Welcher Prozess erstellt diese Datei?

#1 Hallo zusammen,
Seit jetzt schon 2 Tagen findet mein Anti-Virus Programm Avast (nach dem Entfernen eines Virus) immer wieder einen 16kb große Exe mit einem langen, sich variirenden Zahlennamen. Diese Datei wird im Tem-Verzeichnis des angemeldeten Benutzers erstellt. Und das in inregelmäßigen Abständen von ca jeweils 45min. Nun wollt ich wissen, welcher Prozess diesen Virus erstellt, da mein PC laut Boottime-Prüfung von Avast virenfrei scheint. Dazu habe ich den Filemonitor der Microsoft SysinternalSuit verwendet, konnte jedoch hiermit den Prozess nicht ausmachen. Gibt es eine andere Möglichkeit, durch Verzeichnissüberwachung den Urheber dieser Datei ausfindig zu machen?

Mit freundlichem Gruß,

Vinschni

#2 Hallo,

«
wende bitte Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html

«
wende datfindbat nach Anleitung an + poste die logs (3 Monate von jedem Log reichen aus) ...sind nach Datum geordnet..
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ich habe beide Tools angewand.

Zitat

ComboFix 08-03-25.1 - Peter 2008-03-25 20:24:49.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1451 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
-- Script messages for sUBs --
VFind.exe -ltf -s-1300000 -d+2007-12-25 C:\WINDOWS\*
VFind.exe -ltf -s-1000000 -d+2007-12-25 "C:\Programme\*"

((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 14:54 . 2008-03-25 14:54 <DIR> d--h----- C:\WINDOWS\PIF
2008-03-25 14:45 . 2008-03-25 14:45 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-25 14:41 . 2008-03-25 14:43 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-25 11:59 . 2004-11-09 17:20 87,552 --a------ C:\WINDOWS\system32\trltmpct.dll
2008-03-24 21:32 . 2008-03-24 21:32 <DIR> d-------- C:\Programme\Microsoft Network Monitor 3
2008-03-24 21:24 . 2008-03-24 21:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Colasoft Shared
2008-03-24 21:24 . 2008-03-24 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Colasoft Packet Builder
2008-03-24 17:09 . 2008-03-24 17:09 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-03-24 14:11 . 2008-03-24 14:11 58,368 --a------ C:\axmfr.exe
2008-03-24 14:11 . 2008-03-25 14:45 26,496 --a------ C:\WINDOWS\system32\drivers\Brq66.sys
2008-03-24 14:11 . 2008-03-25 20:41 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-03-24 14:11 . 2008-03-24 14:11 10,000 --a------ C:\WINDOWS\system32\jfiehayd.dll
2008-03-24 14:11 . 2008-03-24 14:11 6,144 --a------ C:\fvsyct.exe
2008-03-24 14:04 . 2008-03-24 14:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-03-24 13:07 . 2008-03-24 13:07 <DIR> d-------- C:\Programme\Beep Komponist
2008-03-22 09:16 . 2008-03-22 09:16 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\uTorrent
2008-03-21 15:14 . 2008-03-21 15:14 17,408 --a------ C:\psapi.dll
2008-03-20 17:05 . 2008-03-20 17:05 <DIR> d-------- C:\Programme\Paint.NET
2008-03-19 19:02 . 2008-03-19 19:03 <DIR> d-------- C:\Programme\Windows Live
2008-03-19 13:34 . 2008-03-19 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\C4F_P2PWPFControls\bin
2008-03-15 10:17 . 2008-03-15 10:17 <DIR> d-------- C:\WINDOWS\royale_noir
2008-03-12 19:01 . 2008-03-24 13:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-12 19:01 . 2008-03-12 19:01 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-11 17:22 . 2008-03-11 17:22 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2008-03-11 16:03 . 2008-03-11 16:03 <DIR> d-------- C:\Programme\Windows Installer Clean Up
2008-03-11 16:03 . 2008-03-11 16:03 <DIR> d-------- C:\Programme\MSECACHE
2008-03-06 20:46 . 2008-03-06 20:46 <DIR> d-------- C:\WINDOWS\system32\AsBackup
2008-03-06 20:44 . 2008-03-06 20:44 44,009 --a------ C:\WINDOWS\system32\PUXPPLAT.UND
2008-03-06 20:21 . 2008-03-06 20:21 626 --a------ C:\WINDOWS\BeatBox.INI
2008-03-06 20:20 . 2008-03-06 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MAGIX
2008-03-06 20:20 . 2008-03-06 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-06 20:19 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-06 20:18 . 2008-03-06 20:50 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-03-06 20:18 . 2007-12-04 14:20 700,416 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-06 20:18 . 2008-03-06 20:20 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-06 20:17 . 2008-03-06 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-03-05 17:41 . 2008-03-05 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-03 20:59 . 2008-03-25 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\.gimp-2.4
2008-03-03 20:58 . 2008-03-03 20:58 <DIR> d-------- C:\Programme\GIMP-2.0
2008-03-01 14:06 . 2008-03-06 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\WebSpeech.4.0
2008-03-01 14:06 . 2008-03-06 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-03-01 14:06 . 2008-03-01 14:06 159,744 --a------ C:\WINDOWS\LgxSetup.exe
2008-02-25 20:21 . 2008-02-25 20:21 <DIR> d-------- C:\Programme\SmartFTP Client
2008-02-25 16:41 . 2008-02-25 16:41 <DIR> d-------- C:\Programme\RADVideo

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-25 17:10 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\OpenOffice.org2
2008-03-24 20:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-20 19:01 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ChessBase
2008-03-20 16:06 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0
2008-03-19 18:03 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-19 18:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-17 10:58 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-11 16:23 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-03-11 16:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-11 15:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-08 14:58 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-03-08 13:33 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-06 19:45 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Orbit
2008-02-25 19:21 --------- d-----w C:\Programme\SmartFTP Client 2.5 Setup Files
2008-02-24 19:41 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Inkscape
2008-02-24 08:17 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\CameraWindowDC
2008-02-24 08:00 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2
2008-02-22 18:58 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd5085.sys
2008-02-20 19:04 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ZoomBrowser EX
2008-02-18 13:04 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-02-16 13:40 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Anvil Studio
2008-02-10 19:39 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Engelmann Media
2007-05-13 11:48 570 -c--a-w C:\Dokumente und Einstellungen\Peter\jdraw.v1.1.5.dat
2004-03-01 12:25 114,688 -c--a-w C:\Programme\internet explorer\plugins\ChimeShim.dll
2007-02-03 12:19 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5AF49A2-94F3-42BD-F434-2604812C897D}]
2008-03-24 14:11 10000 --a------ C:\WINDOWS\system32\jfiehayd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-12-01 02:48 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-07-20 06:04 847872]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-07-12 10:47 352256]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"ACU"="L:\Programme\TP-LINK\TL-WN620G\TWCU.exe" [2005-05-30 15:02 327680]
"avast!"="C:\Programme\Alwil Software\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Ashampoo FireWall"="C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 14:57 3251800]
"SoundMax"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 08:12 729088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-01 02:48 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 19:48 434528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
"DisableCAD"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoStrCmpLogical"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoSMBalloonTip"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{C5AF49A2-94F3-42BD-F434-2604812C897D}"= C:\WINDOWS\system32\jfiehayd.dll [2008-03-24 14:11 10000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-25 20:41 11776 C:\WINDOWS\system32\WLCtrl32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"L:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\Google\\Google Talk\\googletalk.exe"=
"C:\\Programme\\ViaVoice\\Bin\\audmig.exe"=
"C:\\Programme\\ViaVoice\\Bin\\engine.exe"=
"C:\\Programme\\ViaVoice\\Bin\\dme.exe"=
"C:\\Programme\\ViaVoice\\Bin\\smart.exe"=
"C:\\Programme\\ViaVoice\\Bin\\options.exe"=
"C:\\Programme\\ViaVoice\\Bin\\miguser.exe"=
"C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vocabexp.exe"=
"C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\chkmsaa.exe"=
"C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"=
"C:\\Programme\\ViaVoice\\Bin\\macroeditor.exe"=
"C:\\Programme\\ViaVoice\\Bin\\msaadmn.exe"=
"C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"=
"C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"=
"C:\\Programme\\ViaVoice\\Bin\\voicepad.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vtdirect.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vtperdic.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vati.exe"=
"C:\\Programme\\ViaVoice\\Bin\\whatcanisay.exe"=
"L:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"L:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"L:\\Programme\\TansuTCP\\TansuTCPTrace.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

R0 Brq66;Brq66;C:\WINDOWS\system32\Drivers\Brq66.sys [2008-03-25 14:45]
R0 RRamdisk;Ramdisk Driver;C:\WINDOWS\system32\DRIVERS\rramdisk.sys [2003-12-09 09:04]
R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-10-18 08:55]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-10-18 08:55]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-09-28 12:51]
R2 MSSQL$MDSS_DB;SQL Server (MDSS_DB);"L:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe" -sMDSS_DB []
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-09-28 12:51]
R3 AR5523;TP-LINK TL-WN620G 11G Wireless Adapter Service;C:\WINDOWS\system32\DRIVERS\TL-WN620G.sys [2004-09-28 08:07]
R3 RimSerPort;RIM Virtual Serial Port;C:\WINDOWS\system32\DRIVERS\RimSerial.sys [2005-08-16 12:02]
R3 uscbs109;uscbs109;C:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-22 00:00]
R3 uscsc109;uscsc109;C:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-22 00:00]
S3 ATHFMWDL;TP-LINK USB Wireless Adapter Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys [2004-09-11 03:52]
S3 BioNT_BS;BioNT_BS;C:\Programme\Paragon Software\Total Defrag 2007\bluescrn\BioNT_bs.sys []
S3 CSNPD51;CSNPD51 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\CSNPD51.sys [2007-10-17 17:04]
S3 CSNPD51a64;CSNPD51a64 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\CSNPD51a64.sys []
S3 PORTMON;PORTMON;C:\Dokumente und Einstellungen\Peter\Desktop\SysinternalsSuite\PORTMSYS.SYS []
S3 SQLWriter;SQL Server VSS Writer;"L:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 01:53]
S3 VBoxUSB;VirtualBox USB;C:\WINDOWS\system32\Drivers\VBoxUSB.sys [2007-10-18 08:55]
S3 Wdm1;Vivanco USB Link Cable Driver;C:\WINDOWS\system32\Drivers\usbbc.sys [2002-11-18 07:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P]
\Shell\AutoRun\command - P:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f2ad0a7-f697-11dc-b198-000aeba6f793}]
\Shell\AutoRun\command - P:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 20:42:47
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\ASFWHide]
"ImagePath"="\??\C:\DOKUME~1\Peter\LOKALE~1\Temp\ASFWHide"

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yeyqase]
"ImagePath"="\??\C:\WINDOWS\system32\ras\yeyqase.mis"

yeyqase.mis
http://www.bleepingcomputer.com/startups/yeyqase.mis-22493.html
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\WLCtrl32.dll
-> C:\Programme\Ashampoo\Ashampoo FireWall\spi.dll

PROCESS: C:\WINDOWS\explorer.exe
-> L:\Programme\Dexpot\hooxpot.dll
-> C:\WINDOWS\system32\jfiehayd.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
L:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
L:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dwwin.exe
L:\Programme\Dexpot\dexpot.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-25 20:45:08 - machine was rebooted [Peter]
ComboFix-quarantined-files.txt 2008-03-25 19:45:05
.
2008-03-24 20:41:21 --- E O F ---

ZU ComboFix muss ich hinzusagen, das ich nach dem geforderten Neustart den PC abstürtzen ließ als der Vorgang des Herrunterfahrens bei "Einstellungen speichern..." angekommen war, da der PC 15min in diesem Zustang hängte. Ich glaube dies liegt daran, das es seit dem Virus das Problem gibt, das ich eine Fehlermeldung des Prozesses "services.exe" bekomme (immer bei Systemstart) in welchem auf ein Problem hingewiesen wird. Wenn ich dieses Fenster mit dem Button "Nicht senden" schließe startet sich "shutdown.exe" und fohrt den PC nach einer Minute herrunter. Wenn ich das Problemberichtfenster nicht schließe kann ich normal arbeiten. Ich habe dies getan, den Prozessexplorer gestartet und beobachtet was passiert, wenn ich auf "Nicht senden" klicke. Der Prozess "Services.exe" wird beenden. Dies erklärt auch warum sich dann keine Applicationen mehr starten lassen, da dies ohne "services.exe" ja nicht möglich ist. Das Windows-Herrunterfahrenfenster, das von einer min herrunterzählt, bevor der PC neugestartet wird, lässt sich mit "shutdown.exe -a" beenden.

Hoffe auf Hilfe,

Vinschni

Zitat

Datentr„ger in Laufwerk C: ist System(WINDOWS)
Volumeseriennummer: 081A-D7BF

Verzeichnis von c:\

25.03.2008 20:50 0 dirdat.txt
24.03.2008 14:11 58.368 axmfr.exe
24.03.2008 14:11 6.144 fvsyct.exe
24.03.2008 12:40 0 DebugBowne.txt
21.03.2008 15:14 17.408 psapi.dll
06.03.2008 20:48 182 boot.ini
22.02.2008 21:31 260 Test.xml
22.02.2008 19:52 251.712 ntldr
23.10.2007 15:38 288 ports.xml
04.08.2007 10:29 388 Mid2Txt.au3
01.08.2007 08:50 173.231 AnalysisLog.sr0
30.06.2007 11:55 250 Txt2Midi.au3
30.06.2007 11:26 26.606 a.mid
22.03.2007 17:11 21.258 R.mid
10.03.2007 08:48 40.207.484 1.wav
18.02.2004 00:09 53.248 Csvmidi.exe
18.02.2004 00:09 45.056 Midicsv.exe
19.10.1991 00:55 81 example1.mid
24 Datei(en) 40.914.480 Bytes
0 Verzeichnis(se), 1.791.537.152 Bytes frei
Datentr„ger in Laufwerk C: ist System(WINDOWS)
Volumeseriennummer: 081A-D7BF

Verzeichnis von C:\WINDOWS\system32

25.03.2008 20:43 88.566 nvapps.xml
25.03.2008 20:41 11.776 WLCtrl32.dll
25.03.2008 14:45 11.776 WLCtrl32.dl_
24.03.2008 14:11 10.000 jfiehayd.dll
06.03.2008 20:44 44.009 PUXPPLAT.UND
05.03.2008 17:30 19.148.408 MRT.exe
24.02.2008 09:00 34.064 lhacm.acm
22.02.2008 19:56 7.059 spupdsvc.inf
20.02.2008 09:11 147.456 CSXTUI22U.DLL
19.02.2008 13:28 253.952 CSPCE64U.dll
19.02.2008 10:30 544.768 CSNPS64U.DLL
10.02.2008 11:09 311 BOOTBAK.INI
14.01.2008 15:18 81.920 CSMUI64U.DLL
07.01.2008 15:38 76.432 mlfcache.dat
02.01.2008 18:06 5.615.616 CSXTP1120U.DLL

Verzeichnis von C:\DOKUME~1\Peter\LOKALE~1\Temp

25.03.2008 20:49 160 kfgoirejrhjf848hg.tmp
25.03.2008 20:47 49.152 ~DF83FC.tmp
25.03.2008 20:46 16.684 log.txt
25.03.2008 20:43 114.688 ~DFAC2.tmp

#4 Hallo,

auf dem Rechner sind Rootkits und Viren, bitte nicht etwa bei ebay einloggen
Nach der Reinigung, wenn sie denn erfolgreich ist..alle Passworte ändern !

1.
gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 - in 0 ändern
"NoResolveSearch"= 1 - in 0 ändern
"AllowLegacyWebView"= 1 - in 0 ändern
"AllowUnhashedWebView"= 1 - in 0 ändern

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001 - in 0 ändern
"FirewallOverride"=dword:00000001 - in 0 ändern

------------------------------------------------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
Brq66

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5AF49A2-94F3-42BD-F434-2604812C897D}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{C5AF49A2-94F3-42BD-F434-2604812C897D}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
[-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yeyqase]

Rootkit::
C:\WINDOWS\system32\ras\yeyqase.mis

File::
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\kfgoirejrhjf848hg.tmp
C:\WINDOWS\system32\ras\yeyqase.mis
C:\WINDOWS\system32\drivers\Brq66.sys
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\WLCtrl32.dl_
C:\WINDOWS\system32\trltmpct.dll
C:\WINDOWS\system32\jfiehayd.dll
C:\fvsyct.exe
C:\axmfr.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

«
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi,
Ich habe wie beschrieben Combofix ausgeführt. 4x Hat sich der PC beim Löschen der "yeyquase.msi" aufgehängt, beim 5. Mal hat es funktioniert. Hier ist das neue Log:

Zitat

ComboFix 08-03-25.4 - Peter 2008-03-26 10:04:08.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1636 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Peter\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\axmfr.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\kfgoirejrhjf848hg.tmp
C:\fvsyct.exe
C:\WINDOWS\system32\drivers\Brq66.sys
C:\WINDOWS\system32\jfiehayd.dll
C:\WINDOWS\system32\ras\yeyqase.mis
C:\WINDOWS\system32\trltmpct.dll
C:\WINDOWS\system32\WLCtrl32.dl_
C:\WINDOWS\system32\WLCtrl32.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\Brq66.sys
C:\WINDOWS\system32\ras\yeyqase.mis
.
---- Previous Run -------
.
C:\axmfr.exe
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\kfgoirejrhjf848hg.tmp
C:\fvsyct.exe
C:\WINDOWS\system32\drivers\Brq66.sys
C:\WINDOWS\system32\jfiehayd.dll
C:\WINDOWS\system32\trltmpct.dll
C:\WINDOWS\system32\WLCtrl32.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BRQ66
-------\Service_Brq66
-------\yeyqase
-------\Legacy_BRQ66
-------\yeyqase
-------\Legacy_BRQ66


((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 09:42 . 2008-03-26 09:42 53,629 --a------ C:\catchme2008-03-26_100405.64.zip
2008-03-26 09:20 . 2008-03-26 09:20 15,334 --a------ C:\catchme2008-03-26_ 93808.01.zip
2008-03-25 14:54 . 2008-03-25 14:54 <DIR> d--h----- C:\WINDOWS\PIF
2008-03-24 21:32 . 2008-03-24 21:32 <DIR> d-------- C:\Programme\Microsoft Network Monitor 3
2008-03-24 21:24 . 2008-03-24 21:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Colasoft Shared
2008-03-24 21:24 . 2008-03-24 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Colasoft Packet Builder
2008-03-24 14:04 . 2008-03-24 14:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-03-24 13:07 . 2008-03-24 13:07 <DIR> d-------- C:\Programme\Beep Komponist
2008-03-22 09:16 . 2008-03-22 09:16 <DIR> d-------- C:\Programme\uTorrent
2008-03-22 09:16 . 2008-03-24 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\uTorrent
2008-03-21 15:14 . 2008-03-21 15:14 17,408 --a------ C:\psapi.dll
2008-03-20 17:05 . 2008-03-20 17:05 <DIR> d-------- C:\Programme\Paint.NET
2008-03-19 19:02 . 2008-03-19 19:03 <DIR> d-------- C:\Programme\Windows Live
2008-03-19 13:34 . 2008-03-19 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\C4F_P2PWPFControls\bin
2008-03-15 10:17 . 2008-03-15 10:17 <DIR> d-------- C:\WINDOWS\royale_noir
2008-03-12 19:01 . 2008-03-24 13:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-12 19:01 . 2008-03-12 19:01 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-11 17:22 . 2008-03-11 17:22 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2008-03-11 16:03 . 2008-03-11 16:03 <DIR> d-------- C:\Programme\Windows Installer Clean Up
2008-03-11 16:03 . 2008-03-11 16:03 <DIR> d-------- C:\Programme\MSECACHE
2008-03-06 20:46 . 2008-03-06 20:46 <DIR> d-------- C:\WINDOWS\system32\AsBackup
2008-03-06 20:44 . 2008-03-06 20:44 44,009 --a------ C:\WINDOWS\system32\PUXPPLAT.UND
2008-03-06 20:21 . 2008-03-06 20:21 626 --a------ C:\WINDOWS\BeatBox.INI
2008-03-06 20:20 . 2008-03-06 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MAGIX
2008-03-06 20:20 . 2008-03-06 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-06 20:19 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-06 20:18 . 2008-03-06 20:50 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-03-06 20:18 . 2007-12-04 14:20 700,416 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-06 20:18 . 2008-03-06 20:20 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-06 20:17 . 2008-03-06 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-03-05 17:41 . 2008-03-05 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-03 20:59 . 2008-03-25 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\.gimp-2.4
2008-03-03 20:58 . 2008-03-03 20:58 <DIR> d-------- C:\Programme\GIMP-2.0
2008-03-01 14:06 . 2008-03-06 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\WebSpeech.4.0
2008-03-01 14:06 . 2008-03-06 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-03-01 14:06 . 2008-03-01 14:06 159,744 --a------ C:\WINDOWS\LgxSetup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-25 20:09 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\OpenOffice.org2
2008-03-24 20:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-20 19:01 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ChessBase
2008-03-20 16:06 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0
2008-03-19 18:03 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-19 18:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-17 10:58 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-11 16:23 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-03-11 16:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-11 15:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-08 14:58 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-03-08 13:33 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-06 19:45 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Orbit
2008-02-25 19:21 --------- d-----w C:\Programme\SmartFTP Client 2.5 Setup Files
2008-02-25 19:21 --------- d-----w C:\Programme\SmartFTP Client
2008-02-25 15:41 --------- d-----w C:\Programme\RADVideo
2008-02-24 19:41 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Inkscape
2008-02-24 08:17 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\CameraWindowDC
2008-02-24 08:00 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2
2008-02-22 18:58 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd5085.sys
2008-02-20 19:04 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ZoomBrowser EX
2008-02-18 13:04 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-02-16 13:40 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Anvil Studio
2008-02-10 19:39 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Engelmann Media
2007-05-13 11:48 570 -c--a-w C:\Dokumente und Einstellungen\Peter\jdraw.v1.1.5.dat
2004-03-01 12:25 114,688 -c--a-w C:\Programme\internet explorer\plugins\ChimeShim.dll
2007-02-03 12:19 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-12-01 02:48 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-07-20 06:04 847872]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-07-12 10:47 352256]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"ACU"="L:\Programme\TP-LINK\TL-WN620G\TWCU.exe" [2005-05-30 15:02 327680]
"avast!"="C:\Programme\Alwil Software\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Ashampoo FireWall"="C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 14:57 3251800]
"SoundMax"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 08:12 729088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-01 02:48 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 19:48 434528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
"DisableCAD"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoStrCmpLogical"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"AllowLegacyWebView"= 0 (0x0)
"AllowUnhashedWebView"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"L:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\Google\\Google Talk\\googletalk.exe"=
"C:\\Programme\\ViaVoice\\Bin\\audmig.exe"=
"C:\\Programme\\ViaVoice\\Bin\\engine.exe"=
"C:\\Programme\\ViaVoice\\Bin\\dme.exe"=
"C:\\Programme\\ViaVoice\\Bin\\smart.exe"=
"C:\\Programme\\ViaVoice\\Bin\\options.exe"=
"C:\\Programme\\ViaVoice\\Bin\\miguser.exe"=
"C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vocabexp.exe"=
"C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\chkmsaa.exe"=
"C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"=
"C:\\Programme\\ViaVoice\\Bin\\macroeditor.exe"=
"C:\\Programme\\ViaVoice\\Bin\\msaadmn.exe"=
"C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"=
"C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"=
"C:\\Programme\\ViaVoice\\Bin\\voicepad.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vtdirect.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vtperdic.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vati.exe"=
"C:\\Programme\\ViaVoice\\Bin\\whatcanisay.exe"=
"L:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"L:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"L:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"L:\\Programme\\Miranda IM\\miranda32.exe"=
"L:\\Programme\\Mozilla Firefox 3 Beta 3\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"L:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"L:\\Programme\\TansuTCP\\TansuTCPTrace.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

R0 RRamdisk;Ramdisk Driver;C:\WINDOWS\system32\DRIVERS\rramdisk.sys [2003-12-09 09:04]
R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-10-18 08:55]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-10-18 08:55]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-09-28 12:51]
R2 MSSQL$MDSS_DB;SQL Server (MDSS_DB);"L:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe" -sMDSS_DB []
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-09-28 12:51]
R3 RimSerPort;RIM Virtual Serial Port;C:\WINDOWS\system32\DRIVERS\RimSerial.sys [2005-08-16 12:02]
R3 uscbs109;uscbs109;C:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-22 00:00]
R3 uscsc109;uscsc109;C:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-22 00:00]
S3 AR5523;TP-LINK TL-WN620G 11G Wireless Adapter Service;C:\WINDOWS\system32\DRIVERS\TL-WN620G.sys [2004-09-28 08:07]
S3 ATHFMWDL;TP-LINK USB Wireless Adapter Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys [2004-09-11 03:52]
S3 BioNT_BS;BioNT_BS;C:\Programme\Paragon Software\Total Defrag 2007\bluescrn\BioNT_bs.sys []
S3 CSNPD51;CSNPD51 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\CSNPD51.sys [2007-10-17 17:04]
S3 CSNPD51a64;CSNPD51a64 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\CSNPD51a64.sys []
S3 PORTMON;PORTMON;C:\Dokumente und Einstellungen\Peter\Desktop\SysinternalsSuite\PORTMSYS.SYS []
S3 SQLWriter;SQL Server VSS Writer;"L:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 01:53]
S3 VBoxUSB;VirtualBox USB;C:\WINDOWS\system32\Drivers\VBoxUSB.sys [2007-10-18 08:55]
S3 Wdm1;Vivanco USB Link Cable Driver;C:\WINDOWS\system32\Drivers\usbbc.sys [2002-11-18 07:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P]
\Shell\AutoRun\command - P:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f2ad0a7-f697-11dc-b198-000aeba6f793}]
\Shell\AutoRun\command - P:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 10:08:14
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\ASFWHide]
"ImagePath"="\??\C:\DOKUME~1\Peter\LOKALE~1\Temp\ASFWHide"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
L:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
L:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 10:10:14 - machine was rebooted [Vinschni]
ComboFix-quarantined-files.txt 2008-03-26 09:10:11
.
2008-03-24 20:41:21 --- E O F ---

Das Problem mit der "service.exe" scheint behoben zu sein. Von den im Temp Ordner erstellten ausführbaren Dateien hat Avast bis jetzt noch nichts berichtet.

Grüße,

Vinschni

#6 Hallo

wende bitte comboscan an + poste die 2 logs, die erscheinen
http://www.virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier die 2 Logs

main.txt:

Zitat

Deckard's System Scanner v20071014.68
Run by Peter on 2008-03-26 13:31:31
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
5: 2008-03-26 12:31:34 UTC - RP272 - Deckard's System Scanner Restore Point
4: 2008-03-26 09:04:01 UTC - RP271 - ComboFix created restore point
3: 2008-03-26 08:38:03 UTC - RP270 - ComboFix created restore point
2: 2008-03-26 08:19:22 UTC - RP269 - ComboFix created restore point
1: 2008-03-25 19:49:12 UTC - RP268 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

[color=red]System Drive C: has 1.35 GiB (less than 15%) free.[/color]


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-03-26 13:33:04
Platform: Windows XP Service Pack 3, v.3264 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\explorer.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
L:\Programme\TP-LINK\TL-WN620G\TWCU.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Peter\Desktop\Neuer Ordner\dss.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - L:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ACU] L:\Programme\TP-LINK\TL-WN620G\TWCU.exe -nogui
O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - Startup: Dexpot 1.4.lnk = L:\Programme\Dexpot\dexpot.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://L:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - L:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196082027656
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - L:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


--
End of file - 8441 bytes

-- File Associations -----------------------------------------------------------

[COLOR=red].bat - batfile - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\WindowsBatchFile.ico[/COLOR]
[COLOR=red].chm - chm.file - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\HelpFile.ico[/COLOR]
[COLOR=red].cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*[/COLOR]
[COLOR=red].cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*[/COLOR]
[COLOR=red].hlp - hlpfile - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\HelpFile.ico[/COLOR]
[COLOR=red].inf - inffile - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\ConfigurationSettings.ico[/COLOR]
[COLOR=red].ini - inifile - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\ConfigurationSettings.ico[/COLOR]
[COLOR=red].reg - regfile - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\RegistryFile.ico[/COLOR]
[COLOR=red].txt - txtfile - DefaultIcon - C:\Programme\TGTSoft\ResEdit\Current.ico\TextDocument.ico[/COLOR]


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 giveio - c:\windows\system32\giveio.sys
R0 RRamdisk (Ramdisk Driver) - c:\windows\system32\drivers\rramdisk.sys <Not Verified; gavotte; Ramdisk Driver for win2k/xp/2k3>
R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 vax347b - c:\windows\system32\drivers\vax347b.sys
R0 vax347s - c:\windows\system32\drivers\vax347s.sys
R1 ACEDRV05 - c:\windows\system32\drivers\acedrv05.sys <Not Verified; Protect Software GmbH; >
R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys
R2 litsgt - c:\windows\system32\drivers\litsgt.sys
R2 MDC8021X (AEGIS Protocol (IEEE 802.1x) v2.3.1.10) - c:\windows\system32\drivers\mdc8021x.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 2.3.1.10>
R2 tansgt - c:\windows\system32\drivers\tansgt.sys
R3 ADIHdAudAddService (ADI UAA Function Driver for High Definition Audio Service) - c:\windows\system32\drivers\adihdaud.sys <Not Verified; Analog Devices, Inc.; SoundMAX Digital HD Audio Driver>
R3 AEAudio (AE Audio Service) - c:\windows\system32\drivers\aeaudio.sys <Not Verified; Andrea Electronics Corporation; Andrea Audio Driver>
R3 uscbs109 - c:\windows\system32\drivers\uscbs109.sys
R3 uscsc109 - c:\windows\system32\drivers\uscsc109.sys
R3 vaxscsi - c:\windows\system32\drivers\vaxscsi.sys

S0 VClone - c:\windows\system32\drivers\vclone.sys (file missing)
S3 AR5523 (TP-LINK TL-WN620G 11G Wireless Adapter Service) - c:\windows\system32\drivers\tl-wn620g.sys <Not Verified; TP-LINK Technologies Co., Ltd.; TP-LINK TL-WN620G 11G Wireless Adapter>
S3 ASFWHide - c:\dokume~1\peter\lokale~1\temp\asfwhide (file missing)
S3 ATHFMWDL (TP-LINK USB Wireless Adapter Bootloader driver) - c:\windows\system32\drivers\athfmwdl.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
S3 BioNT_BS - c:\programme\paragon software\total defrag 2007\bluescrn\biont_bs.sys (file missing)
S3 catchme - c:\dokume~1\peter\lokale~1\temp\catchme.sys (file missing)
S3 CSNPD51a64 (CSNPD51a64 NDIS Protocol Driver) - c:\windows\system32\drivers\csnpd51a64.sys (file missing)
S3 FileDisk - c:\windows\system32\drivers\filedisk.sys <Not Verified; Bo Brantén; filedisk>
S3 PORTMON - c:\dokumente und einstellungen\peter\desktop\sysinternalssuite\portmsys.sys (file missing)
S3 VMnetAdapter (VMware Virtual Ethernet Adapter Driver) - c:\windows\system32\drivers\vmnetadapter.sys <Not Verified; VMware, Inc.; VMware virtual network adapter driver (32-bit)>
S3 Wdm1 (Vivanco USB Link Cable Driver) - c:\windows\system32\drivers\usbbc.sys <Not Verified; ; PC-Linq Bridge Cable>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (TP-LINK Configuration Service) - c:\windows\system32\acs.exe
R2 CCALib8 (Canon Camera Access Library 8) - c:\programme\canon\cal\calmain.exe <Not Verified; Canon Inc.; >

S2 Abel -
S2 CLTNetCnService (Symantec Lic NetConnect service) - "c:\programme\gemeinsame dateien\symantec shared\ccsvchst.exe" /h cccommon (file missing)
S3 LEC TranslateDotNet Server - "l:\programme\power translator\logomedia translatedotnet server.exe" <Not Verified; Language Engineering Corporation, LLC; LogoMedia TranslateDotNet Server.exe>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: TP-LINK TL-WN620G 11G Wireless Adapter
Device ID: USB\VID_0CF3&PID_0001\1.0
Manufacturer: TP-LINK
Name: TP-LINK TL-WN620G 11G Wireless Adapter
PNP Device ID: USB\VID_0CF3&PID_0001\1.0
Service: AR5523

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\E8942D11D800
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\E8942D11D800
Service: NIC1394

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Device ID: PCI\VEN_11AB&DEV_4320&SUBSYS_811A1043&REV_14\4&1FAF5EA3&0&20F0
Manufacturer: Marvell
Name: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
PNP Device ID: PCI\VEN_11AB&DEV_4320&SUBSYS_811A1043&REV_14\4&1FAF5EA3&0&20F0
Service: yukonwxp

Class GUID: {FF646F80-8DEF-11D2-9449-00105A075F6B}
Description: Patin Couffin engine
Device ID: ROOT\PCOUFFIN\0000
Manufacturer: VSO Software
Name: Patin Couffin engine
PNP Device ID: ROOT\PCOUFFIN\0000
Service: Pcouffin


-- Files created between 2008-02-26 and 2008-03-26 -----------------------------

2008-03-26 09:19:12 68096 --a------ C:\WINDOWS\system32\zip.exe
2008-03-26 09:19:12 98816 --a------ C:\WINDOWS\system32\sed.exe
2008-03-26 09:19:12 80412 --a------ C:\WINDOWS\system32\grep.exe
2008-03-26 09:19:12 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-03-25 20:14:12 0 dr-h----- C:\Dokumente und Einstellungen\Peter\Recent
2008-03-25 14:54:58 0 d--h----- C:\WINDOWS\PIF
2008-03-24 21:32:02 0 d-------- C:\Programme\Microsoft Network Monitor 3
2008-03-24 21:24:19 147456 --a------ C:\WINDOWS\system32\CSXTUI22U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Common Libraries>
2008-03-24 21:24:19 5615616 --a------ C:\WINDOWS\system32\CSXTP1120U.DLL <Not Verified; Codejock Software; Xtreme Toolkit Pro™ Dynamic Link Library>
2008-03-24 21:24:19 94208 --a------ C:\WINDOWS\system32\CSTDIAPI64U.dll <Not Verified; Colasoft Co., Ltd.; Colasoft Universal TDI Driver Interface>
2008-03-24 21:24:19 114688 --a------ C:\WINDOWS\system32\CSNDIS64.dll <Not Verified; Colasoft Co., Ltd.; Colasoft Packet Capture Engine>
2008-03-24 21:24:19 118784 --a------ C:\WINDOWS\system32\CSIMAPI64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Universal NDIS Intermediate Driver>
2008-03-24 21:24:19 0 d-------- C:\Programme\Gemeinsame Dateien\Colasoft Shared
2008-03-24 21:24:18 204800 --a------ C:\WINDOWS\system32\CSUPDATE64U.dll <Not Verified; Colasoft Co., Ltd.; Colasoft Update Library>
2008-03-24 21:24:18 77824 --a------ C:\WINDOWS\system32\CSPFF64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Packet Format File Library>
2008-03-24 21:24:18 253952 --a------ C:\WINDOWS\system32\CSPCE64U.dll <Not Verified; Colasoft Co., Ltd.; Colasoft Packet Capture Engine>
2008-03-24 21:24:18 544768 --a------ C:\WINDOWS\system32\CSNPS64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Network Protocol Specifications>
2008-03-24 21:24:18 57344 --a------ C:\WINDOWS\system32\CSNPL64.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Network Packet Library>
2008-03-24 21:24:18 122880 --a------ C:\WINDOWS\system32\CSNLIB65U.dll <Not Verified; Colasoft Co., Ltd.; Colasoft NG Library>
2008-03-24 21:24:18 81920 --a------ C:\WINDOWS\system32\CSMUI64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Multi Language Library>
2008-03-24 21:24:18 237568 --a------ C:\WINDOWS\system32\CSMFCUI64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Common Libraries>
2008-03-24 21:24:18 63488 --a------ C:\WINDOWS\system32\CSMFCSTD64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Common Libraries>
2008-03-24 21:24:18 49152 --a------ C:\WINDOWS\system32\CSIPI64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Internet Protocol Information Query Library>
2008-03-24 21:24:18 110592 --a------ C:\WINDOWS\system32\CSCPPSTD64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Standard CPP Library>
2008-03-24 21:24:18 32768 --a------ C:\WINDOWS\system32\CSCODER64U.DLL <Not Verified; Colasoft Co., Ltd.; Colasoft Common Libraries>
2008-03-24 14:04:05 0 d-------- C:\Programme\Microsoft Works
2008-03-24 14:03:12 0 d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-03-24 13:07:03 0 d-------- C:\Programme\Beep Komponist
2008-03-22 09:16:39 0 d-------- C:\Programme\uTorrent
2008-03-21 15:14:28 17408 --a------ C:\psapi.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-03-20 17:05:10 0 d-------- C:\Programme\Paint.NET
2008-03-19 19:02:50 0 d-------- C:\Programme\Windows Live
2008-03-15 10:17:39 0 d-------- C:\WINDOWS\royale_noir
2008-03-11 17:22:29 0 d-------- C:\Programme\Microsoft Visual Studio 8
2008-03-11 16:03:15 0 d-------- C:\Programme\Windows Installer Clean Up
2008-03-11 16:03:02 0 d-------- C:\Programme\MSECACHE
2008-03-06 20:46:05 0 d-------- C:\WINDOWS\system32\AsBackup
2008-03-06 20:20:16 82432 --a------ C:\WINDOWS\system32\msxml4r.dll <Not Verified; Microsoft Corporation; Microsoft(R) MSXML 4.0 SP1>
2008-03-06 20:20:16 44544 --a------ C:\WINDOWS\system32\msxml4a.dll <Not Verified; Microsoft Corporation; Microsoft(R) MSXML 4.0 SP1>
2008-03-06 20:20:15 24576 --a------ C:\WINDOWS\system32\TTIC32.dll <Not Verified; PoINT Software & Systems GmbH; TTIC32>
2008-03-06 20:20:15 24576 --a------ C:\WINDOWS\system32\TTI32.dll <Not Verified; PoINT Software & Systems GmbH; TTI32>
2008-03-06 20:20:15 32768 --a------ C:\WINDOWS\system32\STRING32.dll <Not Verified; PoINT Software & Systems GmbH; STRING32>
2008-03-06 20:20:15 430080 --a------ C:\WINDOWS\system32\MXRestore.exe <Not Verified; MAGIX AG; MAGIX Restore>
2008-03-06 20:20:15 1233920 --a------ C:\WINDOWS\system32\msxml4.dll <Not Verified; Microsoft Corporation; Microsoft(R) MSXML 4.0 SP 2>
2008-03-06 20:20:15 53248 --a------ C:\WINDOWS\system32\mgxasio2.dll
2008-03-06 20:20:15 57344 --a------ C:\WINDOWS\system32\DLLTPO32.dll <Not Verified; PoINT Software & Systems GmbH; DLLTPO32>
2008-03-06 20:20:15 188416 --a------ C:\WINDOWS\system32\DLLRES32.dll <Not Verified; PoINT Software & Systems GmbH; DLLRES32>
2008-03-06 20:20:15 40960 --a------ C:\WINDOWS\system32\DLLRD32.dll <Not Verified; PoINT Software & Systems GmbH; DLLRD32>
2008-03-06 20:20:15 65536 --a------ C:\WINDOWS\system32\DLLPTL32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPTL32>
2008-03-06 20:20:15 53248 --a------ C:\WINDOWS\system32\DLLPRJ32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPRJ32>
2008-03-06 20:20:15 49152 --a------ C:\WINDOWS\system32\DLLPRF32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPRF32>
2008-03-06 20:20:15 36864 --a------ C:\WINDOWS\system32\DLLPNT32.dll <Not Verified; PoINT Software & Systems GmbH; DLLPNT32>
2008-03-06 20:20:15 32768 --a------ C:\WINDOWS\system32\DLLMSC32.dll <Not Verified; PoINT Software & Systems GmbH; DLLMSC32>
2008-03-06 20:20:15 24576 --a------ C:\WINDOWS\system32\DLLIX.dll <Not Verified; PoINT Software & Systems GmbH; DLLIX>
2008-03-06 20:20:15 32768 --a------ C:\WINDOWS\system32\DLLISO32.dll <Not Verified; PoINT Software & Systems GmbH; DLLISO32>
2008-03-06 20:20:15 53248 --a------ C:\WINDOWS\system32\DLLIO32.dll <Not Verified; PoINT Software & Systems GmbH; DLLIO32>
2008-03-06 20:20:15 45056 --a------ C:\WINDOWS\system32\DLLIMG32.dll <Not Verified; PoINT Software & Systems GmbH; DLLIMG32>
2008-03-06 20:20:15 151552 --a------ C:\WINDOWS\system32\DLLDRV32.dll <Not Verified; PoINT Software & Systems GmbH; DLLDRV32>
2008-03-06 20:20:15 32768 --a------ C:\WINDOWS\system32\DLLDIR32.dll <Not Verified; PoINT Software & Systems GmbH; DLLDIR32>
2008-03-06 20:20:15 163840 --a------ C:\WINDOWS\system32\DLLDEV32.dll <Not Verified; PoINT Software & Systems GmbH; DLLDEV32>
2008-03-06 20:20:15 94208 --a------ C:\WINDOWS\system32\DLLCPY32.dll <Not Verified; PoINT Software & Systems GmbH; DLLCPY32>
2008-03-06 20:20:15 61440 --a------ C:\WINDOWS\system32\DLLCDF32.dll <Not Verified; PoINT Software & Systems GmbH; DLLCDF32>
2008-03-06 20:20:15 114688 --a------ C:\WINDOWS\system32\DLLCDA32.dll <Not Verified; PoINT Software & Systems GmbH; PoINT CDarchive for Windows>
2008-03-06 20:20:15 487424 --a------ C:\WINDOWS\system32\DLLAV32.dll <Not Verified; PoINT Software & Systems GmbH; PoINT CD/DVD Audio/Video SDK for Windows>
2008-03-06 20:19:09 120200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll <Not Verified; ; DLLDEV32i>
2008-03-06 20:18:37 700416 --a------ C:\WINDOWS\system32\mgxoschk.dll <Not Verified; MAGIX AG; mgxoschk>
2008-03-06 20:18:37 0 d-------- C:\WINDOWS\system32\MAGIX
2008-03-03 20:59:06 0 d-------- C:\Dokumente und Einstellungen\Peter\.gimp-2.4
2008-03-03 20:58:34 0 d-------- C:\Programme\GIMP-2.0
2008-03-01 14:06:45 0 d-------- C:\Programme\Gemeinsame Dateien\WebSpeech.4.0
2008-03-01 14:06:45 0 d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-03-01 14:06:40 159744 --a------ C:\WINDOWS\LgxSetup.exe <Not Verified; G DATA Software AG; G DATA SFX Setup>


-- Find3M Report ---------------------------------------------------------------

2008-03-26 11:38:27 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\OpenOffice.org2
2008-03-24 21:24:28 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Colasoft Packet Builder
2008-03-24 21:24:19 0 d-------- C:\Programme\Gemeinsame Dateien
2008-03-24 17:59:08 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\uTorrent
2008-03-20 20:01:32 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ChessBase
2008-03-20 17:06:38 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0
2008-03-19 19:03:10 0 d--hs--c- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-17 11:58:37 0 d-------- C:\Programme\Microsoft Silverlight
2008-03-11 17:23:28 0 d-------- C:\Programme\Microsoft Visual Studio 9.0
2008-03-11 17:04:26 0 d--h----- C:\Programme\InstallShield Installation Information
2008-03-11 16:06:17 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-03-11 16:05:50 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Adobe
2008-03-09 08:29:27 0 d-------- C:\Programme\Messenger
2008-03-08 15:58:19 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-03-08 14:33:14 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-06 20:45:48 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Orbit
2008-03-06 20:20:59 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MAGIX
2008-02-25 20:21:40 0 d-------- C:\Programme\SmartFTP Client
2008-02-25 20:21:22 0 d-------- C:\Programme\SmartFTP Client 2.5 Setup Files
2008-02-25 16:41:18 0 d-------- C:\Programme\RADVideo
2008-02-24 20:41:56 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Inkscape
2008-02-24 09:17:19 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\CameraWindowDC
2008-02-24 09:00:18 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2
2008-02-22 19:55:37 0 d-------- C:\Programme\Movie Maker
2008-02-22 19:54:12 0 d-------- C:\Programme\Windows NT
2008-02-20 20:04:59 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ZoomBrowser EX
2008-02-18 14:04:27 0 d-------- C:\Programme\OpenOffice.org 2.3
2008-02-16 14:40:39 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Anvil Studio
2008-02-10 20:39:13 0 d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Engelmann Media
2008-01-07 15:38:07 76432 --ah----- C:\WINDOWS\system32\mlfcache.dat
2007-12-29 14:56:16 212 --a------ C:\WINDOWS\ildasmfnt.bin
2007-12-26 17:30:00 1970176 --a------ C:\WINDOWS\system32\d3dx9.dll
2007-12-26 17:30:00 679936 --a------ C:\WINDOWS\system32\D3DX81ab.dll <Not Verified; Generated by JEDI; D3DX81>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [20.07.2006 06:04]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [12.07.2006 10:47]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [22.10.2006 12:22]
"nwiz"="nwiz.exe" [22.10.2006 12:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [22.10.2006 12:22]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [23.01.2007 14:44 C:\WINDOWS\KHALMNPR.Exe]
"ACU"="L:\Programme\TP-LINK\TL-WN620G\TWCU.exe" [30.05.2005 15:02]
"avast!"="C:\Programme\Alwil Software\Avast4\ashDisp.exe" [04.12.2007 14:00]
"Ashampoo FireWall"="C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [05.04.2007 14:57]
"SoundMax"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [13.07.2006 08:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [01.12.2007 02:48]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 11:34]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

C:\Dokumente und Einstellungen\Peter\Startmen�\Programme\Autostart\
Dexpot 1.4.lnk - L:\Programme\Dexpot\dexpot.exe [03.05.2006 21:36:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)
"DisableCAD"=0 (0x0)
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"=0 (0x0)
"NoStrCmpLogical"=0 (0x0)
"LinkResolveIgnoreLinkInfo"=0 (0x0)
"NoResolveSearch"=0 (0x0)
"AllowLegacyWebView"=0 (0x0)
"AllowUnhashedWebView"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)
"NoChangeStartMenu"=0 (0x0)
"NoRecentDocsMenu"=0 (0x0)
"NoSMHelp"=0 (0x0)
"NoSMConfigurePrograms"=0 (0x0)
"NoInstrumentation"=0 (0x0)
"NoSMBalloonTip"=0 (0x0)
"NoRecentDocsHistory"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Brq66.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P]
AutoRun\command- P:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f2ad0a7-f697-11dc-b198-000aeba6f793}]
AutoRun\command- P:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8760c9b-557d-11dc-9a09-806d6172696f}]




-- End of Deckard's System Scanner: finished at 2008-03-26 13:33:33 ------------

extra.txt

Zitat

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
Percentage of Memory in Use: 25%
Physical Memory (total/avail): 2031.11 MiB / 1506.47 MiB
Pagefile Memory (total/avail): 3922.82 MiB / 3542.23 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1928.59 MiB

A: is Removable (Unformatted)
C: is Fixed (NTFS) - 16.35 GiB total, 1.35 GiB free.
D: is Fixed (NTFS) - 0.11 GiB total, 0.04 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)
G: is Fixed (NTFS) - 2.15 GiB total, 1.67 GiB free.
H: is Fixed (NTFS) - 40.04 GiB total, 4.96 GiB free.
I: is Fixed (NTFS) - 10.89 GiB total, 3.77 GiB free.
J: is Fixed (NTFS) - 6.41 GiB total, 0.45 GiB free.
K: is CDROM (CDFS)
L: is Fixed (NTFS) - 80.08 GiB total, 1.78 GiB free.
M: is CDROM (No Media)
N: is CDROM (No Media)
O: is CDROM (UDF)

\\.\PHYSICALDRIVE0 - SAMSUNG SP2004C - 186.31 GiB - 8 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 16.35 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 89.87 GiB - D: - G: - H: - I: - J:
\PARTITION2 - Installierbares Dateisystem - 80.08 GiB - L:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.




-- Add/Remove Programs ---------------------------------------------------------

--> "C:\Programme\ViaVoice\Bin\vunGR.exe" ProdRunDictate Dc Gr_GR 'IBM ViaVoice™ Dictation Runtime' C:\WINDOWS\IsUn0407.exe -fC:\Programme\ViaVoice\RtDict_GR.isu
--> "C:\Programme\ViaVoice\Bin\vunGR.exe" ProdRunDictate Dc Gr_GR 'IBM ViaVoice™ Dictation Runtime' C:\WINDOWS\IsUn0407.exe -fC:\Programme\ViaVoice\RtDict_GR.isu
--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> MsiExec.exe /I{0F122737-72B2-4095-8B3E-7AAE753DFD3D}
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "L:\Programme\InstallShield Installation Information\{FD0C9330-E89A-4520-9A47-FE01366D5633}\setup.exe" xxxanything
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
3D-Globus DVD 2.0 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{7D489B30-1248-4F90-A99D-8D9169355B78}
3D Atlas des Sonnensystems --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{894AEC91-1A8E-4931-8FCC-C4C857DC9546}
3D Rad v6.18 --> "L:\Programme\3D Rad\unins000.exe"
3D Windows XP Screen Saver --> rundll32.exe setupapi.dll,InstallHinfSection UninstallInstall 132 C:\WINDOWS\system32\3D Windows XP.inf
Adobe Dreamweaver CS3 --> C:\Programme\Gemeinsame Dateien\Adobe\Installers\25db75244653b42cb93dc27939d1c0e\Setup.exe
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop CS3 --> C:\Programme\Gemeinsame Dateien\Adobe\Installers\5f143314a5d434c8511097393d17397\Setup.exe
Adobe Reader 8.1.1 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81000000003}
Adobe Setup --> MsiExec.exe /I{7D386596-0E80-4808-8AAE-C1DDA8212F7F}
Adobe Setup --> MsiExec.exe /I{F01F79AD-1F47-4685-AE4E-CCFA4EA9FF7C}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe SVG Viewer 3.0 --> C:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Programme\Gemeinsame Dateien\Adobe\SVG Viewer 3.0\Uninstall\Install.log
AFPL Ghostscript 8.54 --> L:\Programme\gs\uninstgs.exe "L:\Programme\gs\gs8.54\uninstal.txt"
AFPL Ghostscript Fonts --> L:\Programme\gs\uninstgs.exe "L:\Programme\gs\fonts\uninstal.txt"
Anvil Studio --> C:\WINDOWS\system32\AsUninst.exe
ApiViewer 2004 --> "L:\Programme\ApiViewer 2004\unins000.exe"
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Ashampoo Burning Studio 6 --> "L:\Programme\Ashampoo\Ashampoo Burning Studio 6\Uninstall\BS6_Uninstall.EXE"
Ashampoo FireWall 1.20 --> "C:\Programme\Ashampoo\Ashampoo FireWall\unins000.exe"
Ashampoo UnInstaller Platinum Suite --> "L:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\Uninstall\UIP_Uninstall.exe"
Ashampoo WinOptimizer 2008 --> "L:\Programme\Ashampoo\Ashampoo WinOptimizer 2008\Uninstall\1806_Uninstall.exe"
Asterix and Obelix XXL2 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\Intel 32\IDriver.exe /M{A5630FAF-8EFC-42E9-868E-EB6B23F8EB64} /l1031
µTorrent --> "C:\Programme\uTorrent\uTorrent.exe" /UNINSTALL
Audacity 1.2.4 --> "L:\Programme\Audacity\unins000.exe"
AusLogics Disk Defrag --> "L:\Programme\AusLogics Disk Defrag\unins000.exe"
AutoIt v3.2.10.0 --> L:\Programme\AutoIt3\Uninstall.exe
AutoIt v3.2.11.1 (Beta) --> L:\Programme\AutoIt3\beta\Uninstall.exe
avast! Antivirus --> rundll32 "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
BauDesigner 6.5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CD424943-6B5B-486E-9419-A80A61F6EF09}\Setup.exe" -l0x7
BlackBerry Desktop Software 4.1 --> MsiExec.exe /I{04B8D15D-5A3B-4D18-98B4-DCD014E4A318}
BlackBerry Desktop Software 4.1 --> MsiExec.exe /i{04B8D15D-5A3B-4D18-98B4-DCD014E4A318}
Blender (remove only) --> "L:\Programme\Blender Foundation\Blender\uninstall.exe"
Bontago --> L:\Programme\Bontago\Uninstall.exe
Bridge Building Game --> L:\Programme\Bridge Building Game\uninstall.exe
C4F Vista P2P Toolkit --> MsiExec.exe /X{5BBFB75A-992F-4C7D-A5D4-C45CC0A39CB3}
CABAL Online v3.3 --> "L:\Programme\Cabal\CABAL Online (Europe)\unins000.exe"
CamStudio --> L:\Programme\CamStudio\uninstall.exe
Canon Camera Access Library --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon G.726 WMP-Decoder --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\G726Decoder\G726DecUnInstall.ini"
CANON iMAGE GATEWAY Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon MovieEdit Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\ZoomBrowser EX\Program\MVWUninst.ini"
Canon PIXMA iP4000 --> C:\WINDOWS\system32\CNMCP64.exe "-PRINTERNAMECanon PIXMA iP4000" "-HELPERDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP4000 Installer\Inst2\cnmis.dll" "-RCDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP4000 Installer\Inst2\cnmi0407.dll"
Canon RAW Image Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon Utilities CameraWindow --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\CameraWindowLauncher\Uninst.ini"
Canon Utilities CameraWindow DC --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\CameraWindowDC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Utilities EOS Utility --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities MyCamera --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\MyCamera\Uninst.ini"
Canon Utilities MyCamera DC --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\MyCameraDC\Uninst.ini"
Canon Utilities PhotoStitch --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities RemoteCapture DC --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\RemoteCaptureDC\Uninst.ini"
Canon Utilities RemoteCapture Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
Canon ZoomBrowser EX Memory Card Utility --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.3.0.0\Uninst.exe" "L:\Programme\Canon\ZoomBrowser EX MCU\Uninst.ini"
CCleaner (remove only) --> "L:\Programme\CCleaner\uninst.exe"
CDDRV_Installer --> MsiExec.exe /I{8CC990CD-87C8-475C-AC32-8A7984E2FCFA}
CDex extraction audio --> "L:\Programme\CDex_170b2\uninstall.exe"
Cheat Engine 5.4 --> "L:\Programme\Cheat Engine\unins000.exe"
Colasoft Packet Builder 1.0 --> "L:\Programme\Colasoft Packet Builder 1.0\unins000.exe"
DebugMode Wax 2.0 --> "L:\Programme\Sonic Foundry\Vegas 4.0\uninst.exe"
DebugMode Wink --> "L:\Programme\DebugMode\Wink\uninst.exe"
Der Brockhaus multimedial --> "L:\Programme\Brockhaus Multimedia\Brockhaus multimedial\BMMUninst.exe" -init
Developer Express DXCore for Visual Studio .NET --> MsiExec.exe /I{9D1AB32D-AC8C-4867-850E-E665A5914936}
Developer Express Refactor! for Visual Basic --> MsiExec.exe /X{91793C2B-493A-4AC1-905F-19E3A6D4D888}
Dexpot 1.4 --> "L:\Programme\Dexpot\uninstall.exe"
Die Gilde 2 --> C:\WINDOWS\unvise32.exe L:\Programme\Die Gilde 2\uninstal.log
Die Gilde 2 - Back to the Roots Patch v1.1 --> "L:\Programme\Die Gilde 2 - Die Seeräuber der Hanse\unins000.exe"
Die Gilde 2 - Die Seeräuber der Hanse --> L:\Programme\Die Gilde 2 - Die Seeräuber der Hanse\uninstall.exe
DIE SIEDLER - Aufstieg eines Königreichs --> "C:\Programme\InstallShield Installation Information\{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}\setup.exe" -runfromtemp -l0x0007 -removeonly
DIE SIEDLER - Das Erbe der Könige (Alle Produkte) --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8FDC1610-3FB5-4EF2-A0D0-CEDC3A525A25}\setup.exe" -l0x7 -removeonly
Die Siedler II - Die nächste Generation --> "L:\Programme\Ubisoft\Funatics\Die Siedler II - Die nächste Generation\uninstall.exe"
DivX Codec --> L:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DVD Decrypter (Remove Only) --> "L:\Programme\DVD Decrypter\uninstall.exe"
DVD Shrink 3.2 deutsch --> "L:\Programme\DVD Shrink DE\unins000.exe"
Encyclopaedia Britannica 2007 Ultimate Reference Suite --> "L:\Programme\Britannica 7.0\Ultimate Reference Suite DVD\UninstallerData\Uninstall Encyclopaedia Britannica 2007 Ultimate Reference Suite.exe"
eXPert PDF 4 --> MsiExec.exe /X{A6E92CAB-9E63-46DC-8ABF-0CAFF7B7CD02}
Fischer Weltalmanach 2006 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{45E55CFF-A44A-4DD1-8BD4-D87026D3E480}
Fix My Registry v2.3 --> "L:\Programme\Smart PC Solutions\Fix My Registry\unins000.exe"
FMS --> L:\Programme\FMS\Uninstall.exe
Fotostory 3 für Windows --> MsiExec.exe /I{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}
Free Registry Defrag --> "L:\Programme\Registry Clean Expert\unins000.exe"
Freelancer --> "L:\Programme\Microsoft Games\Freelancer\UNINSTAL.EXE" /runtemp /addremove
Fritz 11 Service Pack --> MsiExec.exe /I{29683A39-3F1A-4E2A-8078-E3239C4B2023}
Fritz11 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1A637513-CC46-4C3B-8114-1E4F1D71CF42}\Setup.exe" -l0x7 -removeonly
Game Creators Dark GDK --> MsiExec.exe /I{8F014E72-8456-431B-A985-EBBBFEAE85ED}
GameJack 6 --> MsiExec.exe /X{A919AABD-61FA-4E16-0000-26966C3D2481}
GeoGebra 2.6b --> L:\Programme\GeoGebra\uninst.exe
Geogrid® DynPerspView --> C:\WINDOWS\IsUninst.exe -f"L:\Programme\Dornier GmbH\Geogrid DynPerspView\Uninst.isu"
GIMP 2.4.5 --> "C:\Programme\GIMP-2.0\setup\unins000.exe"
GMail Drive Shell Extension --> rundll32.exe C:\WINDOWS\system32\ShellExt\GMailFS.dll,Uninstall C:\WINDOWS\system32\ShellExt\GMailFS.inf
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
Google SketchUp 6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{98736A65-3C79-49EC-B7E9-A3C77774B0E6}\setup.exe" -l0x7 -removeonly
Google SketchUp 6 Exporters --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EB459C2F-41CA-4222-B9CA-F8EBA40B8DAB}\setup.exe" -l0x7 -removeonly
Google SketchUp LayOut 6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C12D609B-EB71-411B-82C3-9BE6D40435D7}\setup.exe" -l0x7 -removeonly
Google SketchUp Pro 6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{12E75B98-8463-4C1F-8DDA-F6CF31566A55}\setup.exe" -l0x7 -removeonly
Google Talk (remove only) --> "C:\Programme\Google\Google Talk\uninstall.exe"
GPL Ghostscript 8.60 --> L:\Programme\gs\uninstgs.exe "L:\Programme\gs\gs8.60\uninstal.txt"
GPL Ghostscript Fonts --> L:\Programme\gs\uninstgs.exe "L:\Programme\gs\fonts\uninstal.txt"
GTK+ 2.8.18-1 runtime environment --> "L:\Programme\GTK\2.0\unins000.exe"
Historical Monuments --> MsiExec.exe /I{B02C501A-AD2D-4E4D-ABAC-2F9537A52670}
HP USB Disk Storage Format Tool --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}\Setup.exe" -l0x9
IBM ViaVoice Pro 10.5 - Deutsch --> "C:\Programme\ViaVoice\Bin\uninst_GR.exe" DeleteProdVVFW105Full_GR
IcoFX 1.5.01 --> "C:\Programme\IcoFX 1.5\unins000.exe"
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
Indeo® Software --> C:\WINDOWS\IsUninst.exe -fL:\Programme\Ligos\Indeo\Uninst.isu -c"L:\Programme\Ligos\Indeo\Indeo System Files\indounin.dll"
Inkscape 0.45.1 --> "L:\Programme\Inkscape\uninst.exe"
innotek VirtualBox --> MsiExec.exe /I{B59FE77B-738F-4F1C-AB48-3104895AF676}
Intel(R) Management Engine Interface --> C:\WINDOWS\system32\heciudlg.exe -uninstall
IPIX ActiveX Viewer --> C:\WINDOWS\Unwise.exe /a C:\WINDOWS\occache\IPIXActX.log
IPIX Netscape Plugin Viewer --> C:\WINDOWS\Unwise.exe /a C:\WINDOWS\IPIXNets.log
IPIX Viewer --> C:\WINDOWS\Unwise.exe /a C:\PROGRA~2\IPIX\IPIXVI~1\IPIXVwr.log
IZArc 3.8 --> "L:\Programme\IZArc\unins000.exe"
J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
JMB36X Raid Configurer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x7 -removeonly
KhalSetup --> MsiExec.exe /I{C89C8D86-4423-4A58-AA40-DD259ACE07C1}
KnightShift --> L:\PROGRA~1\Reality Pump\KnightShift\Unwise.exe L:\PROGRA~1\Reality Pump\KnightShift\install.log
Language Engineering Power Translator --> MsiExec.exe /I{4DBC9CA8-D0E3-40E1-8E7A-AB1F5740F90C}
Latein - Trainer --> L:\PROGRA~1\Franzis\LATEIN~1\UNWISE.EXE L:\PROGRA~1\Franzis\LATEIN~1\INSTALL.LOG
LilyPond --> "L:\Programme\LilyPond\uninstall.exe"
LingoMAXX --> L:\PROGRA~1\LINGOM~1\UNWISE32 L:\PROGRA~1\LINGOM~1\INSTALL.LOG
Logitech SetPoint --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe" -l0x7 -removeonly
Marvell Miniport Driver --> MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
MDL Chime/Chime Pro for Internet Explorer --> C:\WINDOWS\IsUninst.exe -f"C:\Programme\Internet Explorer\Plugins\chime26.isu"
Microsoft Age of Empires II --> "L:\Programme\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Age of Empires II: The Conquerors Expansion --> "L:\Programme\Microsoft Games\Age of Empires II\UNINSTALX.EXE" /runtemp /addremove
Microsoft Encarta 2007 – Lernen und Wissen --> MsiExec.exe /I{07101881-E9B4-4DF6-A845-CAAFD093E477}
Microsoft Mathe --> MsiExec.exe /I{07103840-959A-4B0D-8825-2C533F0DDB19}
Microsoft Network Monitor 3.1 --> MsiExec.exe /I{BDF820F3-79A6-4ACF-B910-43B26BB894CC}
Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Converter Pack --> MsiExec.exe /X{6EECB283-E65F-40EF-86D3-D51BF02A8D43}
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Professional 2007-Testversion --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROR /dll OSETUP.DLL
Microsoft Office Professional 2007 --> MsiExec.exe /X{91120000-0014-0000-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 2007 --> MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 2007 --> MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
Microsoft Office Visual Web Developer 2007 --> MsiExec.exe /X{90120000-0021-0000-0000-0000000FF1CE}
Microsoft Office Visual Web Developer MUI (English) 2007 --> MsiExec.exe /X{90120000-0021-0409-0000-0000000FF1CE}
Microsoft Office Visual Web Developer MUI (German) 2007 --> MsiExec.exe /X{90120000-0021-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Plus! Dancer LE --> MsiExec.exe /X{1A103D70-5C9B-4E1A-B306-5106C68F9914}
Microsoft Silverlight --> MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 --> "L:\Programme\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server 2005 Express Edition (MDSS_DB) --> MsiExec.exe /I{2AFFFDD7-ED85-4A90-8C52-5DA9EBDC9B8F}
Microsoft SQL Server 2005 Express Edition (SQLEXPRESS) --> MsiExec.exe /I{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}
Microsoft SQL Server Compact 3.5 Design Tools DEU --> MsiExec.exe /X{E32260E7-0B10-43C7-9B77-AB9F4184676D}
Microsoft SQL Server Compact 3.5 DEU --> MsiExec.exe /I{159098AF-4EB8-4C10-B0C6-24CDA32B45F9}
Microsoft SQL Server Database Publishing Wizard 1.2 --> MsiExec.exe /X{9A33B83D-FFC4-44CF-BEEF-632DECEF2FCD}
Microsoft SQL Server Native Client --> MsiExec.exe /I{BF251EAF-8697-4E89-BF09-C998F97BBC40}
Microsoft SQL Server VSS Writer --> MsiExec.exe /I{1CBE3804-20DF-48DA-B048-895C206E80A5}
Microsoft Virtual PC 2007 --> MsiExec.exe /X{8A7CAA24-7B23-410B-A7C3-F994B0944160}
Microsoft Visual Basic 2008 Express Edition - DEU --> C:\Programme\Microsoft Visual Studio 9.0\Microsoft Visual Basic 2008 Express Edition - DEU\setup.exe
Microsoft Visual Basic 2008 Express Edition - DEU --> MsiExec.exe /X{56403FFF-145E-35C5-A090-96598BE57FB8}
Microsoft Visual C# 2008 Express Edition - DEU --> C:\Programme\Microsoft Visual Studio 9.0\Microsoft Visual C# 2008 Express Edition - DEU\setup.exe
Microsoft Visual C# 2008 Express Edition - DEU --> MsiExec.exe /X{52061908-F94F-3D78-AA50-B956039C845D}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Samples --> MsiExec.exe /I{579CB8A1-9966-4223-943F-05B3CF84C841}
Microsoft Visual Studio Web Authoring Component --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall VISUALWEBDEVELOPER /dll OSETUP.DLL
Microsoft Visual Web Developer 2008 Express Edition - DEU --> C:\Programme\Microsoft Visual Studio 9.0\Microsoft Visual Web Developer 2008 Express Edition - DEU\setup.exe
Microsoft Visual Web Developer 2008 Express Edition - DEU --> MsiExec.exe /X{767C4C31-E01D-38F3-B940-593CECB9EC68}
Microsoft Windows SDK for Visual Studio 2008 Express Tools for .NET Framework --> MsiExec.exe /X{B4C0A315-07FB-39F9-85CD-8CE20C019350}
Microsoft Windows SDK for Visual Studio 2008 Express Tools for Web --> MsiExec.exe /X{3C7EEEC3-464F-3FE9-8795-3CC8B4EAD82A}
Microsoft Windows SDK for Visual Studio 2008 Express Tools for Win32 --> MsiExec.exe /X{07FCBED5-94C3-4F94-B9D3-360FA27C7B06}
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries --> MsiExec.exe /X{842FAF7C-50EF-4463-9B8F-6222E1384D7D}
Microsoft Windows Theme Nunavut --> MsiExec.exe /X{047815FB-4E38-42D5-95CB-8A131DDD8668}
Microsoft XNA Game Studio Express 1.0 Refresh --> MsiExec.exe /I{152F8595-0D36-4BE4-9FBD-5AD87AC3D3E5}
Miranda IM 0.7.3 --> L:\Programme\Miranda IM\uninstall.exe
Mozilla Firefox (3.0b4) --> L:\Programme\Mozilla Firefox 3 Beta 3\uninstall\helper.exe
MSDN Library für Microsoft Visual Studio 2008 Express Editions --> C:\Programme\Microsoft Visual Studio 9.0\MSDN Library for Microsoft Visual Studio 2008 Express Editions\install.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Norton 360 --> MsiExec.exe /I{63A6E9A9-A190-46D4-9430-2DB28654AFD8}
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Office-Bibliothek 4.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{54971F17-9D16-4D43-95D6-3A86E3D20EDB}\setup.exe" -uninst
OpenOffice.org 2.3 --> MsiExec.exe /I{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}
Orbit Downloader --> "L:\Programme\Orbitdownloader\unins000.exe"
Paint.NET v3.22 --> MsiExec.exe /X{96C267DA-0926-4C11-B4E7-4D3EF85130D0}
PSPad editor --> "L:\Programme\PSPad editor\Uninst\unins000.exe"
PyQt GPL v4.3.3 --> "C:\Programme\PyQt4\Uninstall.exe"
Python 2.5.1 --> MsiExec.exe /I{31800004-6386-4999-A519-518F2D78D8F0}
QuarkXPress Passport 5.0 --> MsiExec.exe /I{A7BF5297-3E74-11D5-B00F-00104B398D77}
QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{929408E6-D265-4174-805F-81D1D914E2A4} /l1031
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Recuva (remove only) --> "L:\Programme\Recuva\uninst.exe"
ResEdit (remove only) --> "C:\Programme\TGTSoft\ResEdit\ResEdit-uninstall.exe"
Rhapsody Player Engine --> MsiExec.exe /I{2DFF31F9-7893-4922-AF66-C9A1EB4EBB31}
Schülerlexikon 2007 --> L:\PROGRA~1\SCHLER~1\UNWISE.EXE L:\PROGRA~1\SCHLER~1\INSTALL.LOG
SciTE4AutoIt3 8-3-2008 --> L:\Programme\AutoIt3\SciTE\uninst.exe
Scribus 1.3.4 --> L:\Programme\Scribus 1.3.4\uninst.exe
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Excel 2007 (KB946974) --> msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E}
Security Update for Office 2007 (KB947801) --> msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E}
Security Update for Outlook 2007 (KB946983) --> msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
SharpDevelop 2.2 --> MsiExec.exe /I{7C192D21-DFB3-4F1F-9F06-A6C3D3AE1B85}
Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~2\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~2\Install.log
SkinCrafter Installer 2.6.1 --> MsiExec.exe /I{D4EBCF93-260A-4412-82C8-E4F5EC95696F}
SkinCrafter.Net VS2005 Light v2.6.2 --> MsiExec.exe /I{30CB8911-52C6-46EA-A7B1-A1D6B5D45D1B}
SmartFTP Client --> MsiExec.exe /I{C169D3BB-9A27-43F5-9979-09A0D65FE95C}
SmartFTP Client 2.5 Setup Files (remove only) --> C:\Programme\SmartFTP Client 2.5 Setup Files\uninst-sftp.exe
SoundMAX --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x7 -removeonly
SpreadsheetGear for .NET 2007 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{316CFFF1-84BA-493A-9976-E0196BB8D2B5}\setup.exe" -l0x9 -removeonly
Star Trek Armada II --> C:\WINDOWS\IsUn0407.exe -f"L:\Programme\Activision\Star Trek Armada II\STA2.isu"
Starships Unlimited Divided Galaxies v2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "L:\Programme\InstallShield Installation Information\{E8A45707-9A63-4291-8710-0BF65C7B5641}\setup.exe" -l0x7
SuperTux 0.1.3 --> L:\Programme\SuperTux\unins000.exe
TansuTCP 2.1 --> L:\PROGRA~1\TansuTCP\UNWISE.EXE L:\PROGRA~1\TansuTCP\INSTALL.LOG
TeamSpeak 2 RC2 --> L:\Programme\Teamspeak2_RC2\unins000.exe
Text-To-Speech-Runtime --> MsiExec.exe /X{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}
TL-WN620G Driver & Utility Installation Program --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x9
Tools für Microsoft SQL Server 2005 Express Edition --> MsiExec.exe /I{BBAAAD82-6242-420F-86D4-BD72BB5E6C86}
TrackMania Nations ESWC 0.1.7.5 --> "L:\Programme\TrackMania Nations ESWC\unins000.exe"
Trendyflash Intro Builder --> MsiExec.exe /I{FAABBD76-5CCC-4B6B-AE11-FAD09ED5B63A}
Trendyflash Site Builder --> MsiExec.exe /I{EDB6FE69-9FC4-4292-A71C-DFCA3D11A86C}
Ulead PhotoImpact XL --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DDDE141-9696-4E33-AB82-EF398169D7E5}\usetup.exe" -l0x7
Universal SCSI Controller --> MsiExec.exe /I{35A501AD-C538-4286-9A45-AAF5514A482D}
Unlocker 1.8.5 --> L:\Programme\Unlocker\uninst.exe
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) --> MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F}
Update for Outlook 2007 Junk Email Filter (kb947945) --> msiexec /package {91120000-0014-0000-0000-0000000FF1CE} /uninstall {E397056B-7AE5-4FF1-8B13-276BF8201847}
VideoLAN VLC media player 0.8.6 --> L:\Programme\VideoLAN\VLC\uninstall.exe
Werkzeuge und Vorlagen für Microsoft Office --> MsiExec.exe /X{B348E585-E872-41DF-8234-E2D49917CFBB}
Windows Installer Clean Up --> MsiExec.exe /X{121634B0-2F4B-11D3-ADA3-00C04F52DD52}
Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinHTTrack Website Copier 3.41-3 --> "L:\Programme\WinHTTrack\unins000.exe"
Wise Disk Cleaner 2.9.1 --> "L:\Programme\Wise Disk Cleaner\unins000.exe"
Wise Registry Cleaner 2.9.5 --> "L:\Programme\Wise Registry Cleaner\unins000.exe"
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->
XP-Clean --> MsiExec.exe /I{95F48480-6D51-49A5-BFC3-7D8043AC5386}


-- Application Event Log -------------------------------------------------------

Event Record #/Type41824 / Error
Event Submitted/Written: 03/26/2008 10:19:10 AM
Event ID/Source: 3002 / LoadPerf
Event Description:
Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist ?
7 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Event Record #/Type41822 / Error
Event Submitted/Written: 03/26/2008 10:17:48 AM
Event ID/Source: 3002 / LoadPerf
Event Description:
Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist ?
7 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Event Record #/Type41781 / Error
Event Submitted/Written: 03/26/2008 10:15:10 AM
Event ID/Source: 3409 / MSSQL$SQLEXPRESS
Event Description:
Fehler beim Einrichten des gemeinsam genutzten Speicherbereichs für Leistungsindikatoren. Fehlercode: -1. Installieren Sie 'sqlctr.ini' für diese Instanz neu, und stellen Sie sicher, dass das Anmeldekonto der Instanz über die richtigen Registrierungsberechtigungen verfügt.

Event Record #/Type41780 / Error
Event Submitted/Written: 03/26/2008 10:15:10 AM
Event ID/Source: 8313 / MSSQL$SQLEXPRESS
Event Description:
Fehler beim Zuordnen von Indizes und Namen für SQL Server-Leistungsobjekte/Leistungsindikatoren. SQL Server-Leistungsindikatoren sind deaktiviert.

Event Record #/Type41764 / Warning
Event Submitted/Written: 03/26/2008 10:15:02 AM
Event ID/Source: 3 / SQLBrowser
Event Description:
The configuration of the AdminConnection\TCP protocol in the SQL instance MDSS_DB is not valid.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type71460 / Error
Event Submitted/Written: 03/26/2008 01:32:36 PM
Event ID/Source: 1 / sr
Event Description:
Beim Verarbeiten der Datei "desktop.ini" auf Volume "HarddiskVolume3" ist im Wiederherstellungsfilter der unerwartete Fehler "0xC000007F" aufgetreten. Die Volumeüberwachung wurde angehalten.

Event Record #/Type71456 / Error
Event Submitted/Written: 03/26/2008 11:41:04 AM
Event ID/Source: 8003 / MRxSmb
Event Description:
Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "SCHNITZBAUERLAP",
der der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{CF894E08-B63-Transport zu sein scheint.
Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.

Event Record #/Type71448 / Warning
Event Submitted/Written: 03/26/2008 10:16:11 AM
Event ID/Source: 825 / Rasman
Event Description:
Der NAP-Erzwingungsclient (Network Access Protection) konnte sich nicht beim NAPAgent-Dienst (Network Access Protection Agent) registrieren. Einige Netzwerkdienste oder -ressourcen sind möglicherweise nicht verfügbar. Wenn das Problem weiterhin besteht, trennen Sie die RAS-Verbindung, und stellen Sie sie anschließend erneut her, oder wenden Sie sich an den Administrator des RAS-Servers.

Event Record #/Type71447 / Error
Event Submitted/Written: 03/26/2008 10:16:11 AM
Event ID/Source: 10016 / DCOM
Event Description:
Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Startberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{DCBCA92E-7DBE-4EDA-8B7B-3AAEA4DD412B}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Event Record #/Type71432 / Error
Event Submitted/Written: 03/26/2008 10:16:09 AM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "Abel" wurde aufgrund folgenden Fehlers nicht gestartet:
%%3



-- End of Deckard's System Scanner: finished at 2008-03-26 13:33:33 ------------

Vinschni

#8 «««
http://www.virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Brq66

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

vds
vaxscsi
uscbs109
uscsc109
vax347b
vax347s
__________
MfG Sabina

rund um die PC-Sicherheit

#9 daas sieht ja wild aus
nun denn ..kommt noch mehr ?
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ich habe alle Zeichenketten, die du gepostet hast, durchgejagt, mit dem Ergebnis.
Was meinst du mit: "kommt noch mehr"?

Mit freundlichem Gruß,

Vinschni

#11 so finde ich mich nicht zurecht, also bitte einzeln:

«««
http://www.virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Brq66

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Ok, sorry
Bei der einzelnen Suche war der Text zu lang um ihn zu posten

Ich habs im Anhang

Vinschni

PS: Es würde die Übersichtlichkeit drastisch erhöhen, wenn ich Spoiler verwenden könnte; dann würde der Text auch nicht zu lang sein.

#13 ««

Combofix
erstelle eine neue cfscript.txt , dann wie gehabt anwenden

Zitat

KILLALL::

Driver::
Brq66

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BRQ66]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BRQ66\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Brq66]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Brq66\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\SafeBoot\Minimal\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\SafeBoot\Network\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Minimal\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\SafeBoot\Network\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Brq66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Brq66.sys]

File::
C:\WINDOWS\system32\drivers\Brq66.sys

poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hier das Log:

Zitat

aComboFix 08-03-25.4 - Peter 2008-03-26 15:23:46.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1634 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Peter\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\drivers\Brq66.sys
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 13:31 . 2008-03-26 13:31 <DIR> d-------- C:\Deckard
2008-03-26 09:42 . 2008-03-26 09:42 53,629 --a------ C:\catchme2008-03-26_100405.64.zip
2008-03-26 09:20 . 2008-03-26 09:20 15,334 --a------ C:\catchme2008-03-26_ 93808.01.zip
2008-03-25 14:54 . 2008-03-25 14:54 <DIR> d--h----- C:\WINDOWS\PIF
2008-03-24 21:32 . 2008-03-24 21:32 <DIR> d-------- C:\Programme\Microsoft Network Monitor 3
2008-03-24 21:24 . 2008-03-24 21:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Colasoft Shared
2008-03-24 21:24 . 2008-03-24 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Colasoft Packet Builder
2008-03-24 14:04 . 2008-03-24 14:04 <DIR> d-------- C:\Programme\Microsoft Works
2008-03-24 13:07 . 2008-03-24 13:07 <DIR> d-------- C:\Programme\Beep Komponist
2008-03-22 09:16 . 2008-03-22 09:16 <DIR> d-------- C:\Programme\uTorrent
2008-03-22 09:16 . 2008-03-24 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\uTorrent
2008-03-21 15:14 . 2008-03-21 15:14 17,408 --a------ C:\psapi.dll
2008-03-20 17:05 . 2008-03-20 17:05 <DIR> d-------- C:\Programme\Paint.NET
2008-03-19 19:02 . 2008-03-19 19:03 <DIR> d-------- C:\Programme\Windows Live
2008-03-19 13:34 . 2008-03-19 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\C4F_P2PWPFControls\bin
2008-03-15 10:17 . 2008-03-15 10:17 <DIR> d-------- C:\WINDOWS\royale_noir
2008-03-12 19:01 . 2008-03-26 14:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-12 19:01 . 2008-03-12 19:01 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-11 17:22 . 2008-03-11 17:22 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2008-03-11 16:03 . 2008-03-11 16:03 <DIR> d-------- C:\Programme\Windows Installer Clean Up
2008-03-11 16:03 . 2008-03-11 16:03 <DIR> d-------- C:\Programme\MSECACHE
2008-03-06 20:46 . 2008-03-06 20:46 <DIR> d-------- C:\WINDOWS\system32\AsBackup
2008-03-06 20:44 . 2008-03-06 20:44 44,009 --a------ C:\WINDOWS\system32\PUXPPLAT.UND
2008-03-06 20:21 . 2008-03-06 20:21 626 --a------ C:\WINDOWS\BeatBox.INI
2008-03-06 20:20 . 2008-03-06 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\MAGIX
2008-03-06 20:20 . 2008-03-06 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-06 20:19 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-06 20:18 . 2008-03-06 20:50 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-03-06 20:18 . 2007-12-04 14:20 700,416 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-06 20:18 . 2008-03-06 20:20 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-06 20:17 . 2008-03-06 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-03-05 17:41 . 2008-03-05 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-03 20:59 . 2008-03-25 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\.gimp-2.4
2008-03-03 20:58 . 2008-03-03 20:58 <DIR> d-------- C:\Programme\GIMP-2.0
2008-03-01 14:06 . 2008-03-06 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\WebSpeech.4.0
2008-03-01 14:06 . 2008-03-06 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-03-01 14:06 . 2008-03-01 14:06 159,744 --a------ C:\WINDOWS\LgxSetup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 14:22 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\OpenOffice.org2
2008-03-24 20:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-20 19:01 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ChessBase
2008-03-20 16:06 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\gtk-2.0
2008-03-19 18:03 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-19 18:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-17 10:58 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-11 16:23 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-03-11 16:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-11 15:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-08 14:58 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-03-08 13:33 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-06 19:45 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Orbit
2008-02-25 19:21 --------- d-----w C:\Programme\SmartFTP Client 2.5 Setup Files
2008-02-25 19:21 --------- d-----w C:\Programme\SmartFTP Client
2008-02-25 15:41 --------- d-----w C:\Programme\RADVideo
2008-02-24 19:41 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Inkscape
2008-02-24 08:17 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\CameraWindowDC
2008-02-24 08:00 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\teamspeak2
2008-02-22 18:58 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd5085.sys
2008-02-20 19:04 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ZoomBrowser EX
2008-02-18 13:04 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-02-16 13:40 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Anvil Studio
2008-02-10 19:39 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Engelmann Media
2007-05-13 11:48 570 -c--a-w C:\Dokumente und Einstellungen\Peter\jdraw.v1.1.5.dat
2004-03-01 12:25 114,688 -c--a-w C:\Programme\internet explorer\plugins\ChimeShim.dll
2007-02-03 12:19 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.

((((((((((((((((((((((((((((( snapshot@2008-03-26_10.10.03.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-26 14:27:04 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_4dc.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-12-01 02:48 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-07-20 06:04 847872]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-07-12 10:47 352256]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"ACU"="L:\Programme\TP-LINK\TL-WN620G\TWCU.exe" [2005-05-30 15:02 327680]
"avast!"="C:\Programme\Alwil Software\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Ashampoo FireWall"="C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 14:57 3251800]
"SoundMax"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 08:12 729088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-01 02:48 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 19:48 434528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
"DisableCAD"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoStrCmpLogical"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"AllowLegacyWebView"= 0 (0x0)
"AllowUnhashedWebView"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"L:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\Google\\Google Talk\\googletalk.exe"=
"C:\\Programme\\ViaVoice\\Bin\\audmig.exe"=
"C:\\Programme\\ViaVoice\\Bin\\engine.exe"=
"C:\\Programme\\ViaVoice\\Bin\\dme.exe"=
"C:\\Programme\\ViaVoice\\Bin\\smart.exe"=
"C:\\Programme\\ViaVoice\\Bin\\options.exe"=
"C:\\Programme\\ViaVoice\\Bin\\miguser.exe"=
"C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vocabexp.exe"=
"C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\chkmsaa.exe"=
"C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"=
"C:\\Programme\\ViaVoice\\Bin\\macroeditor.exe"=
"C:\\Programme\\ViaVoice\\Bin\\msaadmn.exe"=
"C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"=
"C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"=
"C:\\Programme\\ViaVoice\\Bin\\voicepad.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vtdirect.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vtperdic.exe"=
"C:\\Programme\\ViaVoice\\Bin\\vati.exe"=
"C:\\Programme\\ViaVoice\\Bin\\whatcanisay.exe"=
"L:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"L:\\Programme\\Miranda IM\\miranda32.exe"=
"L:\\Programme\\LittleFighter2\\LF2_v1.9c\\lf2.exe"=
"L:\\Programme\\Mozilla Firefox 3 Beta 3\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"L:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"L:\\Programme\\TansuTCP\\TansuTCPTrace.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

R0 RRamdisk;Ramdisk Driver;C:\WINDOWS\system32\DRIVERS\rramdisk.sys [2003-12-09 09:04]
R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-10-18 08:55]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-10-18 08:55]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-09-28 12:51]
R2 MSSQL$MDSS_DB;SQL Server (MDSS_DB);"L:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe" -sMDSS_DB []
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-09-28 12:51]
R3 RimSerPort;RIM Virtual Serial Port;C:\WINDOWS\system32\DRIVERS\RimSerial.sys [2005-08-16 12:02]
R3 uscbs109;uscbs109;C:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-22 00:00]
R3 uscsc109;uscsc109;C:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-22 00:00]
S3 AR5523;TP-LINK TL-WN620G 11G Wireless Adapter Service;C:\WINDOWS\system32\DRIVERS\TL-WN620G.sys [2004-09-28 08:07]
S3 ATHFMWDL;TP-LINK USB Wireless Adapter Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys [2004-09-11 03:52]
S3 BioNT_BS;BioNT_BS;C:\Programme\Paragon Software\Total Defrag 2007\bluescrn\BioNT_bs.sys []
S3 CSNPD51;CSNPD51 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\CSNPD51.sys [2007-10-17 17:04]
S3 CSNPD51a64;CSNPD51a64 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\CSNPD51a64.sys []
S3 PORTMON;PORTMON;C:\Dokumente und Einstellungen\Peter\Desktop\SysinternalsSuite\PORTMSYS.SYS []
S3 SQLWriter;SQL Server VSS Writer;"L:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 01:53]
S3 VBoxUSB;VirtualBox USB;C:\WINDOWS\system32\Drivers\VBoxUSB.sys [2007-10-18 08:55]
S3 Wdm1;Vivanco USB Link Cable Driver;C:\WINDOWS\system32\Drivers\usbbc.sys [2002-11-18 07:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P]
\Shell\AutoRun\command - P:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f2ad0a7-f697-11dc-b198-000aeba6f793}]
\Shell\AutoRun\command - P:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 15:30:29
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\ASFWHide]
"ImagePath"="\??\C:\DOKUME~1\Peter\LOKALE~1\Temp\ASFWHide"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
L:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
L:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
L:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 15:32:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-26 14:32:02
ComboFix2.txt 2008-03-26 09:10:15
.
2008-03-24 20:41:21 --- E O F ---

Vinschni

#15 Hallo

Sophos Anti-Rootkit + berichte vom scan
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

scanne mit Bitdefender + poste den Report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit