total RAM: 767 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:33:08, on 17.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Degirmenci\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Degirmenci.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3113 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2004-10-29 4620288]
"nwiz"=nwiz.exe /install []
"BluetoothAuthenticationAgent"=C:\WINDOWS\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Windows Search.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2008-10-23 11:05:32 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Malwarebytes
2008-10-23 11:05:28 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-23 11:05:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-17 10:33:05 ----DC---- C:\rsit
2008-10-17 10:27:32 ----DC---- C:\Avenger
2008-10-17 10:27:32 ----AC---- C:\avenger.txt
2008-10-16 23:46:39 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Macromedia
2008-10-16 23:45:12 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Adobe
2008-10-16 23:33:51 ----SHDC---- C:\Config.Msi
2008-10-16 23:20:07 ----D---- C:\Programme\Microsoft Silverlight
2008-10-16 23:19:54 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Windows Desktop Search
2008-10-16 23:19:24 ----D---- C:\Programme\Windows Desktop Search
2008-10-16 23:19:12 ----HDC---- C:\WINDOWS\$NtUninstallKB940157$
2008-10-16 23:19:05 ----HDC---- C:\WINDOWS\$NtUninstallKB915800-v4$
2008-10-16 23:11:30 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2008-10-16 23:04:49 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
2008-10-16 23:04:40 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2008-10-16 22:44:21 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Mozilla
2008-10-16 22:44:07 ----D---- C:\Programme\Mozilla Firefox
2008-10-16 21:54:29 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Real
2008-10-16 21:54:18 ----D---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Identities
2008-10-16 21:54:07 ----ASH---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\desktop.ini
2008-10-16 21:54:06 ----SD---- C:\Dokumente und Einstellungen\Degirmenci\Anwendungsdaten\Microsoft
2008-10-16 21:21:41 ----D---- C:\Programme\Trend Micro
2008-10-16 21:09:33 ----D---- C:\WINDOWS\ie7updates
2008-10-16 21:09:25 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2008-10-16 21:09:14 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2008-10-16 20:57:11 ----HD---- C:\Programme\Uninstall Information
2008-10-16 20:49:34 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2008-10-16 20:48:35 ----D---- C:\WINDOWS\WBEM
2008-10-16 20:47:37 ----HDC---- C:\WINDOWS\ie7
2008-10-16 20:47:25 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
2008-10-16 20:46:51 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
2008-10-16 20:33:47 ----D---- C:\WINDOWS\Prefetch
2008-10-16 20:29:16 ----HDC---- C:\WINDOWS\$NtUninstallKB953838$
2008-10-16 20:29:08 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2008-10-16 20:29:00 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2008-10-16 20:28:52 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2008-10-16 20:28:44 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2008-10-16 20:28:35 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2008-10-16 20:28:28 ----HDC---- C:\WINDOWS\$NtUninstallKB951376$
2008-10-16 20:28:19 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2008-10-16 20:28:11 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2008-10-16 20:28:03 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2008-10-16 20:27:54 ----HDC---- C:\WINDOWS\$NtUninstallKB950759$
2008-10-16 20:27:46 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2008-10-16 20:27:39 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2008-10-16 20:20:18 ----D---- C:\WINDOWS\system32\de-de
2008-10-16 20:20:17 ----D---- C:\WINDOWS\system32\de
2008-10-16 20:20:17 ----D---- C:\WINDOWS\system32\bits
2008-10-16 20:20:17 ----D---- C:\WINDOWS\l2schemas
2008-10-16 20:18:18 ----D---- C:\WINDOWS\ServicePackFiles
2008-10-16 20:16:26 ----D---- C:\WINDOWS\network diagnostic
2008-10-16 20:11:33 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2008-10-16 18:57:57 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-16 16:42:27 ----HD---- C:\WINDOWS\system32\GroupPolicy
2008-10-16 16:30:29 ----D---- C:\Programme\VS Revo Group
2008-10-16 13:17:57 ----D---- C:\WINDOWS\pss
2008-10-16 13:14:47 ----D---- C:\Programme\CCleaner
2008-10-16 12:22:59 ----D---- C:\Programme\Spybot - Search & Destroy
2008-10-16 12:22:59 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 11:58:15 ----D---- C:\WINDOWS\erdnt
2008-10-16 11:57:43 ----ADC---- C:\QooBox
2008-10-16 10:55:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-10-16 10:55:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2008-10-16 10:49:23 ----SHDC---- C:\RECYCLER
2008-10-16 10:27:48 ----D---- C:\WINDOWS\temp
2008-10-16 10:27:46 ----AC---- C:\ComboFix.txt
2008-10-15 20:49:04 ----D---- C:\WINDOWS\ERUNT
2008-10-15 20:44:45 ----A---- C:\WINDOWS\ntbtlog.txt
2008-10-15 11:49:42 ----A---- C:\WINDOWS\zip.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\VFIND.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\SWXCACLS.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\SWSC.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\SWREG.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\sed.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\NIRCMD.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\grep.exe
2008-10-15 11:49:42 ----A---- C:\WINDOWS\fdsv.exe

======List of files/folders modified in the last 1 months======

2008-10-23 11:05:28 ----D---- C:\Programme
2008-10-23 10:56:29 ----D---- C:\WINDOWS\Debug
2008-10-17 10:27:32 ----D---- C:\WINDOWS\system32\drivers
2008-10-17 10:27:32 ----D---- C:\WINDOWS\system32
2008-10-16 23:33:56 ----SHD---- C:\WINDOWS\Installer
2008-10-16 23:33:52 ----D---- C:\Programme\MSN Messenger
2008-10-16 23:21:02 ----RSD---- C:\WINDOWS\assembly
2008-10-16 23:20:47 ----D---- C:\WINDOWS\system32\mui
2008-10-16 23:19:37 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2008-10-16 23:19:35 ----HD---- C:\WINDOWS\inf
2008-10-16 23:19:31 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-16 23:19:23 ----D---- C:\WINDOWS\system32\wbem
2008-10-16 23:10:58 ----HD---- C:\WINDOWS\$hf_mig$
2008-10-16 23:10:47 ----A---- C:\WINDOWS\system32\MRT.INI
2008-10-16 22:52:25 ----D---- C:\WINDOWS\Microsoft.NET
2008-10-16 22:13:01 ----D---- C:\WINDOWS\Help
2008-10-16 21:54:05 ----D---- C:\Dokumente und Einstellungen
2008-10-16 21:11:11 ----D---- C:\Programme\Internet Explorer
2008-10-16 20:54:06 ----D---- C:\WINDOWS\WinSxS
2008-10-16 20:48:30 ----D---- C:\WINDOWS\Media
2008-10-16 20:43:09 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2008-10-16 20:33:28 ----D---- C:\WINDOWS\system32\Setup
2008-10-16 20:33:26 ----RSD---- C:\WINDOWS\Fonts
2008-10-16 20:29:49 ----D---- C:\WINDOWS\security
2008-10-16 20:29:20 ----D---- C:\WINDOWS\system32\CatRoot
2008-10-16 20:27:48 ----D---- C:\Programme\Messenger
2008-10-16 20:20:30 ----D---- C:\WINDOWS\ehome
2008-10-16 20:20:29 ----D---- C:\WINDOWS\system32\inetsrv
2008-10-16 20:20:29 ----D---- C:\WINDOWS\ime
2008-10-16 20:20:18 ----D---- C:\WINDOWS\system32\usmt
2008-10-16 20:20:17 ----D---- C:\WINDOWS\PeerNet
2008-10-16 20:20:16 ----D---- C:\Programme\Movie Maker
2008-10-16 20:18:07 ----D---- C:\WINDOWS\system32\Restore
2008-10-16 20:18:07 ----D---- C:\WINDOWS\system32\npp
2008-10-16 20:18:06 ----D---- C:\WINDOWS\msagent
2008-10-16 20:18:05 ----D---- C:\WINDOWS\srchasst
2008-10-16 20:18:05 ----D---- C:\Programme\NetMeeting
2008-10-16 20:18:04 ----D---- C:\WINDOWS\system32\Com
2008-10-16 20:18:02 ----D---- C:\Programme\Windows Media Player
2008-10-16 20:18:01 ----D---- C:\Programme\Windows NT
2008-10-16 20:18:01 ----D---- C:\Programme\Outlook Express
2008-10-16 20:17:43 ----D---- C:\WINDOWS\system32\oobe
2008-10-16 20:17:41 ----D---- C:\WINDOWS\system
2008-10-16 16:35:08 ----D---- C:\Programme\Google
2008-10-16 16:35:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2008-10-16 16:34:08 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar
2008-10-16 16:33:21 ----SD---- C:\WINDOWS\Tasks
2008-10-16 16:22:17 ----D---- C:\WINDOWS\SoftwareDistribution
2008-10-16 13:08:39 ----A---- C:\WINDOWS\wininit.ini
2008-10-16 10:55:27 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-16 10:27:48 ----D---- C:\WINDOWS
2008-10-16 10:26:17 ----AC---- C:\WINDOWS\system.ini
2008-10-16 10:25:49 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-16 10:25:48 ----D---- C:\WINDOWS\AppPatch
2008-10-16 10:19:11 ----D---- C:\WINDOWS\system32\config
2008-10-16 10:17:30 ----RSHD---- C:\Programme\Gemeinsame Dateien\System
2008-10-15 20:50:18 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-15 11:53:03 ----D---- C:\WINDOWS\Minidump
2008-10-07 12:19:42 ----A---- C:\WINDOWS\system32\MRT.exe
2008-10-03 18:58:14 ----A---- C:\WINDOWS\system32\ieframe.dll
2008-09-23 22:35:38 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-09-19 16:20:05 ----A---- C:\WINDOWS\BRMFBIDI.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Cdr4_xp;Cdr4_xp; C:\WINDOWS\system32\drivers\Cdr4_xp.sys [2005-07-02 61424]
R1 Cdralw2k;Cdralw2k; C:\WINDOWS\system32\drivers\Cdralw2k.sys [2005-07-02 23420]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R2 nvcap;nVidia WDM Video Capture (universal); C:\WINDOWS\system32\DRIVERS\nvcap.sys [2003-12-02 126878]
R2 nvTUNEP;nVidia WDM TVTuner; C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2003-12-02 20610]
R2 nvtvSND;nVidia WDM TVAudio Crossbar; C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2003-12-02 23858]
R2 NVXBAR;nVidia WDM A/V Crossbar; C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2003-12-02 13360]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2004-06-25 818816]
R3 DumaNT;DumaNT; C:\WINDOWS\system32\drivers\DumaNT.sys [2005-04-01 334848]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-10-29 2826944]
R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS\system32\DRIVERS\sisnic.sys [2004-08-03 32768]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S1 Tosrfcom;Bluetooth RFCOMM from TOSHIBA; C:\WINDOWS\System32\Drivers\tosrfcom.sys [2004-10-04 62799]
S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 BrSerWDM;Brother-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2003-03-14 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB); C:\WINDOWS\System32\Drivers\BrUsbMdm.sys [2001-08-17 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB); C:\WINDOWS\System32\Drivers\BrUsbScn.sys [2001-08-17 10368]
S3 BthEnum;Bluetooth-Auflistungsdienst; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
S3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2008-04-13 18944]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 ip100xp;10/100Mbps Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\ipfnd51.sys [2004-07-23 26624]
S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0); C:\WINDOWS\system32\DRIVERS\CamDrL21.sys [2002-12-10 236121]
S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 TIAcxubt;D-Link WLAN USB Boot Device; C:\WINDOWS\System32\Drivers\tiacxubt.sys []
S3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter; C:\WINDOWS\System32\Drivers\tiacxusb.sys []
S3 toshidpt;TOSHIBA Bluetooth HID port driver; C:\WINDOWS\system32\drivers\Toshidpt.sys [2002-10-16 2851]
S3 tosporte;Bluetooth Port Driver from Toshiba; C:\WINDOWS\system32\DRIVERS\tosporte.sys [2005-03-04 47230]
S3 Tosrfbd;Bluetooth RFBUS from TOSHIBA; C:\WINDOWS\System32\Drivers\tosrfbd.sys [2005-02-01 98560]
S3 Tosrfbnp;Bluetooth RFBNEP from TOSHIBA; C:\WINDOWS\System32\Drivers\tosrfbnp.sys [2004-07-08 36531]
S3 Tosrfhid;Bluetooth RFHID from TOSHIBA; C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys [2004-11-15 50048]
S3 tosrfnds;Bluetooth Personal Area Network from TOSHIBA; C:\WINDOWS\system32\DRIVERS\tosrfnds.sys [2005-01-06 18612]
S3 TosRfSnd;Bluetooth Audio Device (WDM) from TOSHIBA; C:\WINDOWS\system32\drivers\TosRfSnd.sys [2004-12-15 50048]
S3 Tosrfusb;Bluetooth USB Controller; C:\WINDOWS\System32\Drivers\tosrfusb.sys [2004-12-21 34816]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2004-10-29 127043]
R2 WSearch;Windows Search; C:\WINDOWS\system32\SearchIndexer.exe [2008-05-26 439808]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe []
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
[/b]