Home » Viren, Trojaner & Malware Forum » TR/Dldr.Small.hng auf meinem PC » Themenansicht

TR/Dldr.Small.hng auf meinem PC
#0
08.01.2008, 01:38
RazR
...neu hier

Beiträge: 5
#1 Moin Moin!
Habe den oben genannten Trojaner auf meinem Laptop.
Erstmal combofix:


ComboFix 08-01-07.5 - *So heiß ich* 2008-01-08 0:55:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1460 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\webhancer
C:\Programme\webhancer\whAgent_update.exe
C:\WINDOWS\system32\jkklk.dll
C:\WINDOWS\system32\jkklk.exe
C:\WINDOWS\system32\klkkj.ini
C:\WINDOWS\system32\klkkj.ini2
C:\WINDOWS\system32\rlls.dll
C:\WINDOWS\system32\SpoonUninstall.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 00:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 00:36 . 2008-01-08 00:36 <DIR> d-------- C:\Programme\Trend Micro
2008-01-08 00:29 . 2008-01-08 00:29 <DIR> d-------- C:\Programme\ClearProg
2008-01-08 00:22 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-08 00:22 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-08 00:20 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-08 00:20 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-08 00:20 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-08 00:20 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-08 00:07 . 2008-01-08 00:07 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-01-07 21:22 . 2008-01-07 21:24 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-07 21:19 . 2008-01-07 21:31 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-07 18:40 . 2008-01-07 23:54 <DIR> d-------- C:\Programme\EndItAll
2008-01-07 18:28 . 2004-08-10 13:00 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-07 18:28 . 2004-08-10 13:00 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-07 18:23 . 2008-01-07 18:23 37,376 --a------ C:\WINDOWS\system32\efcaxyw.dll
2008-01-07 18:11 . 2008-01-07 18:11 96 --a------ C:\WINDOWS\tmp.tmp.tmp
2008-01-07 11:31 . 2008-01-07 11:31 <DIR> d-------- C:\Programme\LimeWire
2008-01-07 11:31 . 2008-01-07 11:36 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\LimeWire
2007-12-31 08:27 . 2007-12-31 08:27 8,205,474 --a------ C:\WINDOWS\CLAAS '08 Einsatz.exe
2007-12-31 08:27 . 2007-12-31 08:27 403,724 --a------ C:\WINDOWS\CLAAS '08 Einsatz.scr
2007-12-31 08:27 . 2007-12-31 08:27 29,696 --a------ C:\WINDOWS\mickey32.dll
2007-12-31 08:26 . 2007-12-31 08:26 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ulead Systems
2007-12-29 12:58 . 2007-12-29 12:58 <DIR> d-------- C:\Programme\Password-Finder
2007-12-28 16:36 . 2007-12-28 16:38 <DIR> d-------- C:\Programme\Sprach-Verzerrer 1
2007-12-28 16:36 . 2007-12-28 16:36 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-12-10 15:16 . 2007-12-10 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DigitalPersona
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\WINDOWS\DPDrv
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\Programme\DigitalPersona
2007-12-09 20:27 . 2007-12-09 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Engelmann Media
2007-12-09 20:26 . 2007-12-09 20:26 <DIR> d-------- C:\Programme\S.A.D
2007-12-09 20:12 . 2007-12-09 20:12 <DIR> d-------- C:\Programme\MSBuild
2007-12-09 20:09 . 2007-12-09 20:13 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-12-09 20:08 . 2007-12-09 20:08 <DIR> d-------- C:\Programme\Reference Assemblies
2007-12-09 20:08 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-12-09 19:09 . 2007-12-09 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\AVS4YOU
2007-12-09 19:09 . 2007-12-09 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2007-12-09 19:08 . 2007-12-09 19:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-12-09 19:08 . 2007-12-09 19:10 <DIR> d-------- C:\Programme\AVS4YOU

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 22:59 --------- d-----w C:\Programme\QuickTime
2008-01-07 22:54 --------- d-----w C:\Programme\Logitech
2008-01-07 22:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-01-07 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Droppix
2008-01-07 13:46 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\teamspeak2
2008-01-03 14:51 --------- d-----w C:\Programme\Valve
2007-12-27 10:18 --------- d-----w C:\Programme\Miranda IM
2007-12-15 08:32 --------- d-----w C:\Programme\HLSW
2007-12-11 19:01 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Skype
2007-12-03 19:20 --------- d-----w C:\Programme\Enigma Software Group
2007-12-03 19:13 --------- d-----w C:\Programme\SlySoft
2007-12-03 19:13 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-02 09:22 --------- d-----w C:\Programme\Dcads Advanced Toolbar
2007-12-02 09:19 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Dcads Advanced Toolbar
2007-12-01 19:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-11-23 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2007-11-20 18:39 --------- d-----w C:\Programme\FoxBurnerPlugin
2007-11-19 20:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-11-17 19:16 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\AccurateRip
2007-11-17 18:32 --------- d-----w C:\Programme\GoldWave
2007-11-17 10:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel
2007-11-13 20:09 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Corel
2007-11-13 20:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Corel
2007-11-13 20:05 --------- d-----w C:\Programme\Corel
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

Code

<pre>
----a-w            15,360 2008-01-07 23:07:04  C:\WINDOWS\system32\ctfmon .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}]
2008-01-07 18:23 37376 --a------ C:\WINDOWS\system32\efcaxyw.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [ ]
"OM2_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 21:04 7557120]
"NVRotateSysTray"="C:\WINDOWS\system32\nvsysrot.dll" [2006-05-01 21:04 49152]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 14:59 16206848 C:\WINDOWS\RTHDCPL.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 15:16 266240 C:\WINDOWS\system32\TPSMain.exe]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [ ]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [ ]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"nwiz"="nwiz.exe" [2006-05-01 21:04 1519616 C:\WINDOWS\system32\nwiz.exe]
"Corel File Shell Monitor"="C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [ ]
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [ ]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [ ]
"DPAgnt"="C:\Programme\DigitalPersona\Bin\DPAgnt.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 12:11 233472]
"{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}"= C:\WINDOWS\system32\efcaxyw.dll [2008-01-07 18:23 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ]
C:\WINDOWS\system32\DPWLEvHd.dll 2006-10-09 16:27 99856 C:\WINDOWS\system32\DPWLEvHd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcaxyw]
efcaxyw.dll 2008-01-07 18:23 37376 C:\WINDOWS\system32\efcaxyw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-06-01 15:51 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-08 13:27 222208 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-01-29 15:36 25370152 C:\Programme\Skype\Phone\Skype.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LDM"=C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
"Steam"="C:\Programme\Valve\Steam\Steam.exe" -silent
"TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"NDSTray.exe"=NDSTray.exe
"DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE
"THotkey"=C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"Ulead Photo Express 5 SE Calendar Checker"=C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"AGRSMMSG"=AGRSMMSG.exe
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe
"TFncKy"=TFncKy.exe
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"Alcmtr"=ALCMTR.EXE
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"nwiz"=nwiz.exe /installquiet /keeploaded /nodetect
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"Corel Photo Downloader"="C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe [2004-08-10 13:00]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 09:45]
S3 dpK0Bx01;Fingerprint Reader Upper-Treiber;C:\WINDOWS\system32\DRIVERS\dpK0Bx01.sys [2006-09-16 17:25]
S3 dsreader;MaxDrive Driver (dsreader.sys);C:\WINDOWS\system32\Drivers\dsreader.sys [2001-01-02 22:53]
S3 LUsbKbd;Logitech SetPoint USB Filter Driver;C:\WINDOWS\system32\drivers\LUsbKbd.sys [2005-07-22 23:41]
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 09:31]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 13:47]
S3 usbdpfp;Fingerprint Reader Class-Treiber;C:\WINDOWS\system32\DRIVERS\usbdpfp.sys [2006-09-16 17:23]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:16:12 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-22 18:24:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

Hijackthis spuckt folgendes aus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:17:44, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B5A83A59-8BE9-471F-80B1-EA6EE5F22189} - C:\WINDOWS\system32\efcaxyw.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Programme\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199748003578
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199748101265
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O18 - Protocol: bw+0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {626F31DD-CDE2-41B7-96D5-29889F6AF633} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: efcaxyw - C:\WINDOWS\SYSTEM32\efcaxyw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 20948 bytes

datFind.bat :


.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\system32

08.01.2008 01:08 45.378 nvapps.xml
08.01.2008 00:07 15.360 ctfmon .exe
07.01.2008 21:24 4.212 zllictbl.dat
07.01.2008 18:23 37.376 efcaxyw.dll
23.12.2007 11:56 952 KGyGaAvL.sys
10.12.2007 14:57 182.632 FNTCACHE.DAT
09.12.2007 20:12 70.458 perfc009.dat
09.12.2007 20:12 436.694 perfh009.dat
09.12.2007 20:12 453.640 perfh007.dat
09.12.2007 20:12 83.126 perfc007.dat
09.12.2007 20:12 1.053.358 PerfStringBackup.INI
02.12.2007 17:45 8.464 sporder.dll
17.11.2007 20:16 13.011 SpoonUninstall-dBpoweramp Music Converter.dat
17.11.2007 20:15 33.846 SpoonUninstall-dBpoweramp Music Converter.bmp
15.11.2007 17:51 1.158 wpa.dbl
31.10.2007 10:22 176.128 EMRegSys.dll
25.10.2007 14:05 884.736 HDX4MediaConverter.dll
17.10.2007 18:23 10.752 WhoisCL.exe
21.08.2007 10:42 1.363.968 HDX4H263Decoder.ax

312 Datei(en) 127.702.656 Bytes
0 Verzeichnis(se), 70.709.891.072 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.07.2007 19:24 295 muweb.inf
30.07.2007 19:24 293 wuweb.inf
13.09.2006 15:55 65 desktop.ini
3 Datei(en) 653 Bytes
0 Verzeichnis(se), 70.709.903.360 Bytes frei


Nun der Rest:
Also, den Trojaner habe ich seit wahrscheinlich gestern Abend auf dem PC, tauchte plötlich eine Warnmeldung von Antivir auf. Die kommt leider bei jedem Mal Ordner oder Datei öffnen wieder, so dass ich hier die Hälfte der Zeit nur Knöpfchen drücke.
Die betroffenen Dateien sind beide dll-Dateien im system32-Ordner.
Die hauptsächlich in den Meldungen angezeigte Datei ist efcaxyw.dll, dann noch manchmal jkklk.dll.

Beim PC Neustart, also sobald der Desktop normal da ist, kommt bei mir immer eine Warnung mit einem "DropAgent.8" oder so ähnlich.
Den Trojanern ist mit Antivir nicht beizukommen.
Der PC funktioniert bis auf ein Programm, was zum Glück nur die Zusatzfunktion meiner Tastatur ist, normal, wenn man die ständige Warnung mal außen vor lässt.

Dann danke ich einfach mal im Vorraus, und hoffe, dass ihr mir helfen könnt.
Mfg
Sven
Seitenanfang Seitenende
08.01.2008, 01:58
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 RazR

wende die RenV.exe an - poste nur das Log, was erscheint, nichts weiter machen (noch nicht...)
http://www.virus-protect.org/artikel/tools/renvexe.html

-------------------------------------------------------------
««
HijackThis:
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked.

Zitat

O2 - BHO: (no name) - {B5A83A59-8BE9-471F-80B1-EA6EE5F22189} - C:\WINDOWS\system32\efcaxyw.dll

O20 - Winlogon Notify: efcaxyw - C:\WINDOWS\SYSTEM32\efcaxyw.dll
Combofix:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcaxyw]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}]

File::
C:\WINDOWS\system32\efcaxyw.dll
C:\WINDOWS\tmp.tmp.tmp


txt-Datei mit der rechten Maustaste auf das Symbol von Combofix ziehen
Combofix noch mal anwenden - 1 eintippen - poste das neue Log von Combofix

____

««
wende vundofix an
http://www.virus-protect.org/artikel/tools/vundofixx.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 09:28
raman
Moderator

Beiträge: 7805
#3 Ich habe eine kleine Datei angehaengt, koenntest du diese herunterladen und starten? Es kann sein, das du die Datei via "ziel speichern unter" auf deinen Rechner herunterladen musst.

Nach einiger Zeit wird ein Reportfenster geoeffnet. Poste bitte das Ergebniss.

Anhang: dirv.bat

__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.01.2008, 13:01
RazR
...neu hier

Themenstarter

Beiträge: 5
#4 Erstmal RenV:

Code

Ran on 08.01.2008 - 11:47:55,18

----a-w            15,360 2008-01-07 23:07:04  C:\WINDOWS\system32\ctfmon .exe

 Entries:                1  (1)
 Directories:            0  Files:             1
 Bytes:             15,360  Blocks:           30
ComboFix:

ComboFix 08-01-07.5 - *So heiß ich* 2008-01-08 12:13:13.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1610 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\*Mein Name*\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\efcaxyw.dll
C:\WINDOWS\tmp.tmp.tmp
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\efcaxyw.dll
C:\WINDOWS\tmp.tmp.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 00:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 00:36 . 2008-01-08 00:36 <DIR> d-------- C:\Programme\Trend Micro
2008-01-08 00:29 . 2008-01-08 00:29 <DIR> d-------- C:\Programme\ClearProg
2008-01-08 00:22 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-08 00:22 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-08 00:20 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-08 00:20 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-08 00:20 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-08 00:20 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-07 21:22 . 2008-01-07 21:24 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-07 21:19 . 2008-01-07 21:31 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-07 18:40 . 2008-01-07 23:54 <DIR> d-------- C:\Programme\EndItAll
2008-01-07 18:28 . 2008-01-08 00:07 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-07 18:28 . 2008-01-08 00:07 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-07 11:31 . 2008-01-07 11:31 <DIR> d-------- C:\Programme\LimeWire
2008-01-07 11:31 . 2008-01-07 11:36 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\LimeWire
2007-12-31 08:27 . 2007-12-31 08:27 8,205,474 --a------ C:\WINDOWS\CLAAS '08 Einsatz.exe
2007-12-31 08:27 . 2007-12-31 08:27 403,724 --a------ C:\WINDOWS\CLAAS '08 Einsatz.scr
2007-12-31 08:27 . 2007-12-31 08:27 29,696 --a------ C:\WINDOWS\mickey32.dll
2007-12-31 08:26 . 2007-12-31 08:26 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ulead Systems
2007-12-29 12:58 . 2007-12-29 12:58 <DIR> d-------- C:\Programme\Password-Finder
2007-12-28 16:36 . 2007-12-28 16:38 <DIR> d-------- C:\Programme\Sprach-Verzerrer 1
2007-12-28 16:36 . 2007-12-28 16:36 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-12-10 15:16 . 2007-12-10 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\*Mein Name*\Anwendungsdaten\DigitalPersona
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\WINDOWS\DPDrv
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\Programme\DigitalPersona
2007-12-09 20:27 . 2007-12-09 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\*Name*\Anwendungsdaten\Engelmann Media
2007-12-09 20:26 . 2007-12-09 20:26 <DIR> d-------- C:\Programme\S.A.D
2007-12-09 20:12 . 2007-12-09 20:12 <DIR> d-------- C:\Programme\MSBuild
2007-12-09 20:09 . 2007-12-09 20:13 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-12-09 20:08 . 2007-12-09 20:08 <DIR> d-------- C:\Programme\Reference Assemblies
2007-12-09 20:08 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-12-09 19:09 . 2007-12-09 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\AVS4YOU
2007-12-09 19:09 . 2007-12-09 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2007-12-09 19:08 . 2007-12-09 19:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-12-09 19:08 . 2007-12-09 19:10 <DIR> d-------- C:\Programme\AVS4YOU

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 22:59 --------- d-----w C:\Programme\QuickTime
2008-01-07 22:54 --------- d-----w C:\Programme\Logitech
2008-01-07 22:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-01-07 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Droppix
2008-01-07 13:46 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\teamspeak2
2008-01-03 14:51 --------- d-----w C:\Programme\Valve
2007-12-27 10:18 --------- d-----w C:\Programme\Miranda IM
2007-12-15 08:32 --------- d-----w C:\Programme\HLSW
2007-12-11 19:01 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Skype
2007-12-03 19:20 --------- d-----w C:\Programme\Enigma Software Group
2007-12-03 19:13 --------- d-----w C:\Programme\SlySoft
2007-12-03 19:13 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-02 09:22 --------- d-----w C:\Programme\Dcads Advanced Toolbar
2007-12-02 09:19 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Dcads Advanced Toolbar
2007-12-01 19:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-11-23 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2007-11-20 18:39 --------- d-----w C:\Programme\FoxBurnerPlugin
2007-11-19 20:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-11-17 19:16 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\AccurateRip
2007-11-17 18:32 --------- d-----w C:\Programme\GoldWave
2007-11-17 10:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel
2007-11-13 20:09 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Corel
2007-11-13 20:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Corel
2007-11-13 20:05 --------- d-----w C:\Programme\Corel
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-08_ 1.11.59.78 )))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-08 00:07 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [ ]
"OM2_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 21:04 7557120]
"NVRotateSysTray"="C:\WINDOWS\system32\nvsysrot.dll" [2006-05-01 21:04 49152]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 14:59 16206848 C:\WINDOWS\RTHDCPL.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 15:16 266240 C:\WINDOWS\system32\TPSMain.exe]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [ ]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [ ]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"nwiz"="nwiz.exe" [2006-05-01 21:04 1519616 C:\WINDOWS\system32\nwiz.exe]
"Corel File Shell Monitor"="C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [ ]
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [ ]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [ ]
"DPAgnt"="C:\Programme\DigitalPersona\Bin\DPAgnt.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-08 00:07 15360]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 12:11 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ]
C:\WINDOWS\system32\DPWLEvHd.dll 2006-10-09 16:27 99856 C:\WINDOWS\system32\DPWLEvHd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-06-01 15:51 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-08 13:27 222208 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-01-29 15:36 25370152 C:\Programme\Skype\Phone\Skype.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LDM"=C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
"Steam"="C:\Programme\Valve\Steam\Steam.exe" -silent
"TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"NDSTray.exe"=NDSTray.exe
"DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE
"THotkey"=C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"Ulead Photo Express 5 SE Calendar Checker"=C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"AGRSMMSG"=AGRSMMSG.exe
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe
"TFncKy"=TFncKy.exe
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"Alcmtr"=ALCMTR.EXE
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"nwiz"=nwiz.exe /installquiet /keeploaded /nodetect
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"Corel Photo Downloader"="C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe [2004-08-10 13:00]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 09:45]
S3 dpK0Bx01;Fingerprint Reader Upper-Treiber;C:\WINDOWS\system32\DRIVERS\dpK0Bx01.sys [2006-09-16 17:25]
S3 dsreader;MaxDrive Driver (dsreader.sys);C:\WINDOWS\system32\Drivers\dsreader.sys [2001-01-02 22:53]
S3 LUsbKbd;Logitech SetPoint USB Filter Driver;C:\WINDOWS\system32\drivers\LUsbKbd.sys [2005-07-22 23:41]
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 09:31]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 13:47]
S3 usbdpfp;Fingerprint Reader Class-Treiber;C:\WINDOWS\system32\DRIVERS\usbdpfp.sys [2006-09-16 17:23]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:16:12 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-22 18:24:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 12:23:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen






versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 12:27:20 - machine was rebooted [*Mein Name*]
ComboFix-quarantined-files.txt 2008-01-08 11:27:18
ComboFix2.txt 2008-01-08 00:12:58
.
2008-01-08 00:44:50 --- E O F ---


Dirv.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0429-F284
Seitenanfang Seitenende
08.01.2008, 13:22
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 RazR

Ziehe die erzeugte Reportdatei vom Scan mit Renv(Log.txt) -> auf RenV.exe



dann lasse Combofix und renv noch mal laufen + poste beide Logs
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 14:56
RazR
...neu hier

Themenstarter

Beiträge: 5
#6 Der ComboFix-Log:


ComboFix 08-01-07.5 - Name 2008-01-08 14:37:30.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1577 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sven\Desktop\Antivir Progs\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 13:25 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-01-08 13:25 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-01-08 12:30 . 2008-01-08 12:30 <DIR> d-------- C:\VundoFix Backups
2008-01-08 00:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 00:36 . 2008-01-08 00:36 <DIR> d-------- C:\Programme\Trend Micro
2008-01-08 00:29 . 2008-01-08 00:29 <DIR> d-------- C:\Programme\ClearProg
2008-01-08 00:22 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-08 00:22 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-08 00:20 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-08 00:20 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-08 00:20 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-08 00:20 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-07 21:22 . 2008-01-07 21:24 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-07 21:19 . 2008-01-07 21:31 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-07 18:40 . 2008-01-07 23:54 <DIR> d-------- C:\Programme\EndItAll
2008-01-07 18:28 . 2008-01-08 00:07 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-07 18:28 . 2008-01-08 00:07 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-07 11:31 . 2008-01-07 11:31 <DIR> d-------- C:\Programme\LimeWire
2008-01-07 11:31 . 2008-01-07 11:36 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\LimeWire
2007-12-31 08:27 . 2007-12-31 08:27 8,205,474 --a------ C:\WINDOWS\CLAAS '08 Einsatz.exe
2007-12-31 08:27 . 2007-12-31 08:27 403,724 --a------ C:\WINDOWS\CLAAS '08 Einsatz.scr
2007-12-31 08:27 . 2007-12-31 08:27 29,696 --a------ C:\WINDOWS\mickey32.dll
2007-12-31 08:26 . 2007-12-31 08:26 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ulead Systems
2007-12-29 12:58 . 2007-12-29 12:58 <DIR> d-------- C:\Programme\Password-Finder
2007-12-28 16:36 . 2007-12-28 16:38 <DIR> d-------- C:\Programme\Sprach-Verzerrer 1
2007-12-28 16:36 . 2007-12-28 16:36 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-12-10 15:16 . 2007-12-10 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DigitalPersona
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\WINDOWS\DPDrv
2007-12-10 15:12 . 2007-12-10 15:12 <DIR> d-------- C:\Programme\DigitalPersona
2007-12-09 20:27 . 2007-12-09 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Engelmann Media
2007-12-09 20:26 . 2007-12-09 20:26 <DIR> d-------- C:\Programme\S.A.D
2007-12-09 20:12 . 2007-12-09 20:12 <DIR> d-------- C:\Programme\MSBuild
2007-12-09 20:09 . 2007-12-09 20:13 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-12-09 20:08 . 2007-12-09 20:08 <DIR> d-------- C:\Programme\Reference Assemblies
2007-12-09 20:08 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-12-09 19:09 . 2007-12-09 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\AVS4YOU
2007-12-09 19:09 . 2007-12-09 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2007-12-09 19:08 . 2007-12-09 19:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-12-09 19:08 . 2007-12-09 19:10 <DIR> d-------- C:\Programme\AVS4YOU

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-08 13:27 --------- d-----w C:\Programme\Logitech
2008-01-08 13:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-01-07 22:59 --------- d-----w C:\Programme\QuickTime
2008-01-07 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Droppix
2008-01-07 13:46 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\teamspeak2
2008-01-03 14:51 --------- d-----w C:\Programme\Valve
2007-12-27 10:18 --------- d-----w C:\Programme\Miranda IM
2007-12-15 08:32 --------- d-----w C:\Programme\HLSW
2007-12-11 19:01 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Skype
2007-12-03 19:20 --------- d-----w C:\Programme\Enigma Software Group
2007-12-03 19:13 --------- d-----w C:\Programme\SlySoft
2007-12-03 19:13 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-02 16:45 8,464 ----a-w C:\WINDOWS\system32\sporder.dll
2007-12-02 09:22 --------- d-----w C:\Programme\Dcads Advanced Toolbar
2007-12-02 09:19 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Dcads Advanced Toolbar
2007-12-01 19:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-11-23 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2007-11-20 18:39 --------- d-----w C:\Programme\FoxBurnerPlugin
2007-11-19 20:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-11-17 19:16 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\AccurateRip
2007-11-17 18:32 --------- d-----w C:\Programme\GoldWave
2007-11-17 10:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Corel
2007-11-13 20:09 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Corel
2007-11-13 20:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Corel
2007-11-13 20:05 --------- d-----w C:\Programme\Corel
2007-10-31 09:22 176,128 ----a-w C:\WINDOWS\system32\EMRegSys.dll
2007-10-25 13:05 884,736 ----a-w C:\WINDOWS\system32\HDX4MediaConverter.dll
2007-10-17 17:23 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-08 00:07 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 21:04 7557120]
"NVRotateSysTray"="C:\WINDOWS\system32\nvsysrot.dll" [2006-05-01 21:04 49152]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 14:59 16206848 C:\WINDOWS\RTHDCPL.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 15:16 266240 C:\WINDOWS\system32\TPSMain.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2006-05-01 21:04 1519616 C:\WINDOWS\system32\nwiz.exe]
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [2007-04-26 16:54 774168]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2007-04-26 17:22 1132056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-08 00:07 15360]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2006-12-24 22:56:47]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 12:11 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ]
C:\WINDOWS\system32\DPWLEvHd.dll 2006-10-09 16:27 99856 C:\WINDOWS\system32\DPWLEvHd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-06-01 15:51 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-08 13:27 222208 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-01-29 15:36 25370152 C:\Programme\Skype\Phone\Skype.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LDM"=C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
"Steam"="C:\Programme\Valve\Steam\Steam.exe" -silent
"TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"NDSTray.exe"=NDSTray.exe
"DLA"=C:\WINDOWS\System32\DLA\DLACTRLW.EXE
"THotkey"=C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"Ulead Photo Express 5 SE Calendar Checker"=C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"AGRSMMSG"=AGRSMMSG.exe
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe
"TFncKy"=TFncKy.exe
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"Alcmtr"=ALCMTR.EXE
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"nwiz"=nwiz.exe /installquiet /keeploaded /nodetect
"Corel Photo Downloader"="C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe [2004-08-10 13:00]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 09:45]
S3 dpK0Bx01;Fingerprint Reader Upper-Treiber;C:\WINDOWS\system32\DRIVERS\dpK0Bx01.sys [2006-09-16 17:25]
S3 dsreader;MaxDrive Driver (dsreader.sys);C:\WINDOWS\system32\Drivers\dsreader.sys [2001-01-02 22:53]
S3 LUsbKbd;Logitech SetPoint USB Filter Driver;C:\WINDOWS\system32\drivers\LUsbKbd.sys [2005-07-22 23:41]
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 09:31]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 13:47]
S3 usbdpfp;Fingerprint Reader Class-Treiber;C:\WINDOWS\system32\DRIVERS\usbdpfp.sys [2006-09-16 17:23]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:16:12 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-22 18:24:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 14:41:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 14:41:30
.
2008-01-08 00:44:50 --- E O F ---




Der RenV-Log:

Code

Ran on 08.01.2008 - 13:48:46,84

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0
So langsam wird's nervig. Zwar piept der Antivir-Alarm nicht mehr, aber die Anzeige auf meiner Tastatur geht nicht mehr richtig, im Inet-Explorer zeigt er oben in der Adressleiste bei google irgendwelche anderen Zeichen links an und ich habe ein Inet-Explorer-Symbol auf dem Desktop, was sich nach dem man es wegmacht, immer wieder kommt.

Laut Antivir-Prüfung befindet sich der Trojaner jetzt in
C:\Sytem Volume Information\...\A0036905.dll
Einmal kurz wurde auch Trash.Gen oder so ähnlich angezeigt.
Seitenanfang Seitenende
08.01.2008, 15:08
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 «
lade sdfix - klicke im Normalmodus - lade Sophos
http://www.virus-protect.org/artikel/tools/sdfix.html
reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

scanne mit Option 6 + poste den Scanreport
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 15:34
RazR
...neu hier

Themenstarter

Beiträge: 5
#8 Fürchte, daraus wird nichts, bei mir bleibt der Download bei 28,8 kb stecken.
Mfg
Sven
Seitenanfang Seitenende
08.01.2008, 17:20
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 dann versuche es mit norman oder a-squared

reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

oder mit dr.web
http://virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 20:39
RazR
...neu hier

Themenstarter

Beiträge: 5
#10 Ich habe gerade noch 2 Antivir-Prüfungen gemacht, der Trojaner scheint jetzt weg zu sein, sonst ist auch alles normal!
Danke, trotzdem!
Mfg
Sven
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1