Trojanische Pferd TR/Vundo.Gen

#0
10.02.2008, 21:26
...neu hier

Beiträge: 5
#1 Hallo zusammen,
mein ´Schwiegervater hat sich einen Trojaner eingefangen.
Anfangs lief der Lapi nach dem Booten nur gaanz langsam und irgendwann ging ein Fenster auf "MALWARE hat nen Trojaner gefunden". Nach kurzem googeln habe ich kurzerhand Malware deinstalliert und dachte der Drops währe gelutscht.

Adaware warnt aber noch immer vor dem Trojaner:
C:\WINDOWS\system32\khfddcc.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\khfddcc.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen[/i]
Der Scan mit Combofix funktioniert scheinbar nicht. Das Programm arbeitet fleißig, der Lapi startet neu aber es wird kein Report angezeigt...

Hijackthis-Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04, on 2008-02-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\MUSICM~1\MUSICM~2\mm_tray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Dokumente und Einstellungen\jürgen\Desktop\Neuer Ordner\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {47F7E4D7-6D4D-4416-A3F7-608688A7C666} - C:\WINDOWS\system32\vturq.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~2\mm_tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [c4d00597] rundll32.exe "C:\WINDOWS\system32\rxajpdxg.dll",b
O4 - HKLM\..\Run: [BMc7e3360b] Rundll32.exe "C:\WINDOWS\system32\jledshkn.dll",s

O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143214114890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143214095906
O18 - Protocol: bw+0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: offline-8876480 - {DFBD5B14-1A07-4D51-8A89-59EB6641F9D1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 18452 bytes


Logfiles mittels datfind.bat:

.
[i] Datenträger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\WINDOWS\system32

2008-02-10 20:58 1,158 wpa.dbl
2008-02-10 20:14 320,608 sstqr.VIR
2008-01-02 19:21 17,642,616 MRT.exe
2007-12-15 07:11 387,184 TZLog.log
2007-11-14 08:26 450,560 jscript.dll
2007-11-13 12:31 60,416 tzchange.exe
2007-11-08 13:07 401,398 perfh009.dat
2007-11-08 13:07 62,678 perfc009.dat
2007-11-08 13:07 416,044 perfh007.dat
2007-11-08 13:07 75,392 perfc007.dat
2007-11-08 13:07 966,074 PerfStringBackup.INI
2007-11-07 10:27 729,600 lsasrv.dll
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp

2008-02-10 21:19 103,645 datfind.txt
2008-02-10 21:03 230,507 jusched.log
2008-02-10 20:56 0 Perflib_Perfdata__754
2008-02-10 20:32 32,768 ~DFE67E.tmp
2008-02-10 20:20 16,384 ~DF56AE.tmp
2008-02-10 20:10 32,768 ~DF7D13.tmp
2008-02-06 20:11 32,768 ~DFD5D8.tmp
2008-02-06 19:37 32,768 ~DF938A.tmp
2008-02-06 19:30 32,768 ~DF682D.tmp
2008-02-06 19:08 32,768 ~DFAC1D.tmp
2008-02-05 13:45 32,768 ~DF6945.tmp
2008-02-05 04:53 0 jupdate1.5.0.xml
2008-02-05 04:48 32,768 ~DFA3B6.tmp
2008-02-04 18:13 32,768 ~DFCD71.tmp
2008-02-04 06:48 32,768 ~DFAA75.tmp
2008-02-03 20:16 32,768 ~DF3A07.tmp
2008-02-02 18:16 14,770,877 mer52.tmp
2008-02-02 18:15 249,898 kyf51.tmp
2008-02-02 18:05 32,768 ~DFD563.tmp
2008-02-02 12:22 2,167,342 merB0.tmp
2008-02-02 12:22 251,959 kyfAF.tmp
2008-02-02 12:14 32,768 ~DF8C32.tmp
2008-01-31 20:11 18,309,539 mer14F.tmp
2008-01-31 20:11 246,857 kyf14E.tmp
2008-01-31 19:58 32,768 ~DF8B6C.tmp
2008-01-27 17:59 32,768 ~DFFD6E.tmp
2008-01-27 17:53 32,768 ~DF5B52.tmp
2008-01-27 08:21 32,768 ~DF58F1.tmp
2008-01-27 07:56 32,768 ~DF5E34.tmp
2008-01-27 07:45 32,768 ~DF4A7B.tmp
2008-01-27 06:32 32,768 ~DF705A.tmp
2008-01-27 04:53 32,768 ~DF70C8.tmp
2008-01-26 17:25 1,948 wmplog00.sqm
2008-01-26 17:19 32,768 ~DF4D57.tmp
2008-01-26 16:42 32,768 ~DF5662.tmp
2008-01-25 17:26 32,768 ~DF8298.tmp
2008-01-25 07:34 24,494,785 mer6.tmp
2008-01-25 07:32 336,849 kyf5.tmp
2008-01-25 07:30 32,768 ~DF4EAD.tmp
2008-01-22 06:28 32,768 ~DF752B.tmp
2008-01-20 08:54 32,768 ~DF6DEE.tmp
2008-01-20 08:35 147,248 X2YJMZOW.emf
2008-01-20 08:35 238,448 TH8L8BQ3.emf
2008-01-20 08:35 506,600 NZ9G94G5.emf
2008-01-20 08:31 32,768 ~DF6AB5.tmp
2008-01-19 12:55 32,768 ~DF5A07.tmp
2008-01-18 18:14 32,768 ~DF5724.tmp
2008-01-17 07:23 32,768 ~DF611E.tmp
2008-01-17 06:38 32,768 ~DF62C9.tmp
2008-01-17 05:47 32,768 ~DF55CF.tmp
2008-01-16 07:31 32,768 ~DF6555.tmp
2008-01-16 06:39 32,768 ~DF4D48.tmp
2008-01-15 18:53 32,768 ~DF6174.tmp
2008-01-15 18:38 32,768 ~DFF523.tmp
2008-01-15 16:02 6,604 TWAIN.LOG
2008-01-15 16:01 4 Twain001.Mtx
2008-01-15 16:01 156 Twunk001.MTX
2008-01-15 15:57 32,768 ~DF810F.tmp
2008-01-15 06:07 32,768 ~DF6990.tmp
2008-01-13 06:41 32,768 ~DF5029.tmp
2008-01-13 06:04 16,384 ~WRF0000.tmp
2008-01-13 05:17 32,768 ~DF5864.tmp
2008-01-09 12:22 43 removalfile.bat
2008-01-09 09:32 32,768 ~DFC68A.tmp
2008-01-08 17:39 32,768 ~DFA53B.tmp
2008-01-06 10:10 32,768 ~DF82EF.tmp
2008-01-06 08:09 32,768 ~DF90B0.tmp
2007-12-30 10:59 32,768 ~DFA9C8.tmp
2007-12-30 10:42 32,768 ~DFBC80.tmp
2007-12-28 17:13 32,768 ~DF9FD9.tmp
2007-12-28 12:34 32,768 ~DF9473.tmp
2007-12-27 13:48 32,768 ~DF8E21.tmp
2007-12-27 10:10 32,768 ~DFA19A.tmp
2007-12-26 08:32 32,768 ~DF8D4B.tmp
2007-12-25 20:11 32,768 ~DF955F.tmp
2007-12-25 15:41 32,768 ~DF9BBA.tmp
2007-12-22 21:31 32,768 ~DF9C9D.tmp
2007-12-22 20:23 32,768 ~DF996D.tmp
2007-12-21 16:29 32,768 ~DF9092.tmp
2007-12-21 16:10 32,768 ~DFAB0B.tmp
2007-12-21 15:40 32,768 ~DF8ADC.tmp
2007-12-18 18:51 32,768 ~DFA172.tmp
2007-12-16 17:49 32,768 ~DFA3E4.tmp
2007-12-16 16:20 32,768 ~DF986C.tmp
2007-12-15 07:05 32,768 ~DF895D.tmp
2007-12-14 18:19 32,768 ~DF871A.tmp
2007-12-14 14:39 32,768 ~DF9BC2.tmp
2007-12-10 17:46 32,768 ~DF94E0.tmp
2007-12-10 16:45 32,768 ~DF9781.tmp
2007-12-10 16:19 32,768 ~DF846D.tmp
2007-12-09 15:01 32,768 ~DF8345.tmp
2007-12-07 22:58 32,768 ~DF7F60.tmp
2007-12-07 20:37 32,768 ~DF9A51.tmp
2007-12-05 18:29 32,768 ~DFBCA9.tmp
2007-12-05 14:05 0 mer5C.tmp
2007-12-05 14:05 254,303 kyf5B.tmp
2007-12-05 14:04 32,768 ~DF451E.tmp
2007-11-27 19:50 8,322 nsy5.tmp
2007-09-10 11:11 7,530 java_install_reg.log
2007-09-10 11:11 23,560 java_install.log
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\WINDOWS

2008-02-10 20:58 1,808,384 WindowsUpdate.log
2008-02-10 20:57 0 0.log
2008-02-10 20:57 159 wiadebug.log
2008-02-10 20:57 50 wiaservc.log
2008-02-10 20:57 2,048 bootstat.dat
2008-02-10 20:56 32,626 SchedLgU.Txt
2008-02-10 20:56 53,248 PSEXESVC.EXE
2008-02-10 20:29 425,260 ntbtlog.txt
2008-02-06 19:27 22 pskt.ini
2008-02-06 19:09 16,585 BMc7e3360b.xml
2008-01-26 17:25 116 NeroDigital.ini
2008-01-15 16:02 718 win.ini
2008-01-13 05:22 248,149 comsetup.log
2008-01-13 05:22 148,693 ntdtcsetup.log
2008-01-13 05:22 807,433 iis6.log
2008-01-13 05:22 331,498 tsoc.log
2008-01-13 05:22 39,531 ocmsn.log
2008-01-13 05:22 1,374 imsins.log
2008-01-13 05:22 36,437 tabletoc.log
2008-01-13 05:22 13,850 KB941644.log
2008-01-13 05:22 49,523 MedCtrOC.log
2008-01-13 05:22 125,169 netfxocm.log
2008-01-13 05:22 344,240 ocgen.log
2008-01-13 05:22 35,788 msgsocm.log
2008-01-13 05:22 710,237 FaxSetup.log
2008-01-13 05:22 224,168 msmqinst.log
2008-01-13 05:21 1,374 imsins.BAK
2008-01-13 05:21 14,063 KB943485.log
2008-01-06 08:13 2,685 ie7_main.log
2007-12-27 10:39 609,360 setupapi.log
2007-12-21 16:36 7,446 KB946627.log
2007-12-15 07:14 21,200 KB937894.log
2007-12-15 07:14 21,103 KB942840.log
2007-12-15 07:14 61,402 updspapi.log
2007-12-15 07:11 31,469 KB942763.log
2007-12-15 07:10 15,314 KB941569.log
2007-12-15 07:09 18,562 KB941568.log
2007-12-15 07:09 38,360 KB942615.log
2007-12-15 07:09 13,875 KB944653.log
2007-11-16 12:28 10,163 KB943460.log
2007-10-16 06:30 14,028 KB933729.log
Datenträger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\WINDOWS\temp

2008-02-10 20:58 409 WGANotify.settings
2008-02-10 20:57 255 WGAErrLog.txt
2008-02-10 20:49 0 Perflib_Perfdata__754
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 27,733,889,024 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2005-12-02 10:55 5,101 swflash.inf
2005-05-26 04:19 293 muweb.inf
2005-05-26 04:19 291 wuweb.inf
2005-02-02 10:50 65 desktop.ini
4 Datei(en) 5,750 Bytes
0 Verzeichnis(se), 27,733,889,024 Bytes frei
.
.
.

Ich hoffe ihr könnt mir bzw meinem Schwie´gervater helfen!

Gruß
Michel
Seitenanfang Seitenende
10.02.2008, 22:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo.

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {47F7E4D7-6D4D-4416-A3F7-608688A7C666} - C:\WINDOWS\system32\vturq.dll (file missing)

O4 - HKLM\..\Run: [c4d00597] rundll32.exe "C:\WINDOWS\system32\rxajpdxg.dll",b

O4 - HKLM\..\Run: [BMc7e3360b] Rundll32.exe "C:\WINDOWS\system32\jledshkn.dll",s

O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
«
CCleaner anwenden - alle tempor.Dateien löschen !
http://www.ccleaner.de/?protecus.de

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
Lade und wende bitte Combofix noch mal an + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
11.02.2008, 15:09
...neu hier

Themenstarter

Beiträge: 5
#3 Super, jetzt funktioniert CCleaner, hier das Log:

ComboFix 08-02-11.2 - jürgen 2008-02-11 15:03:34.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.186 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\jürgen\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-11 bis 2008-02-11 ))))))))))))))))))))))))))))))
.

2008-02-11 14:57 . 2008-02-11 14:57 <DIR> d-------- C:\Programme\CCleaner
2008-02-10 20:49 . 2008-02-10 20:56 60,416 --a------ C:\WINDOWS\system32\drivers\ComboFix.sys
2008-02-10 20:28 . 2004-08-04 13:00 401,408 --a------ C:\kmd.exe
2008-02-10 20:14 . 2008-02-10 20:14 320,608 --a------ C:\WINDOWS\system32\sstqr.VIR
2008-02-06 20:05 . 2008-02-06 20:05 <DIR> d-------- C:\Programme\RegSrch
2008-02-06 19:52 . 2008-02-06 19:58 <DIR> d-------- C:\Programme\regseeker
2008-02-05 13:55 . 2008-02-06 19:36 <DIR> d-------- C:\Programme\Enigma Software Group
2008-02-03 20:43 . 2008-02-03 20:43 <DIR> d-------- C:\Program Files
2008-01-31 19:59 . 2008-02-06 19:09 16,585 --a------ C:\WINDOWS\BMc7e3360b.xml
2008-01-31 19:59 . 2008-02-06 19:27 22 --a------ C:\WINDOWS\pskt.ini
2008-01-27 18:29 . 2008-01-27 18:29 <DIR> d-------- C:\Programme\Avira
2008-01-27 18:29 . 2008-01-27 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-20 08:39 . 2008-01-20 08:39 262,160 --a------ C:\Dokumente und Einstellungen\jürgen\Anwendungsdaten\setup_de[1].exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 17:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-14 07:26 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-05-17 12:53 13 --sh--r C:\WINDOWS\system32\IEcacher.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00 1937408]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-31 09:23 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 10:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-04-07 11:33 544768 C:\WINDOWS\sm56hlpr.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 04:15 163840 C:\WINDOWS\system32\VTTrayp.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 02:10 49263]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 C:\WINDOWS\KHALMNPR.Exe]
"MMTray"="C:\PROGRA~1\MUSICM~1\MUSICM~2\mm_tray.exe" [2006-01-17 13:26 135168]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-01-27 18:17 1381376]
"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [ ]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 13:26 53248]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 19:18 249896]
"BMc7e3360b"="C:\WINDOWS\system32\jledshkn.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58 28672]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-03-14 20:43:02 450560]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2006-03-14 20:41:55 450560]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

S3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 16:22]
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 02:39]

.
Inhalt des "geplante Tasks" Ordners
"2006-07-27 08:53:14 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1143363119.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-11 15:04:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-11 15:05:14
ComboFix-quarantined-files.txt 2008-02-11 14:05:04
.
2008-01-13 04:23:44 --- E O F ---

Vielen Dank schonmal für die Hilfe!
Seitenanfang Seitenende
11.02.2008, 15:41
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 MichelD

1.
lade die exe hoch, lasse sie prüfen - poste dann den report hier
http://www.virustotal.com/de/

C:\Dokumente und Einstellungen\jürgen\Anwendungsdaten\setup_de[1].exe

------------------------------------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMc7e3360b"=-

File::
C:\Dokumente und Einstellungen\jürgen\Anwendungsdaten\setup_de[1].exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\jledshkn.dll
C:\WINDOWS\BMc7e3360b.xml
C:\WINDOWS\system32\sstqr.VIR
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1



3.
PC neustarten

4.
scanne mit bitdefender + poste den scanreport
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
11.02.2008, 16:07
...neu hier

Themenstarter

Beiträge: 5
#5 1. Report:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 -
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.11 Potentially harmful program WinFixer.AMX
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 Downloader.WinFixer.br (Not a Virus)
ClamAV 0.92 2008.02.11 Adware.Downloader-53
DrWeb 4.44.0.09170 2008.02.11 -
eSafe 7.0.15.0 2008.02.11 -
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.11 -
FileAdvisor 1 2008.02.11 High threat detected
Fortinet 3.14.0.0 2008.02.11 Download/WinFixer
F-Prot 4.4.2.54 2008.02.10 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.11 -
Ikarus T3.1.1.20 2008.02.11 not-a-virus;)ownloader.Win32.WinFixer.br
Kaspersky 7.0.0.125 2008.02.11 not-a-virus;)ownloader.Win32.WinFixer.br
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.11 Program:Win32/WinFixer
NOD32v2 2864 2008.02.11 a variant of Win32/Adware.WinFixer
Norman 5.80.02 2008.02.11 W32/WinFixer.AUV
Panda 9.0.0.4 2008.02.10 Application/Syscontrol
Prevx1 V2 2008.02.11 Heuristic: Suspicious File With Bad Parent Associations
Rising 20.29.22.00 2008.01.30 Trojan.DL.Win32.WinFixer.au
Sophos 4.26.0 2008.02.11 Sus/ComPack-C
Sunbelt 2.2.907.0 2008.02.09 VIPRE.Suspicious
Symantec 10 2008.02.11 Downloader.MisleadApp
TheHacker 6.2.9.216 2008.02.11 Aplicacion/WinFixer.br
VBA32 3.12.6.0 2008.02.10 Trojan-Downloader.Win32.WinFixer
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 Riskware.Fake.Syscontrol

Hier der bitdefender Report :

Scan path: C:\;D:\;







Statistics

Time
00:07:26

Files
60303

Folders
3505

Boot Sectors
2

Archives
5754

Packed Files
26




Results

Identified Viruses
0

Infected Files
0

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
0




Engines Info

Virus Definitions
0

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
0

Archive plugins
8

Unpack plugins
2

E-mail plugins
0

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

No virus found.
Dieser Beitrag wurde am 11.02.2008 um 16:41 Uhr von MichelD editiert.
Seitenanfang Seitenende
11.02.2008, 18:21
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 O.K.

wende bitte noch mal das script vom Combifix an, ich hab die

C:\Dokumente und Einstellungen\jürgen\Anwendungsdaten\setup_de[1].exe

noch mit reingebaut ;)- ... oder lösche sie manuell.

»»
dann scanne im abgesicherten modus mit Antivirus + poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
11.02.2008, 21:12
...neu hier

Themenstarter

Beiträge: 5
#7 Hier der Antivirreport:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: 2008-02-11 20:51

Es wird nach 1099264 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: jürgen
Computername: FSC531208061701

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 2007-08-14 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 2007-08-14 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 18:18:02
ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 2008-02-08 19:13:54
ANTIVIR3.VDF : 7.0.2.120 38912 Bytes 2008-02-11 19:44:50
AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 2008-02-06 18:18:02
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-02-06 18:18:02
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 2007-08-21 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: 2008-02-11 20:51

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '14' Prozesse mit '14' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\catchme2008-02-11_150442.68.zip
[0] Archivtyp: ZIP
--> khfddcc.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\QooBox\Quarantine\C\WINDOWS\system32\sstqr.VIR.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4824a9ca.qua' verschoben!


Ende des Suchlaufs: 2008-02-11 21:10
Benötigte Zeit: 19:27 min

Der Suchlauf wurde vollständig durchgeführt.

3497 Verzeichnisse wurden überprüft
180637 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
180635 Dateien ohne Befall
6865 Archive wurden durchsucht
1 Warnungen
0 Hinweise
Seitenanfang Seitenende
11.02.2008, 23:21
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 ««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
setup_de[1].exe ist gelöscht ???

»»»
dann sollte alles wieder o.k. sein ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
12.02.2008, 18:23
...neu hier

Themenstarter

Beiträge: 5
#9 SUUUUUUUPER Sache!
Vielen Dank Pinguin du hast mir und meinem Schwiegervater sehr geholfen!!!

Gruß
Michel
Seitenanfang Seitenende
12.02.2008, 18:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 @Michel
Java
Dein Java software ist veraltet,
Download jre-6u4-windows-i586-p-iftw.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u4-windows-i586-p-iftw.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u4-windows-i586-p-iftw.exe

Und:Start -> Sytemsteuerung-> Software > entferne Logitech Desktop Messenger
macht der Rechner etwas schneller!
__________
MfG Argus
Seitenanfang Seitenende
17.02.2008, 19:40
...neu hier

Beiträge: 6
#11 Hallo ihr Experten!

Habe mir heute anscheinend auch den TR/vundo.GEN eingefangen. War wohl in einem rar.Verzeichnis. Nach dem Entpacken kamen von Antivir diverse Alarme, bei denen ich versuchte, jedesmal die Datei zu löschen, leider hängte sich dabei der PC auf (es kamen ja auch ca. 20 Meldungen).
Nach dem Neustart habe ich Antivir aktualisiert und einen kompletten scan gemacht. das log poste ich unten.

Konnte von den 3 Meldungen 2 löschen, die 3. tauchte irgendwie nicht auf. Der PC hat 3mal gepiept, habe aber nur 2 Aktionsfenster gesehen. Eine davon war ein gepacktes Verzeichnis, das ich komplett gelöscht habe.

Wollte nun fragen, ob ich den jetzt schon komplett runter habe und was dieses Pferdchen anrichten könnte, bzw. ob es Sachen gibt, die ich erstmal im Internet nicht machen sollte, bis das Problem gelöst ist?

Hoffe auch eure Kompetente Hilfe und wünsche einen schönen Sonntagabend.

Ciao MrTofi



PS: Hier meine Antivir-Log von heute:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 17. Februar 2008 17:25

Es wird nach 1110678 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: Tobias
Computername: TOBIAS

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 14:18:57
ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08.02.2008 16:16:03
ANTIVIR3.VDF : 7.0.2.148 201216 Bytes 15.02.2008 16:16:03
AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 17.02.2008 16:16:03
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 15:33:28
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 17. Februar 2008 17:25

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '59754' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'WMIADAP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '53' Prozesse mit '53' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0083
[HINWEIS] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
[HINWEIS] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
[HINWEIS] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
[HINWEIS] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
[HINWEIS] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD5
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
[HINWEIS] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '16' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\SurfPlay\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KUPXGZYP\css4[1]
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\Users\SurfPlay\AppData\Local\Mozilla\Firefox\Profiles\c7gg449a.default\Cache\A835B970d01
[0] Archivtyp: RAR SFX (self extracting)
--> crack.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.DDT.1
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Sonntag, 17. Februar 2008 18:33
Benötigte Zeit: 1:07:30 min

Der Suchlauf wurde vollständig durchgeführt.

21592 Verzeichnisse wurden überprüft
794812 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
794809 Dateien ohne Befall
10059 Archive wurden durchsucht
3 Warnungen
0 Hinweise
59754 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
17.02.2008, 22:09
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 Hallo MrTofi

wende CCleaner an
http://www.ccleaner.de/?protecus.de

wende Combofix an + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
18.02.2008, 16:41
...neu hier

Beiträge: 6
#13 Hallo!

Habe CCleaner und Combofix angewandt. Allerdings im Admin-Modus (Vista Home Premium). Den Trojaner hab ich mir auf nem Benutzer-Acc geholt. Beim Starten des Benutzer-Acc kamen auch Fehlermeldungen, dass .dll-Module nicht geladen werden konnten. Die Namen der beiden Module entsprachen denen, die Antivir mir primär als Trojaner gemeldet hatte und die ich zu löschen versuchte. Beim Admin-Acc kamen die nicht. Hoffe das funktioniert trotzdem, auch wenn ich glaube, dass CCleaner nur den Cache von dem Admin-Acc gelöscht hat und nicht vom Benutzer-Acc.

Nach dem Lauf von Combofix sprung mein Spybot SD wieder an (hatte es vorher ausgeschaltet) weil Registry-Einträge geändert werden sollten. Ist des normal oder der Virus??

Naja, hoffe hab alles richtig gemacht, hier der Combofix-Report:

ComboFix 08-02-18.1 - Tobias 2008-02-18 16:28:34.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1383 [GMT 1:00]
ausgeführt von:: C:\Users\Tobias\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-18 bis 2008-02-18 ))))))))))))))))))))))))))))))
.

2008-02-18 16:18 . 2008-02-18 16:18 <DIR> d-------- C:\Program Files\CCleaner
2008-02-17 18:46 . 2008-02-18 16:14 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-02-17 18:46 . 2008-02-18 16:14 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-02-17 18:46 . 2008-02-17 18:46 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-17 16:34 . 2008-02-17 16:58 <DIR> d-------- C:\Users\SurfPlay\AppData\Roaming\Tunebite
2008-02-17 16:31 . 2008-02-17 16:31 <DIR> d-------- C:\Users\Tobias\AppData\Roaming\RTPlayer
2008-02-17 16:24 . 2008-02-17 16:24 <DIR> d-------- C:\Program Files\PixiePack Codec Pack
2008-02-17 16:23 . 2008-02-18 16:14 <DIR> d-------- C:\Users\Tobias\AppData\Roaming\Tunebite
2008-02-17 16:23 . 2008-02-17 17:02 <DIR> d-------- C:\Users\All Users\RapidSolution
2008-02-17 16:23 . 2008-02-17 17:01 <DIR> d-------- C:\Tunebite
2008-02-17 16:23 . 2008-02-17 17:02 <DIR> d-------- C:\ProgramData\RapidSolution
2008-02-17 16:23 . 2007-12-11 09:52 26,784 --a------ C:\Windows\System32\drivers\tbhsd.sys
2008-02-17 16:00 . 2008-02-17 16:00 <DIR> d-a------ C:\Users\All Users\TEMP
2008-02-17 16:00 . 2008-02-17 16:00 <DIR> d-a------ C:\ProgramData\TEMP
2008-02-17 15:55 . 2008-02-17 15:54 33,846 --a------ C:\Windows\System32\SpoonUninstall-dBpoweramp m4a Codec.bmp
2008-02-17 15:55 . 2008-02-17 15:55 3,625 --a------ C:\Windows\System32\SpoonUninstall-dBpoweramp m4a Codec.dat
2008-02-13 20:29 . 2008-02-13 20:29 662 --a------ C:\Windows\eReg.dat
2008-02-13 20:28 . 2008-02-13 20:27 737,280 --a------ C:\Windows\iun6002.exe
2008-02-13 20:19 . 1998-06-17 17:07 57,344 --a------ C:\Windows\System32\Mfc42loc.dll
2008-02-13 16:14 . 2008-02-13 19:08 <DIR> d-------- C:\Sicherung Gaga
2008-02-10 00:25 . 2008-02-10 20:53 <DIR> d-------- C:\Users\SurfPlay\AppData\Roaming\DAEMON Tools
2008-02-10 00:00 . 2008-02-10 00:00 <DIR> d-------- C:\Program Files\Ubisoft
2008-02-09 23:52 . 2008-02-09 23:52 <DIR> d-------- C:\Users\Tobias\AppData\Roaming\DAEMON Tools
2008-02-09 23:52 . 2008-02-09 23:52 <DIR> d-------- C:\DAEMON Tools Lite
2008-02-09 16:41 . 2008-02-09 16:41 716,272 --a------ C:\Windows\System32\drivers\sptd.sys
2008-01-30 19:05 . 2008-01-30 19:05 <DIR> d-------- C:\Program Files\sixteen tons entertainment
2008-01-30 17:59 . 2008-01-30 17:59 <DIR> d-------- C:\Users\Tobias\AppData\Roaming\DivX
2008-01-30 17:59 . 2008-01-30 17:59 49 --a------ C:\Windows\NeroDigital.ini
2008-01-21 15:58 . 1999-12-17 10:13 86,016 --a------ C:\Windows\unvise32.exe
2008-01-21 00:14 . 2008-01-21 00:14 <DIR> d-------- C:\Users\Tobias\AppData\Roaming\Apple Computer
2008-01-21 00:14 . 2008-01-21 00:14 <DIR> d-------- C:\Program Files\iPod
2008-01-21 00:14 . 2008-01-21 00:15 54,156 --ah----- C:\Windows\QTFont.qfn
2008-01-21 00:14 . 2008-01-21 00:15 1,409 --a------ C:\Windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-18 15:13 350,468 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-02-17 14:49 1,071,480 ----a-w C:\Windows\System32\SpoonUninstall.exe
2008-02-13 19:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-06 21:53 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\InstallShield Installation Information
2008-02-03 12:59 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\ICQ
2008-01-22 19:03 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-01-21 18:32 1,456,128 ----a-w C:\Windows\Internet Logs\xDB6D7F.tmp
2008-01-21 14:52 --------- d-----w C:\Program Files\Codemasters
2008-01-20 23:14 --------- d-----w C:\Program Files\QuickTime
2008-01-11 10:15 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\DivX
2008-01-10 16:00 --------- d-----w C:\Users\Systemadmin\AppData\Roaming\DivX
2008-01-10 15:59 --------- d-----w C:\Program Files\DivX
2008-01-10 15:58 --------- d-----w C:\Program Files\Common Files\PX Storage Engine
2008-01-09 19:52 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\Ventrilo
2008-01-09 19:46 --------- d-----w C:\Program Files\Ventrilo
2008-01-09 19:46 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-09 17:02 --------- d-----w C:\ProgramData\InstallShield
2008-01-08 19:30 --------- d-----w C:\Program Files\GIMPshop
2008-01-02 21:27 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\Apple Computer
2008-01-02 21:27 --------- d-----w C:\ProgramData\Apple Computer
2008-01-02 21:25 --------- d-----w C:\Program Files\Common Files\Apple
2008-01-02 21:25 --------- d-----w C:\Program Files\Apple Software Update
2008-01-02 21:24 --------- d-----w C:\ProgramData\Apple
2007-12-30 16:09 --------- d-----w C:\Users\Tobias\AppData\Roaming\Hamachi
2007-12-30 15:11 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\Hamachi
2007-12-27 23:13 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\InstallShield
2007-12-27 14:21 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\Winamp
2007-12-27 11:54 25,280 ----a-w C:\Windows\system32\drivers\hamachi.sys
2007-12-26 23:50 --------- d-----w C:\ProgramData\Media Center Programs
2007-12-21 16:22 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\Nero
2007-12-21 15:56 --------- d-----w C:\Program Files\Illustrate
2007-12-21 15:55 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\dBpoweramp
2007-12-21 15:51 --------- d-----w C:\Users\SurfPlay\AppData\Roaming\AccurateRip
2007-12-18 21:58 98,304 ----a-w C:\Windows\System32\CmdLineExt.dll
2007-12-04 01:33 823,296 ----a-w C:\Windows\System32\divx_xx0c.dll
2007-12-04 01:33 823,296 ----a-w C:\Windows\System32\divx_xx07.dll
2007-12-04 01:33 802,816 ----a-w C:\Windows\System32\divx_xx11.dll
2007-12-04 01:33 682,496 ----a-w C:\Windows\System32\DivX.dll
2007-11-29 22:30 524,288 ----a-w C:\Windows\System32\DivXsm.exe
2007-11-29 22:30 3,596,288 ----a-w C:\Windows\System32\qt-dx331.dll
2007-11-29 22:30 200,704 ----a-w C:\Windows\System32\ssldivx.dll
2007-11-29 22:30 129,784 ------w C:\Windows\System32\pxafs.dll
2007-11-29 22:30 1,044,480 ----a-w C:\Windows\System32\libdivx.dll
2007-11-29 22:28 81,920 ----a-w C:\Windows\System32\dpl100.dll
2007-11-29 22:28 196,608 ----a-w C:\Windows\System32\dtu100.dll
2007-11-28 21:55 156,992 ----a-w C:\Windows\System32\DivXCodecVersionChecker.exe
2007-11-28 21:53 593,920 ----a-w C:\Windows\System32\dpuGUI11.dll
2007-11-28 21:53 57,344 ----a-w C:\Windows\System32\dpv11.dll
2007-11-28 21:53 53,248 ----a-w C:\Windows\System32\dpuGUI10.dll
2007-11-28 21:53 344,064 ----a-w C:\Windows\System32\dpus11.dll
2007-11-28 21:53 294,912 ----a-w C:\Windows\System32\dpu11.dll
2007-11-28 21:53 294,912 ----a-w C:\Windows\System32\dpu10.dll
2007-11-28 21:52 12,288 ----a-w C:\Windows\System32\DivXWMPExtType.dll
2007-10-22 19:31 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2006-11-02 13:35 1196032]
"fsc-reg"="C:\ProgramData\fsc-reg\fscreg.exe" [2007-06-13 09:34 280592]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]
"DAEMON Tools Lite"="C:\DAEMON Tools Lite\daemon.exe" [2008-01-17 17:51 486856]
"Tunebite"="D:\Tunebite\Tunebite.exe" [2008-02-01 13:10 4998448]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-10-22 18:19 1006264]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-07-06 12:15 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-07-06 12:15 8466432]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-07-06 12:15 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 17:39 4702208 C:\Windows\RtHDVCpl.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"ZoneAlarm Client"="C:\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-28 05:17 959976]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-21 23:49 249896]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 06:28 36352]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="D:\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]
"NoteBurner"="C:\Program Files\NoteBurner\VTBurnerGUI.exe" [ ]

R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 09:52]
R3 RTL8169;Realtek 8169 NT Driver;C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-08-03 09:44]
S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 16:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b982ce-9b4e-11dc-a0f2-00192148fb58}]
\shell\AutoRun\command - M:\AUTORUN.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 16:31:42
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-18 16:32:13



Danke schonmal für Eure Hilfe
Seitenanfang Seitenende
18.02.2008, 17:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 Mr Tofi

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

PixiePack Codec Pack

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
18.02.2008, 17:51
...neu hier

Beiträge: 6
#15 Hier das Log vom RegSearch (wieder im Admin-Acc):

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 18.02.2008 17:40:19 for strings:
; 'pixiepack codec pack'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{007FC171-01AA-4B3A-B2DB-062DEE815A1E}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04FE9017-F873-410E-871E-AB91661A4EF7}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0512B874-44F6-48F1-AFB5-6DE808DDE230}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05F983EC-637F-4133-B489-5E03914929D7}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B390488-D80F-4A68-8408-48DC199F0E97}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0F40E1E5-4F79-4988-B1A9-CC98794E6B55}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1F71651E-65D2-40BF-AC44-275D11927D99}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\MP4Splitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E3ECA90-4D6A-4344-98C3-1BB95BF24038}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47E792CF-0BBE-4F7A-859C-194B0768650A}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\FLVSplitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49590BC9-6DD5-4E44-AD4C-E8FCB7131EC4}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4DB2B5D9-4556-4340-B189-AD20110D953F}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5711D95F-0984-4A22-8FF8-90A954958D0C}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\MP4Splitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{650DE05E-5CD3-44F8-BA20-A5BB91FC61E6}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7CA71B1E-A67D-4D54-A200-FA47605483A7}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7CEEEECF-3FEE-4548-B529-C254CAF4D182}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\FLVSplitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87271B4E-1726-4CED-AF0D-BE675621FD29}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E9922F0-B775-45B8-B650-941BEA790EEB}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A98ADCC-C6A4-449E-A8B1-0363673D9F8A}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0606860-51BE-4CF6-99C0-7CE5F78AC2D8}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B86F6BEE-E7C0-4D03-8D52-5B4430CF6C88}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C9ECE7B3-1D8E-41F5-9F24-B255DF16C087}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\FLVSplitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3D9D58B-45B5-48AB-B199-B8C40560AEC7}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\MP4Splitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D6A9B8CC-192D-4F00-8BF8-AD8774011B07}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\MP4Splitter.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6E8FC04-8B05-48B1-9399-848229502A06}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFFCC670-5CD4-4C09-952C-F53F46C2B1A7}\InprocServer32]
@="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\42DCF126894442348AE1703D1373E6FD]
"ProductName"="PixiePack Codec Pack"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{621FCD24-4498-4324-A81E-07D331376EDF}]
@="PixiePack Codec Pack 0.10.4"
"StubPath"="C:\\Program Files\\PixiePack Codec Pack\\InstallerHelper.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Program Files\\PixiePack Codec Pack\\"="1"
"C:\\Program Files\\PixiePack Codec Pack\\custom matrices\\"=""
"C:\\Program Files\\PixiePack Codec Pack\\help\\"=""
"C:\\Program Files\\PixiePack Codec Pack\\help\\styles\\"=""
"C:\\Program Files\\PixiePack Codec Pack\\languages\\"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\246E2286302C4D845BC289A5B9EE363B]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\msvcp71.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\26A1229CAD6BEF54FB113C71A7470EF8]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\xvidcore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\26B3C708F2925604F93313A05CE4E3DC]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_libdts.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B037FCB2893C6A4286B8B31100B57CE]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_x264.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4BEBD9AC763A20942ADF488E0E448B5C]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_wmv9.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\52E04D37E64D87A41A95D4F922C8DA57]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_libmad.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\600224E8F1838D845A61486FF5CABC35]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\custom matrices\\andreas_78er.matrix.xcm"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\828B16799DB64694FBC374423E9D2B52]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\libmplayer.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8677BF00C7B9EF841BA8957D4BFA550E]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_theora.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\88B0D77F672DFBD41B556873B9E9A51D]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\InstallerHelper.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8D15945BFD0B98447B1C34756C7C1561]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\languages\\ffdshow.1026.bg"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8D7654972E9E22B4FA49FCFDB8916D21]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_realaac.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\948F0C9652A6E294DB3F86A8A67F65DE]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\libavcodec.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\953392BB6F1B3184EA8C92C36ED039E6]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_libfaad2.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9AA8AA1CC27EC7D4280901C34BAD4101]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\audxlib.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A22FCBAD3D6016C4E90C2C8AD77C4D57]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\help\\styles\\geo-light.css"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AA362DD6F74B912469B740672A33D790]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ffdshow.ax"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B4B01B65BA09EEA41913DC24B8B02AD0]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\libmpeg2_ff.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B9BAF352BEBC0E04B8D3577ED43E776B]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\help\\About+audio+decompressor.html"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BEF385A9A0433DB42A4771C84342DDA9]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_tremor.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\C74B98B7121755243BB3210AF09CD084]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_samplerate.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CB4FA40029E5C824FB21ABCDDAD1C860]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_kernelDeint.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D646536F038CFE7469A43A6953BC81AA]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\msvcr71.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD7FDCB1BB5CBD744892498264F9E986]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\TomsMoComp_ff.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E379930655EA57447A9A082D762C324C]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_liba52.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F264981C3EF64214288F36FB44E70C96]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\ff_unrar.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F32A61FDF0084924A9DD991B71AC3388]
"42DCF126894442348AE1703D1373E6FD"="C:\\Program Files\\PixiePack Codec Pack\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\42DCF126894442348AE1703D1373E6FD\InstallProperties]
"Comments"="PixiePack Codec Pack"
"InstallLocation"="C:\\Program Files\\PixiePack Codec Pack\\"
"DisplayName"="PixiePack Codec Pack"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{621FCD24-4498-4324-A81E-07D331376EDF}]
"Comments"="PixiePack Codec Pack"
"InstallLocation"="C:\\Program Files\\PixiePack Codec Pack\\"
"DisplayName"="PixiePack Codec Pack"

; End Of The Log...


danke

Upgrade: habe heute abend nochmal Antivir über c: gejagt. hat nichts mehr gefunden. nur zur info. schönen abend, Tofi
Dieser Beitrag wurde am 18.02.2008 um 23:26 Uhr von MrTofi editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: