SysKontroller verweist auf nicht vollständige Systemsicherheit |
||
---|---|---|
#0
| ||
30.05.2008, 23:37
...neu hier
Beiträge: 4 |
||
|
||
31.05.2008, 00:41
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo Eisbaer
1. scanne mit malwarebytes + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden poste das neue Log von Combofix + ein neues log von hijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2008, 12:27
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
erstmal danke für deine schnelle Antwort. hier der Malware-Report: Malwarebytes' Anti-Malware 1.14 Datenbank Version: 807 11:44:06 31.05.2008 mbam-log-5-31-2008 (11-41-34).txt Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|N:\|) Objekte gescannt: 113928 Scan Dauer: 35 minute(s), 35 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 3 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 3 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 8 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\nvrndggg.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\vtUNGYqQ.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\qoMccbxy.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtungyqq (Trojan.Vundo) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{48df5785-08ca-4d1d-b6c8-592bbcbe43ea} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{48df5785-08ca-4d1d-b6c8-592bbcbe43ea} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\6c84fe1b (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e1bc0aab-2c35-40df-8f1d-4fd437df432e} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM6fb7cd87 (Trojan.Agent) -> No action taken. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomccbxy -> No action taken. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\nvrndggg.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\vtUNGYqQ.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\qoMccbxy.dll (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Ivan Pljevljak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7SMFQ41Q\kb456456[1] (Trojan.Vundo) -> No action taken. C:\QooBox\Quarantine\C\WINDOWS\system32\fcccyVNF.dll.vir (Trojan.Vundo) -> No action taken. C:\QooBox\Quarantine\C\WINDOWS\system32\ydujiryi.dll.vir (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{D9951E6E-00E1-473F-86D1-483616286D41}\RP94\A0026879.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{D9951E6E-00E1-473F-86D1-483616286D41}\RP94\A0026882.dll (Trojan.Vundo) -> No action taken. neuer Combofix-Log: ComboFix 08-05-29.1 - Ivan Pljevljak 2008-05-31 12:09:47.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.716 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Ivan Pljevljak\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Ivan Pljevljak\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\BM6fb7cd87.txt C:\WINDOWS\BM6fb7cd87.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\gggdnrvn.ini C:\WINDOWS\system32\ivkvpfyb.dll C:\WINDOWS\system32\kmlyliiv.exe C:\WINDOWS\system32\nvrndggg.dll C:\WINDOWS\system32\qoMccbxy.dll C:\WINDOWS\system32\vtUNGYqQ.dll C:\WINDOWS\system32\yxbccMoq.ini C:\WINDOWS\system32\yxbccMoq.ini2 . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM6fb7cd87.txt C:\WINDOWS\BM6fb7cd87.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\gggdnrvn.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\qoMccbxy.dll C:\WINDOWS\system32\yxbccMoq.ini C:\WINDOWS\system32\yxbccMoq.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 )))))))))))))))))))))))))))))) . 2008-05-31 08:21 . 2008-05-31 08:21 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Malwarebytes 2008-05-31 08:20 . 2008-05-31 08:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-31 08:20 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-31 08:20 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-30 21:58 . 2008-05-30 21:58 <DIR> d-------- C:\Programme\Avira 2008-05-30 21:58 . 2008-05-30 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-30 20:11 . 2008-05-30 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Grisoft 2008-05-30 20:11 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-05-30 20:10 . 2008-05-30 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax fr FRITZ!Box 2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch 2008-05-30 06:35 . 2002-01-05 12:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll 2008-05-30 06:35 . 1999-09-09 11:28 446,464 --a------ C:\WINDOWS\system32\HHActiveX.dll 2008-05-30 06:35 . 2003-11-26 11:18 49,152 --a------ C:\WINDOWS\system32\FritzPort.dll 2008-05-30 06:35 . 2004-12-03 13:46 49,152 --a------ C:\WINDOWS\system32\FritzColorPort.dll 2008-05-30 06:35 . 2003-11-27 15:36 36,864 --a------ C:\WINDOWS\system32\Fridru32.dll 2008-05-29 21:53 . 2008-05-29 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3 2008-05-29 19:52 . 2008-05-29 19:52 <DIR> d--hs---- C:\WINDOWS\ftpcache 2008-05-29 19:51 . 2008-05-31 08:18 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\U3 2008-05-29 18:47 . 2008-05-29 18:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-05-29 18:43 . 2008-05-01 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-05-29 18:43 . 2008-05-30 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-05-29 18:43 . 2008-05-29 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-05-29 18:43 . 2008-05-29 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-05-28 05:58 . 2008-05-28 05:58 <DIR> d-------- C:\Programme\HP 2008-05-28 05:58 . 2008-05-28 05:58 214 --a------ C:\WINDOWS\HP_48BitScanUpdatePatch.ini 2008-05-27 06:07 . 2008-05-27 06:12 19,554 --a------ C:\WINDOWS\hpoins01.dat 2008-05-27 06:07 . 2003-04-22 15:10 16,606 --------- C:\WINDOWS\hpomdl01.dat 2008-05-27 06:01 . 2008-05-27 06:01 <DIR> d-------- C:\WINDOWS\system32\NtmsData 2008-05-27 05:56 . 2008-05-27 05:56 <DIR> d-------- C:\temp\HP All-in-One Series Web Release 2008-05-26 21:44 . 2008-05-26 21:49 35,480 --ah----- C:\hpothb07.tif 2008-05-26 21:44 . 2008-05-26 21:51 798 --ah----- C:\hpothb07.dat 2008-05-26 21:04 . 2008-05-26 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Hewlett-Packard 2008-05-24 19:11 . 2008-05-29 06:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\UseNeXT 2008-05-24 18:56 . 2008-05-24 19:36 50 --a------ C:\WINDOWS\MegaManager.INI 2008-05-24 18:49 . 2008-05-24 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Megaupload 2008-05-23 19:44 . 2008-05-23 19:44 <DIR> d-------- C:\Programme\Ontrack 2008-05-23 18:22 . 2008-05-23 18:22 224 --a------ C:\WINDOWS\system32\9B13A86D.plf 2008-05-23 17:58 . 2008-05-23 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations 2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys 2008-05-18 07:28 . 2008-05-18 07:29 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\OpenOffice.org2 2008-05-18 06:08 . 2008-05-18 06:08 <DIR> d-------- C:\WINDOWS\Sun 2008-05-17 21:22 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-05-17 21:21 . 2008-05-18 07:26 <DIR> d-------- C:\Programme\Java 2008-05-17 21:17 . 2008-05-17 21:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-05-17 06:54 . 2008-05-17 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Nokia Multimedia Player 2008-05-13 20:41 . 2008-05-13 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Itsth 2008-05-13 20:13 . 2008-05-13 20:15 <DIR> d--h-c--- C:\WINDOWS\ie8 2008-05-12 12:16 . 2008-05-12 12:16 1,188 --a------ C:\WINDOWS\mozver.dat 2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\system32\de 2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\l2schemas 2008-05-12 10:21 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll 2008-05-12 10:21 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll 2008-05-12 10:21 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll 2008-05-12 10:21 . 2008-04-14 04:23 32,768 --------- C:\WINDOWS\system32\setupn.exe 2008-05-12 10:21 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys 2008-05-12 10:19 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll 2008-05-12 10:18 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll 2008-05-12 09:32 . 2008-05-12 10:56 2,608 --a------ C:\WINDOWS\system32\d3d9caps.dat 2008-05-12 09:31 . 2008-05-12 09:31 100,864 --a------ C:\WINDOWS\system32\drivers\avmaura.sys 2008-05-12 09:03 . 2008-05-30 06:55 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ! 2008-05-12 09:02 . 2008-05-12 09:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM 2008-05-11 18:35 . 2004-10-12 12:04 376,832 --------- C:\WINDOWS\system32\Ncs2DMIX.dll 2008-05-11 18:35 . 2004-09-16 03:15 372,736 --------- C:\WINDOWS\system32\NcsCoLib.dll 2008-05-11 18:35 . 2004-09-23 03:34 249,856 --------- C:\WINDOWS\system32\Accesor.dll 2008-05-11 18:35 . 2004-12-21 17:11 135,168 --------- C:\WINDOWS\system32\PRONtObj.dll 2008-05-11 18:35 . 2004-09-16 03:34 126,976 --------- C:\WINDOWS\system32\Ncs2InstUtility.dll 2008-05-11 18:35 . 2004-12-21 17:11 110,592 --a------ C:\WINDOWS\system32\drivers\ianswxp.sys 2008-05-11 18:35 . 2004-12-21 17:11 81,920 --------- C:\WINDOWS\system32\drivers\iansmsg.dll 2008-05-11 18:35 . 2004-08-05 12:30 19,456 --------- C:\WINDOWS\system32\drivers\iqvw32.sys 2008-05-11 18:35 . 2004-12-21 17:11 1,902 --------- C:\WINDOWS\system32\SetupBD.din 2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a------ C:\WINDOWS\system32\drivers\e100b325.sys 2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys 2008-05-11 18:34 . 2004-12-21 17:11 122,880 --a------ C:\WINDOWS\system32\Prounstl.exe 2008-05-11 18:34 . 2004-12-21 17:11 24,576 --a------ C:\WINDOWS\system32\e100bmsg.dll 2008-05-11 18:34 . 2004-12-21 17:11 19,968 --a------ C:\WINDOWS\system32\IntelNic.dll 2008-05-11 18:34 . 2004-12-21 17:11 5,110 --a------ C:\WINDOWS\system32\e100b325.din 2008-05-11 08:50 . 2008-05-11 08:50 <DIR> d--h----- C:\WINDOWS\PIF 2008-05-11 06:49 . 1999-06-18 23:49 165,888 --a------ C:\WINDOWS\Ckconfig.exe 2008-05-11 06:49 . 2006-03-01 03:10 69,632 --a------ C:\WINDOWS\system32\Crypserv.exe 2008-05-11 06:49 . 2006-01-10 04:47 31,846 --a------ C:\WINDOWS\system32\Ckldrv.sys 2008-05-11 06:49 . 1996-05-03 19:21 27,648 -ra------ C:\WINDOWS\Setup_ck.exe 2008-05-11 06:49 . 1996-05-03 17:36 18,432 --a------ C:\WINDOWS\Setup_ck.dll 2008-05-11 06:49 . 1995-07-04 20:33 11,776 --a------ C:\WINDOWS\Ckrfresh.exe 2008-05-11 06:49 . 2008-05-11 06:49 1,680 --a------ C:\WINDOWS\system32\esnecil.nlp 2008-05-11 06:49 . 2008-05-11 16:28 1,680 --a------ C:\WINDOWS\system32\esnecil.ind 2008-05-11 06:49 . 2008-05-11 06:49 67 --a------ C:\WINDOWS\Crypkey.ini 2008-05-11 06:49 . 2008-05-11 06:49 4 --a------ C:\WINDOWS\vx86036.dat 2008-05-10 07:43 . 2008-05-10 07:43 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\InstallShield 2008-05-10 06:17 . 2008-05-10 06:17 36,864 --a------ C:\WINDOWS\system32\BGData.bin 2008-05-07 06:36 . 2008-05-23 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\The Bat! 2008-05-07 06:35 . 2008-05-07 19:04 <DIR> d-------- C:\Programme\The Bat! 2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Japler 2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Japler 2008-05-06 21:55 . 2002-07-17 16:03 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2008-05-06 21:55 . 2002-07-17 15:05 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS 2008-05-06 21:42 . 2008-05-06 22:01 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF 2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF 2008-05-06 20:52 . 2008-05-06 20:57 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Aid4Mail 2008-05-06 06:39 . 2008-05-11 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\AdobeUM 2008-05-04 19:24 . 2005-12-12 17:27 19,072 --a------ C:\WINDOWS\system32\drivers\PS2.sys 2008-05-04 19:23 . 2008-05-27 05:56 <DIR> d-------- C:\temp 2008-05-04 19:23 . 2008-05-04 19:23 <DIR> d-------- C:\HP 2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\Programme\Compaq 2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\i386 2008-05-04 18:11 . 2002-03-05 15:45 6,864 --a------ C:\WINDOWS\system32\drivers\eabfiltr.sys 2008-05-04 18:11 . 2002-01-28 16:43 5,168 --a------ C:\WINDOWS\system32\drivers\EabUsb.sys 2008-05-04 18:10 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe 2008-05-04 09:47 . 2008-05-11 18:35 <DIR> d-------- C:\Programme\Intel 2008-05-04 09:35 . 2006-12-28 01:02 4,352 -ra------ C:\WINDOWS\system32\drivers\avmeject.sys 2008-05-04 09:29 . 2008-05-04 09:29 <DIR> d-------- C:\Programme\Analog Devices 2008-05-04 06:10 . 2008-05-04 06:10 2,322,432 --a------ C:\WINDOWS\system32\TUKernel.exe 2008-05-04 06:06 . 2008-05-04 06:06 <DIR> d-------- C:\WINDOWS\Icons 2008-05-03 19:19 . 2008-05-03 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-30 04:35 --------- d-----w C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax für FRITZ!Box 2008-05-01 14:38 --------- d-----w C:\Programme\microsoft frontpage 2008-05-01 14:37 --------- d-----w C:\Programme\Online-Dienste 2008-05-01 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2008-04-14 02:23 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys 2008-04-14 02:23 32,866 ------w C:\WINDOWS\slrundll.exe 2008-04-14 02:23 288,768 ----a-w C:\WINDOWS\winhlp32.exe 2008-04-14 02:23 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys 2008-04-14 02:23 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys 2008-04-14 02:23 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys 2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys 2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys 2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys 2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys 2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys 2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys 2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys 2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys 2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys 2008-04-14 01:57 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys 2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys 2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys 2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys 2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys 2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys 2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys 2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys 2008-04-14 01:50 41,856 ------w C:\WINDOWS\system32\drivers\amdk7.sys 2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys 2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys 2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys 2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys 2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys 2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys 2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys 2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys 2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys 2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys 2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys 2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys 2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys 2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys 2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys 2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys 2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys 2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys 2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys 2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys 2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys 2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys 2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys 2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys 2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys 2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys 2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys 2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys 2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys 2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys 2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys 2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys 2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys 2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys 2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys 2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys 2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys 2008-04-13 18:56 12,288 ------w C:\WINDOWS\system32\drivers\tunmp.sys 2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys 2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys 2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys 2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys 2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys 2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys 2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys 2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys 2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys 2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys 2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys 2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys 2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys 2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys 2008-04-13 18:46 25,344 ----a-w C:\WINDOWS\system32\drivers\sonydcam.sys 2008-04-13 18:46 18,944 ------w C:\WINDOWS\system32\drivers\bthusb.sys 2008-04-13 18:46 17,024 ------w C:\WINDOWS\system32\drivers\bthenum.sys 2008-04-13 18:46 121,984 ------w C:\WINDOWS\system32\drivers\usbvideo.sys 2008-04-13 18:44 81,664 ----a-w C:\WINDOWS\system32\drivers\videoprt.sys 2008-04-13 18:44 20,992 ----a-w C:\WINDOWS\system32\drivers\vga.sys 2008-04-13 18:43 14,208 ------w C:\WINDOWS\system32\drivers\wacompen.sys 2008-04-13 18:43 12,672 ------w C:\WINDOWS\system32\drivers\mutohpen.sys 2008-04-13 18:39 92,544 ----a-w C:\WINDOWS\system32\drivers\mqac.sys 2008-04-13 18:39 7,552 ----a-w C:\WINDOWS\system32\drivers\mskssrv.sys 2008-04-13 18:39 5,376 ----a-w C:\WINDOWS\system32\drivers\mspclock.sys 2008-04-13 18:39 42,368 ----a-w C:\WINDOWS\system32\drivers\mountmgr.sys 2008-04-13 18:39 4,992 ----a-w C:\WINDOWS\system32\drivers\mspqm.sys 2008-04-13 18:39 4,352 ----a-w C:\WINDOWS\system32\drivers\swenum.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-29_20.59.14.68 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-29 18:40:31 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-31 10:13:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-01-21 16:12:52 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:49 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-11-08 17:03:26 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\FCol32.Dll + 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\Ffax32.Dll - 2008-04-14 02:22:31 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrv.dll + 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRV.DLL - 2008-04-14 02:22:31 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrvui.dll + 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRVUI.DLL - 2007-05-15 08:08:53 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unires.dll + 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIRES.DLL + 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\Ffax32.Dll + 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRV.DLL + 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRVUI.DLL + 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIRES.DLL + 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\FCol32.Dll + 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRV.DLL + 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRVUI.DLL + 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIRES.DLL + 2005-09-22 23:35:10 65,536 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0ee63867\vcomp.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE] "KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44 61440] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "PC Suite Tray"="D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RoxioDragToDisc"="C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe" "Matrox Powerdesk"=C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch "Acrobat Assistant 7.0"="D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "D:\\Programme\\FRITZ!DSL\\StCenter.exe"= "D:\\Programme\\FRITZ!DSL\\FwebProt.exe"= "D:\\Programme\\FRITZ!DSL\\FritzDsl.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"= "D:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"= "D:\\Programme\\TomTom HOME\\TomTomHOME.exe"= "D:\\Programme\\Opera\\Opera.exe"= "C:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "D:\\Programme\\TuneUp Utilities 2008\\Integrator.exe"= "D:\\Programme\\FRITZ!fax\\FriFax32.exe"= R2 IGDCTRL;AVM IGD CTRL Service;D:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14] R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [] R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2004-05-17 11:21] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23] R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-12 09:31] S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02] S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02] S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53] S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-24 19:34] S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39] S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6e3ce26-1b9a-11dd-a4e6-fc3e2856d191}] \Shell\AutoRun\command - L:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc29082c-17c6-11dd-a4d5-80610055969f}] \Shell\AutoRun\command - L:\pushinst.exe . Inhalt des "geplante Tasks" Ordners "2008-05-31 10:13:23 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe "2008-05-27 04:14:13 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 6100 series#1211861545.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe:-I "2008-05-28 16:00:00 C:\WINDOWS\Tasks\ParetoLogic Registration.job" - C:\WINDOWS\system32\rundll32.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 12:14:24 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\avmwlanstick\WLanNetService.exe C:\WINDOWS\system32\Crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\mgabg.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe D:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-31 12:21:06 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 10:20:51 ComboFix2.txt 2008-05-30 19:42:43 ComboFix3.txt 2008-05-29 19:00:20 8 Verzeichnis(se), 23,757,455,360 Bytes frei 10 Verzeichnis(se), 23,745,593,344 Bytes frei 399 --- E O F --- 2008-05-04 18:24:50 neuer HJT-Log: Bei der Kurzauswertung wurde nichtsmehr angezeigt. Lange Version wieder im Anhang!! Danke!!! Anhang: HJT2.txt
|
|
|
||
31.05.2008, 12:35
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo Eisbaer
poste die Daten (nicht alle, nur einen monat von jedem) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2008, 18:31
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
hier der Datfind-Log: . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 6C84-FEB4 Verzeichnis von C:\WINDOWS\system32 31.05.2008 12:15 13.002 wpa.dbl 30.05.2008 20:55 27 MPFServiceFailureCount.txt 25.05.2008 17:18 97.324 perfc009.dat 25.05.2008 17:18 509.066 perfh009.dat 25.05.2008 17:18 542.376 perfh007.dat 25.05.2008 17:18 119.472 perfc007.dat 25.05.2008 17:18 1.284.822 PerfStringBackup.INI 25.05.2008 16:39 1.919 AUTOEXEC.NT 24.05.2008 19:34 355.584 TuneUpDefragService.exe 23.05.2008 18:22 224 9B13A86D.plf 18.05.2008 07:43 293.272 FNTCACHE.DAT 18.05.2008 07:26 6.074 jupdate-1.6.0_04-b12.log 17.05.2008 21:22 6.641 jupdate-1.6.0_05-b13.log 12.05.2008 10:56 2.608 d3d9caps.dat 12.05.2008 10:54 90 spupdwxp.log 11.05.2008 16:28 1.680 esnecil.ind 11.05.2008 06:49 1.680 esnecil.nlp 10.05.2008 06:17 36.864 BGData.bin 09.05.2008 14:35 16.863.864 MRT.exe 04.05.2008 06:10 2.322.432 TUKernel.exe 03.05.2008 08:48 2.496 d3d8caps.dat 03.05.2008 08:07 16.832 amcompat.tlb 03.05.2008 08:07 23.392 nscompat.tlb 02.05.2008 01:55 138.558 TZLog.log 01.05.2008 20:12 103 ROXECDC6Inst.log 01.05.2008 18:11 12.922 wpa.bak 01.05.2008 17:32 0 h323log.txt 01.05.2008 16:43 25.065 wmpscheme.xml 01.05.2008 16:41 261 $winnt$.inf 01.05.2008 16:38 2.951 CONFIG.NT 01.05.2008 16:37 488 WindowsLogon.manifest 01.05.2008 16:37 488 logonui.exe.manifest 01.05.2008 16:37 749 nwc.cpl.manifest 01.05.2008 16:37 749 ncpa.cpl.manifest 01.05.2008 16:37 749 cdplayer.exe.manifest 01.05.2008 16:37 749 sapi.cpl.manifest 01.05.2008 16:37 749 wuaucpl.cpl.manifest 01.05.2008 16:35 21.740 emptyregdb.dat 2147 Datei(en) 444.832.956 Bytes 0 Verzeichnis(se), 23.749.738.496 Bytes frei . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 6C84-FEB4 Verzeichnis von C:\DOKUME~1\IVANPL~1\LOKALE~1\Temp 31.05.2008 18:28 105.344 datfind.txt 31.05.2008 18:27 114.688 ~DFE239.tmp 31.05.2008 18:27 1.765 U3Launcher.log 4 Datei(en) 709.221 Bytes 0 Verzeichnis(se), 23.749.763.072 Bytes frei . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 6C84-FEB4 Verzeichnis von C:\WINDOWS 31.05.2008 17:52 28.145 WindowsUpdate.log 31.05.2008 17:00 32.502 SchedLgU.Txt 31.05.2008 12:20 4.035 error.log 31.05.2008 12:15 764 win.ini 31.05.2008 12:14 246 system.ini 31.05.2008 12:14 0 0.log 31.05.2008 12:13 157 wiadebug.log 31.05.2008 12:13 50 wiaservc.log 31.05.2008 12:13 2.048 bootstat.dat 31.05.2008 12:13 76 errord.log 28.05.2008 05:58 214 HP_48BitScanUpdatePatch.ini 27.05.2008 06:12 19.554 hpoins01.dat 24.05.2008 19:36 50 MegaManager.INI 12.05.2008 19:30 400 ODBC.INI 12.05.2008 12:16 1.188 mozver.dat 11.05.2008 06:49 4 vx86036.dat 11.05.2008 06:49 67 Crypkey.ini 03.05.2008 07:57 316.640 WMSysPr9.prx 02.05.2008 01:14 35 tdf.dii 02.05.2008 01:14 311 tm.ini 01.05.2008 20:39 0 nsreg.dat 01.05.2008 17:38 492 WinInit.Ini 01.05.2008 17:31 0 Sti_Trace.log 01.05.2008 16:42 8.192 REGLOCS.OLD 01.05.2008 16:38 0 control.ini 01.05.2008 16:38 299.552 WMSysPrx.prx 01.05.2008 16:38 4.161 ODBCINST.INI 01.05.2008 16:37 749 WindowsShell.Manifest 01.05.2008 16:34 37 vbaddin.ini 01.05.2008 16:34 36 vb.ini 87 Datei(en) 5.205.085 Bytes 0 Verzeichnis(se), 23.749.758.976 Bytes frei . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 6C84-FEB4 Verzeichnis von C:\WINDOWS\temp . . . Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 6C84-FEB4 Verzeichnis von C:\WINDOWS\Downloaded Program Files 01.05.2008 16:37 65 desktop.ini 6 Datei(en) 1.529.082 Bytes 0 Verzeichnis(se), 23.749.754.880 Bytes frei . . . Danke! |
|
|
||
31.05.2008, 22:23
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo Eisbaer
«« Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" dann sollte wieder alles sauber sein...oder kommen noch popups ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2008, 10:27
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina,
keine Pop-Ups mehr, und auch keine Meldungen von Mal-Ware oder AntiVir!!! Echt Spitze!!! :-D Nochmals vielen vielen Dank für die schnelle Hilfe und Unterstützung!!!! Einen schönen restlichen Sonntag noch!!! Gruß Eisbaer |
|
|
||
02.07.2008, 13:54
Member
Beiträge: 17 |
#8
Hallo, Ihr lieben HelferInnen,
ich bin auf Reisen und "darf" den PC meines Freundes benutzen. Ich schalte ein und bekomme all die unlustigen Popups von Syskontroller. Hab inzwischen den Cleaner laufen lassen, Combofix versucht, da kommt ein Fenster, dass ich ihn nicht umbenennen kann in Combofix[1], habe Hijack This geladen und folgendes Logfile bekommen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:48:31, on 02.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Logitech\SetPoint\kem.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\system32\zstatus.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=10&ct=1208758284&rver=4.5.2130.0&wp=MBI&wreply=http:%2F%2 Fmail.live.com%2Fdefault.aspx&id=64855 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe O4 - HKLM\..\Run: [vOCwUeAj] C:\WINDOWS\vkgrma.exe O4 - HKLM\..\Run: [sais] c:\programme\180searchassistant\sais.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NI.UGDCDE_0001_N122M1912] "C:\dokumente und einstellungen\schnetzler\anwendungsdaten\installer_de[1].exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "c:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe" O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe" O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office10\OSA.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Pinnacle Scheduler.lnk = ? O4 - Global Startup: Quick Help.lnk = C:\Programme\Bluewin\Quick Help\bin\matcli.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094582102733 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 7948 bytes Was kann ich als nächstes tun? Liebe Grüsse Eveline |
|
|
||
02.07.2008, 14:00
Ehrenmitglied
Beiträge: 29434 |
#9
Eveline
«« wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de « mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exePC neustarten «« wende sdfix an http://virus-protect.org/artikel/tools/sdfix.html im normalmodus RunThis.bat doppelt klicken schreib rein: A poste hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.07.2008, 14:45
Member
Beiträge: 17 |
#10
Liebe Sabina,
beim SDFix kommt ein Fenster, dass die Systemdatein nicht geeignet ist, um Anwendungen für MS-DOS oder Microsoft auszuführen. Was tun? ...hats nach "Schliessen" doch gemacht, hier der Bericht: System Report ************* Run on 02.07.2008 at 14:45 Microsoft Windows XP [Version 5.1.2600] Current user is an administrator Running Processes: \SystemRoot\System32\smss.exe [668] \??\C:\WINDOWS\system32\csrss.exe [768] \??\C:\WINDOWS\system32\winlogon.exe [792] C:\WINDOWS\system32\services.exe [836] C:\WINDOWS\system32\lsass.exe [848] C:\WINDOWS\system32\svchost.exe [1008] C:\WINDOWS\system32\svchost.exe [1104] C:\WINDOWS\System32\svchost.exe [1268] C:\WINDOWS\System32\svchost.exe [1316] C:\WINDOWS\System32\svchost.exe [1488] C:\WINDOWS\system32\spoolsv.exe [1620] C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [1664] C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [1892] C:\WINDOWS\system32\svchost.exe [1920] C:\Programme\Microsoft LifeCam\MSCamS32.exe [1956] C:\WINDOWS\System32\svchost.exe [2020] C:\WINDOWS\System32\alg.exe [696] C:\WINDOWS\Explorer.EXE [392] C:\WINDOWS\SOUNDMAN.EXE [1508] C:\Programme\QuickTime\qttask.exe [288] C:\Programme\ScanSoft\OmniPageSE\opware32.exe [1208] C:\WINDOWS\system32\rundll32.exe [2036] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2012] C:\WINDOWS\system32\ctfmon.exe [748] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [916] C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [180] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2068] C:\Programme\Logitech\SetPoint\kem.exe [2084] C:\Programme\Nikon\PictureProject\NkbMonitor.exe [2128] C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2136] C:\Programme\Logitech\SetPoint\KHALMNPR.EXE [2140] C:\Programme\Windows Live\Messenger\usnsvc.exe [2912] C:\Programme\Internet Explorer\IEXPLORE.EXE [2968] Drivers - Running: ACPI AFD ALCXWDM Arp1394 atapi audstub avgio avgntflt avipbb Beep BridgeMP Cdfs Cdrom Disk dmio dmload Fdc Fips Flpydisk FltMgr Ftdisk gagp30kx gameenum Gpc HidUsb HTTP i8042prt Imapi intelppm Intels51 IpNat IPSec isapnp Kbdclass kbdhid kmixer KSecDD L8042mou LMouKE mnmdd Modem Mouclass MountMgr MRxDAV MRxSmb Msfs mssmbios ms_mpu401 Mup NDIS NdisTapi Ndisuio NdisWan NDProxy NetBIOS NetBT NIC1394 Npfs Ntfs Null nv ohci1394 Parport PartMgr ParVdm PCI PCIIde Pfc PptpMiniport PSched Ptilink RasAcd Rasl2tp RasPppoe Raspti Rdbss RDPCDD rdpdr redbook ROOTMODEM serenum Serial SISNIC sr Srv ssmdrv swenum sysaudio Tcpip TermDD Update usbaudio usbccgp usbehci usbhub usbohci usbscan usbstor VgaSave VolSnap VX1000 Wanarp wdmaud Drivers - Stopped: Abiosdsk abp480n5 ACPIEC adpu160m aec Aha154x aic78u2 aic78xx AliIde amsint asc asc3350p asc3550 AsyncMac Atdisk Atmarpc Bridge btaudio BTDriver BthEnum BthPan BTHPORT BTHUSB BTWDNDIS BTWUSB cbidf2k CCDECODE cd20xrnt Cdaudio Changer CmdIde Cpqarray dac960nt DCamUSBEMPIA dmboot DMusic dpti2o drmkaud emAudio Fastfat FiltUSBEMPIA hpn hpt3xx i2omgmt i2omp ini910u IntelIde ip6fw IpFilterDriver IpInIp IRENUM lbrtfdc mouhid mraid35x MRENDIS5 MSKSSRV MSPCLOCK MSPQM MSTEE NABTSFEC NdisIP NwlnkFlt NwlnkFwd PCIDump Pcmcia PDCOMP PDFRAME PDRELI PDRFRAME perc2 perc2hib Processor ql1080 Ql10wnt ql12160 ql1240 ql1280 RDPWD RFCOMM ScanUSBEMPIA Secdrv Sfloppy Simbad SLIP Sparrow splitter streamip swmidi symc810 symc8xx sym_hi sym_u3 TDPIPE TDTCP TosIde Udfs ultra usbprint ViaIde WDICA WSTCODEC WudfPf WudfRd Services - Running: ALG AntiVirScheduler AntiVirService AudioSrv BITS BthServ CryptSvc DcomLaunch Dhcp dmserver Dnscache ERSvc Eventlog EventSystem helpsvc lanmanserver lanmanworkstation LmHosts MSCamSvc Netman Nla PlugPlay PolicyAgent ProtectedStorage RasMan RemoteRegistry RpcSs SamSs Schedule seclogon SENS SharedAccess ShellHWDetection Spooler srservice SSDPSRV stisvc TapiSrv TermService Themes TrkWks usnjsvc W32Time WebClient winmgmt wscsvc wuauserv WZCSVC Services - Stopped: Alerter AppMgmt Browser cisvc ClipSrv COMSysApp dmadmin FastUserSwitchingCompatibility HidServ HTTPFilter ImapiService Messenger mnmsrvc MSDTC MSIServer NetDDE NetDDEdsdm Netlogon NtLmSsp NtmsSvc ose RasAuto RDSessMgr RemoteAccess RpcLocator RSVP SCardSvr SwPrv SysmonLog TlntSvr upnphost UPS VSS WLSetupSvc WmdmPmSN Wmi WmiApSrv WMPNetworkSvc WudfSvc xmlprov Files Created/Modified - 60 Days: C:\ C:\WINDOWS\ C:\Programme\ Files with hidden attributes: Program Folders: C:\Programme\ Adobe Ahead ArcSoft Avira Bluewin Bluewin(Router) Canon CCleaner Common Files DNS FestplattenReiniger Gemeinsame Dateien HighMAT CD Writing Wizard hp Laserjet 1005 InstallShield Installation Information Internet Explorer InterVideo Java Lavasoft Logitech media Messenger microsoft frontpage Microsoft Games Microsoft LifeCam Microsoft Office Microsoft Visual Studio Microsoft Works Microsoft.NET Motive Movie Maker MSN Gaming Zone NetMeeting Nikon Office10 Office-Bibliothek Online Services Online-Dienste Outlook Express Pinnacle QuickTime Save ScanSoft Sibelius Software Skype Spybot - Search & Destroy SysKontroller Templates Tetrixx Trend Micro Uninstall Information Windows Live Windows Live Toolbar Windows Media Connect 2 Windows Media Player Windows NT WinRAR xerox Yahoo! Zattoo C:\Programme\Gemeinsame Dateien\ Adobe Buhl Data Service Designer Dienste FestplattenReiniger InstallShield Java Logitech Microsoft Shared Motive MSSoap Nikon ODBC ScanSoft Shared Skype SpeechEngines Symantec Shared SysKontroller System Windows WindowsLiveInstaller Add/Remove Programs: Ad-Aware SE Personal Adobe Acrobat 5.0 Adobe Flash Player ActiveX Avira AntiVir Personal – Free Antivirus Canon PIXMA iP3000 CCleaner (remove only) Remove DivX Codec Canon Utilities Easy-PhotoPrint Canon Utilities Easy-PrintToolBox Easy-WebPrint HijackThis 2.0.2 Microsoft Internationalized Domain Names Mitigation APIs Windows Internet Explorer 7 Windows XP-Hotfix - KB834707 Windows XP-Hotfix - KB867282 Microsoft Data Access Components KB870669 Windows XP-Hotfix - KB873333 Windows XP-Hotfix - KB873339 Sicherheitsupdate für Windows XP (KB883939) Nikon FotoShare Microsoft National Language Support Downlevel APIs NeroMediaPlayer QuickTime Microsoft User-Mode Driver Framework Feature Pack 1.0 ArcSoft PhotoStudio 5 Google Toolbar for Internet Explorer Windows Live Messenger Logitech SetPoint Skype™ 3.6 OmniPage SE Logitech Desktop Messenger Nero Adobe Reader 8.1.2 - Deutsch Windows Live Anmelde-Assistent CanoScan LiDE20,30 Manual Spybot - Search & Destroy Canon CanoScan Toolbox 4.1 ArcSoft PhotoBase 3 Nikon Message Center Canon PhotoRecord hp Laserjet 1005 PictureProject Run Values: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMan"="SOUNDMAN.EXE" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "WhenUSave"="C:\\PROGRA~1\\Save\\Save.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe" "Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon" "p2pnetworking"="p2pnetworking.exe" "vOCwUeAj"="C:\\WINDOWS\\vkgrma.exe" "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "Adobe Reader Speed Launcher"="\"C:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\"" "avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "LifeCam"="\"C:\\Programme\\Microsoft LifeCam\\LifeExp.exe\"" "WhenUSearch"="\"C:\\Programme\\WhenUSearch\\Search.exe\"" "Power Scan"="C:\\Programme\\Power Scan\\powerscan.exe" "IST Service"="C:\\Programme\\ISTsvc\\istsvc.exe" "NI.UGESU_0001_N122M0303"="\"c:\\dokumente und einstellungen\\schnetzler\\anwendungsdaten\\setup_de[1].exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" @="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "MsnMsgr"="\"C:\\Programme\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background" Bot Check: SERVICE_NAME: wscsvc DISPLAY_NAME : Sicherheitscenter START_TYPE : 2 AUTO_START SERVICE_NAME: sharedaccess DISPLAY_NAME : Windows-Firewall/Gemeinsame Nutzung der Internetverbindung START_TYPE : 2 AUTO_START SERVICE_NAME: wuauserv DISPLAY_NAME : Automatische Updates START_TYPE : 2 AUTO_START SERVICE_NAME: srservice DISPLAY_NAME : Systemwiederherstellungsdienst START_TYPE : 2 AUTO_START [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "EnableDCOM"="Y" [HKEY_CURRENT_USER\Software\Microsoft\OLE] "p2pnetworking"="p2pnetworking.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions"=dword:00000004 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "WaitToKillServiceTimeout"="20000" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDisable"=dword:00000000 "Shell"="Explorer.exe" "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "TransportBindName"="\\Device\\" ShellExecuteHooks: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" Environment: HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\environment ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem windir REG_EXPAND_SZ %SystemRoot% OS REG_SZ Windows_NT PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH TEMP REG_EXPAND_SZ %SystemRoot%\TEMP TMP REG_EXPAND_SZ %SystemRoot%\TEMP SecurityProviders: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Authentication Packages: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Subsystem Startup: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16" Midi Drivers: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi"="wdmaud.drv" "midi1"="wdmaud.drv" Non-Default IFEO Debugger: Non-Default Installed Components: Non-Default Safeboot Minimal: File Associations: [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\cmdfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\htafile\shell\open\command] @="C:\\WINDOWS\\system32\\mshta.exe \"%1\" %*" [HKEY_CLASSES_ROOT\http\shell\open\command] @="\"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE\" -nohome" [HKEY_CLASSES_ROOT\htmlfile\shell\open\command] @="\"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE\" -nohome" [HKEY_CLASSES_ROOT\regedit\shell\open\command] @="regedit.exe %1" [HKEY_CLASSES_ROOT\regfile\shell\open\command] @="regedit.exe \"%1\"" [HKEY_CLASSES_ROOT\scrfile\shell\open\command] @="\"%1\" /S" [HKEY_CLASSES_ROOT\txtfile\shell\open\command] @="%SystemRoot%\system32\NOTEPAD.EXE %1" Finished! |
|
|
||
02.07.2008, 15:28
Ehrenmitglied
Beiträge: 29434 |
#11
1.
fixe die oben angegebenen Einträge mit HijackThis + starte den Rechner neu 2. http://virus-protect.org/artikel/tools/otmoveIt.html Download OTMoveIt zum Desktop OTMoveIt öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\Programme\ISTsvcKlicke auf den Roten MoveIt! Text im rechten Fenster / Results Mit rechtem Mausklick abkopieren und im Forenbeitrag mit rechtem Mausklick "einfügen" ------------------------ « http://virus-protect.org/artikel/bfu/p2pbfuhtml.html 1. BFU (Brute Force Uninstaller) kann man hier herunterladen: --> http://www.merijn.org/files/bfu.zip 2. als zip-Datei : p2pnetwork.zip http://virus-protect.org/artikel/bfu/p2pnetwork.zip unbedingt auf das Desktop laden --> entzippe--> Datei p2pnetwork.bfu 3. Öffne den Brute Force Uninstaller klicke auf -->> -> und suche die p2pnetwork.bfu (unter Desktop) --> öffnen * show log after script ends (anhaken) * Execute klicken poste hier den report, der erstellt wird -------------------------------------------- 3. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) p2pnetworking in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.07.2008, 22:21
Member
Beiträge: 17 |
#12
So, bin wieder am Rechner.
Hab die Dateien mit der Hand eingetippt und MoveIt gedrückt, hier das Ergebnis: File/Folder C:\Programme\ISTsvc not found. File/Folder C:\Programme\Power Scan not found. File/Folder C:\Programme\WhenUSearch not found. C:\Programme\SysKontroller\Res moved successfully. Folder move failed. C:\Programme\SysKontroller scheduled to be moved on reboot. C:\Programme\Save moved successfully. C:\Programme\FestplattenReiniger moved successfully. C:\Programme\Gemeinsame Dateien\FestplattenReiniger moved successfully. C:\Programme\Gemeinsame Dateien\SysKontroller moved successfully. File/Folder C:\WINDOWS\vkgrma.exe not found. 2. Versuch, meinen Beitrag zu aktualisieren: Hier das Ergebnis von Regsearch: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 02.07.2008 23:05:27 for strings: ; 'p2pnetworking' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_CURRENT_USER\Software\Microsoft\OLE] "p2pnetworking"="p2pnetworking.exe" ; End Of The Log... Hoffe, jetzt passt es. Dankbare Grüsse Eveline Und hier die von regsearch: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 02.07.2008 23:05:27 for strings: ; 'p2pnetworking' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_CURRENT_USER\Software\Microsoft\OLE] "p2pnetworking"="p2pnetworking.exe" ; End Of The Log... Hoffentlich ist jetzt alles in Ordnung... Dankbare Grüsse Eveline < C:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe > C:\dokumente und einstellungen\schnetzler\anwendungsdaten\setup_de[1].exe moved successfully. File/Folder not found. OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07022008_221826 Und hier das Ergebnis vom bfu: BFU v1.11.0 Windows XP SP2 (WinNT 5.01.2600 SP2) Script started at 23:01:53, on 02.07.2008 Success: FolderSetAttributes C:\WINDOWS\system32|A Failed: RegDelValue HKCU\System\CurrentControlSet\Control\Lsa|p2pnetwork (key not found) Failed: RegDelValue HKCU\System\CurrentControlSet\Control\Lsa|outlook (key not found) Failed: RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations|LowRiskFileTypes (key not found) Success: RegSetDwordValue HKLM\System\CurrentControlSet\Control\Lsa|Restrictanonymous|0 Success: RegSetStringValue HKLM\SOFTWARE\Microsoft\OLE|EnableDCOM|Y Option pause between commands: 300 ms Failed: FolderDelete C:\Programme\MsConfigs (folder not found) Failed: FolderDelete C:\Programme\winupdates (folder not found) Failed: FolderDelete C:\Programme\winupdate (folder not found) Failed: FolderDelete C:\Programme\winsupdater (folder not found) Failed: FolderDelete C:\Programme\MsUpdate (folder not found) Failed: FolderDelete C:\Programme\MsMovies (folder not found) Failed: FolderDelete C:\Programme\outlook (folder not found) Success: FileDelete C:\WINDOWS\system32\CMD.COM Success: FileDelete C:\WINDOWS\system32\ping.com Success: FileDelete C:\WINDOWS\system32\tasklist.com Success: FileDelete C:\WINDOWS\system32\tracert.com Script completed at 23:02:04. Dieser Beitrag wurde am 02.07.2008 um 23:09 Uhr von Eveline editiert.
|
|
|
||
03.07.2008, 00:08
Ehrenmitglied
Beiträge: 29434 |
#13
Eveline
abgetippt ??? Warum ? Konntest du es nicht von hier abkopieren ??? (linke Maustaste - Text markieren - rechte Maustaste - kopieren , dann im Fenster OTMoveIt - rechte Maustaste einfügen) 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken Und der Registry beifügen Zitat REGEDIT42. lade counterspy, scanne, lasse alles gefundene entfernen + poste hier den report http://virus-protect.org/counterspy1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2008, 11:28
Member
Beiträge: 17 |
#14
...so, das hat ja ganz schön lange gedauert:
Scan History Details Start Date: 03.07.2008 09:54:20 End Date: 03.07.2008 11:19:13 Total Time: 84 Min 53 Sec Detected security risks BearShare P2P Program more information... Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Deleted Files detected C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\BearShare.lnk Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\BEARSHARE HKEY_LOCAL_MACHINE\SOFTWARE\BEARSHARE HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell\open HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell\open\command HKEY_LOCAL_MACHINE\Software\Classes\GNUFILE\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17} HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17} HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17} HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17} HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17} HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{5F95E1AF-2620-4F15-BDF9-7FDCE4607E17} HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\EVENTLABELS\BEARSHARECHATNOTIFYMSG HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\EVENTLABELS\BEARSHARECHATNOTIFYMSG HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg\.Current HKEY_USERS\S-1-5-21-220523388-920026266-839522115-1003\APPEVENTS\SCHEMES\APPS\BEARSHARE\BearShareChatNotifyMsg\.Current C2.Lop Hijacker more information... Details: Lop is a group of spyware and hijacker programs that set your Internet Explorer start page and search features to use the site lop.com ('Live Online Portal') or one of its clone sites. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN IST.PowerScan Adware (General) more information... Details: PowerScan is advertised through in ordinary web pop-ups, but recently it started to install with help from the the ISTBar adware. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\POWER SCAN HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\POWER SCAN HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\POWER SCAN HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN WhenU.Save Adware (General) more information... Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing. Status: Deleted Files detected C:\Dokumente und Einstellungen\Kaspar Schnetzler\Lokale Einstellungen\Temp\saveinstwm.exe Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WHENUSAVEMSG HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WHENUSAVEMSG HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WHENUSAVEMSG HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\CAST HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE\Partners\EEPE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE HKEY_LOCAL_MACHINE\SOFTWARE\WHENUSAVE WhenU.WeatherCast Low Risk Adware more information... Details: WeatherCast is an ad supported desktop weather program that that puts an icon in the system tray displaying the local temperature. It also offers current weather data and forecasts. Weathercast is often bundled with the Save advertising program and/or the WhenUSearch desktop toolbar. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WEATHERCAST HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WEATHERCAST HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\WEATHERCAST ABetterInternet Adware (General) more information... Details: ABetterInternet shows advertisements based on the web pages you view and the web sites you visit. Status: Deleted Files detected C:\WINDOWS\boncpar.htm 180solutions.SearchAssistant Adware (General) more information... Details: 180search Assistant is an adware application that monitors users' search queries and web surfing in order to display targeted advertising. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\SAIS HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\SAIS HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\SAIS WhenU.WhenUSearch Low Risk Adware more information... Details: WhenU.WhenUSearch is a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN YourSiteBar Toolbar more information... Details: YourSiteBar from IST, the makers of numerous spyware threats, is an affiliate based marketing toolbar. Status: Deleted Registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR\Historystring HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR HKEY_LOCAL_MACHINE\SOFTWARE\YOURSITEBAR WindUpdates.MediaAccess Adware (General) more information... Details: WindUpdates.MediaAccess is an adware program that spawns pop-ups on the desktop. Status: Deleted Files detected C:\program files\Media Access\Info.txt SearchNugget.DNSCatcher Browser Plug-in more information... Details: SearchNugget.DNSCatcher (aka Shorty) is a browser helper object (BHO) for Internet Explorer that redirect search results. Status: Deleted Files detected C:\Programme\DNS\affid.dat C:\Programme\DNS\uid.dat MyGeek/CPVFeed Browser Plug-in more information... Details: MyGeek/CPVFeed is a browser helper object (BHO) that is often installed without the full knowledge of the user and which displays advertising on the desktop. This application is also known to hijack the browser by redirecting it to unwanted advertising-related web sites and pages. Status: Deleted Files detected C:\WINDOWS\search_res.txt WinXDefender Rogue Security Program more information... Details: WinXDefender is a purported anti-spyware application to scan for and remove spyware from users' computers. Status: Deleted Files detected C:\DOKUMENTE UND EINSTELLUNGEN\SCHNETZLER\ANWENDUNGSDATEN\WINXDEFENDER Cookie: Tracking Cookies Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs. Status: Deleted Cookies detected c:\dokumente und einstellungen\schnetzler\cookies\schnetzler@bs.serving-sys[2].txt c:\dokumente und einstellungen\schnetzler\cookies\schnetzler@serving-sys[2].txt Jetzt bin ich gespannt, ob das alles ist Eveline |
|
|
||
03.07.2008, 11:34
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo Eveline
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Folgendes Problem:
auf meinem Rechner hat sich ein SysKontroller eingeschlichen, der bei Nutzung von Webbrosern (IE7 & FF 2) immer auf ein "nicht vollständige Systemsicherheit".
Zudem wird aller sehr langsam. Der Prozessor ist meistens zu 100% ausgelastet und es gibt meist mehrere rundll32 Prozesse, die die Systemleistung "fressen".
Habe die Logs nach eurer Anleitung http://board.protecus.de/t23187.htm erstellt:
Antivir hat folgende befunde gemeldet:
C:\WINDOWS\system32\ivkvpfyb.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
(wurde 4 mal in einem Durchlauf gemeldet !?)
C:\Dokumente und Einstellungen\...\kb713501[1]
---> Trojanisches Pferd TR/Lowzones.SG
C:\QooBox\Quarantine\C\...\bxqblkuw.dll.vir
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
C:\QooBox\Quarantine\C\...\gitrwqdg.dll.vir
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
C:\QooBox\Quarantine\C\...\ojjjsbyb.dll.vir
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
C:\System Volume Information\...\A0026878.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
C:\System Volume Information\...\A0027657.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
C:\System Volume Information\...\A0027660.dll
---> Trojanisches Pferd TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\kmlyliiv.exe
---> Trojanisches Pferd TR/Lowzones.SG
D:\Download\sdsetup.exe
---> Dropper DR/KeyLogger.DQ
C:\System Volume Information\...\A0027717.exe
---> Dropper DR/KeyLogger.DQ
Combofix-Report:
ComboFix 08-05-29.1 - Ivan Pljevljak 2008-05-30 21:23:27.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.680 [GMT 2:00]
ausgeführt von:: N:\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM6fb7cd87.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\erquswol.ini
C:\WINDOWS\system32\gitrwqdg.dll
C:\WINDOWS\system32\hQBHRqss.ini
C:\WINDOWS\system32\hQBHRqss.ini2
C:\WINDOWS\system32\lowsuqre.dll
C:\WINDOWS\system32\mfpnnter.dll
C:\WINDOWS\system32\ojjjsbyb.dll
C:\WINDOWS\system32\ssqRHBQh.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-30 ))))))))))))))))))))))))))))))
.
2008-05-30 20:11 . 2008-05-30 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Grisoft
2008-05-30 20:11 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-30 20:10 . 2008-05-30 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax fr FRITZ!Box
2008-05-30 06:35 . 2008-05-30 06:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
2008-05-30 06:35 . 2002-01-05 12:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-05-30 06:35 . 1999-09-09 11:28 446,464 --a------ C:\WINDOWS\system32\HHActiveX.dll
2008-05-30 06:35 . 2003-11-26 11:18 49,152 --a------ C:\WINDOWS\system32\FritzPort.dll
2008-05-30 06:35 . 2004-12-03 13:46 49,152 --a------ C:\WINDOWS\system32\FritzColorPort.dll
2008-05-30 06:35 . 2003-11-27 15:36 36,864 --a------ C:\WINDOWS\system32\Fridru32.dll
2008-05-29 21:53 . 2008-05-29 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3
2008-05-29 19:52 . 2008-05-29 19:52 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-05-29 19:51 . 2008-05-30 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\U3
2008-05-29 18:47 . 2008-05-29 18:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-29 18:43 . 2008-05-01 16:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-29 18:43 . 2008-05-29 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-29 18:43 . 2008-05-29 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-29 18:43 . 2008-05-01 17:27 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-29 18:43 . 2008-05-29 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-29 06:49 . 2008-05-29 06:49 58,368 --a------ C:\WINDOWS\system32\vtUNGYqQ.dll
2008-05-28 05:58 . 2008-05-28 05:58 <DIR> d-------- C:\Programme\HP
2008-05-28 05:58 . 2008-05-28 05:58 214 --a------ C:\WINDOWS\HP_48BitScanUpdatePatch.ini
2008-05-27 06:07 . 2008-05-27 06:12 19,554 --a------ C:\WINDOWS\hpoins01.dat
2008-05-27 06:07 . 2003-04-22 15:10 16,606 --------- C:\WINDOWS\hpomdl01.dat
2008-05-27 06:01 . 2008-05-27 06:01 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-05-27 05:56 . 2008-05-27 05:56 <DIR> d-------- C:\temp\HP All-in-One Series Web Release
2008-05-26 21:44 . 2008-05-26 21:49 35,480 --ah----- C:\hpothb07.tif
2008-05-26 21:44 . 2008-05-26 21:51 798 --ah----- C:\hpothb07.dat
2008-05-26 21:04 . 2008-05-26 21:04 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Hewlett-Packard
2008-05-24 19:11 . 2008-05-29 06:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\UseNeXT
2008-05-24 18:56 . 2008-05-24 19:36 50 --a------ C:\WINDOWS\MegaManager.INI
2008-05-24 18:49 . 2008-05-24 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Megaupload
2008-05-23 19:44 . 2008-05-23 19:44 <DIR> d-------- C:\Programme\Ontrack
2008-05-23 18:22 . 2008-05-23 18:22 224 --a------ C:\WINDOWS\system32\9B13A86D.plf
2008-05-23 17:58 . 2008-05-23 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-18 17:10 . 2008-04-13 20:45 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-18 07:28 . 2008-05-18 07:29 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\OpenOffice.org2
2008-05-18 06:08 . 2008-05-18 06:08 <DIR> d-------- C:\WINDOWS\Sun
2008-05-17 21:22 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-17 21:21 . 2008-05-18 07:26 <DIR> d-------- C:\Programme\Java
2008-05-17 21:17 . 2008-05-17 21:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-17 06:54 . 2008-05-17 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Nokia Multimedia Player
2008-05-13 20:41 . 2008-05-13 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Itsth
2008-05-13 20:13 . 2008-05-13 20:15 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-05-12 12:16 . 2008-05-12 12:16 1,188 --a------ C:\WINDOWS\mozver.dat
2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-12 10:44 . 2008-05-12 10:44 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-12 10:21 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-12 10:21 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-12 10:21 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-12 10:21 . 2008-04-14 04:23 32,768 --------- C:\WINDOWS\system32\setupn.exe
2008-05-12 10:21 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-05-12 10:19 . 2008-04-14 04:22 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-12 10:18 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-12 09:32 . 2008-05-12 10:56 2,608 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-12 09:31 . 2008-05-12 09:31 100,864 --a------ C:\WINDOWS\system32\drivers\avmaura.sys
2008-05-12 09:03 . 2008-05-30 06:55 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!
2008-05-12 09:02 . 2008-05-12 09:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2008-05-11 18:35 . 2004-10-12 12:04 376,832 --------- C:\WINDOWS\system32\Ncs2DMIX.dll
2008-05-11 18:35 . 2004-09-16 03:15 372,736 --------- C:\WINDOWS\system32\NcsCoLib.dll
2008-05-11 18:35 . 2004-09-23 03:34 249,856 --------- C:\WINDOWS\system32\Accesor.dll
2008-05-11 18:35 . 2004-12-21 17:11 135,168 --------- C:\WINDOWS\system32\PRONtObj.dll
2008-05-11 18:35 . 2004-09-16 03:34 126,976 --------- C:\WINDOWS\system32\Ncs2InstUtility.dll
2008-05-11 18:35 . 2004-12-21 17:11 110,592 --a------ C:\WINDOWS\system32\drivers\ianswxp.sys
2008-05-11 18:35 . 2004-12-21 17:11 81,920 --------- C:\WINDOWS\system32\drivers\iansmsg.dll
2008-05-11 18:35 . 2004-08-05 12:30 19,456 --------- C:\WINDOWS\system32\drivers\iqvw32.sys
2008-05-11 18:35 . 2004-12-21 17:11 1,902 --------- C:\WINDOWS\system32\SetupBD.din
2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a------ C:\WINDOWS\system32\drivers\e100b325.sys
2008-05-11 18:34 . 2004-12-21 17:11 154,112 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
2008-05-11 18:34 . 2004-12-21 17:11 122,880 --a------ C:\WINDOWS\system32\Prounstl.exe
2008-05-11 18:34 . 2004-12-21 17:11 24,576 --a------ C:\WINDOWS\system32\e100bmsg.dll
2008-05-11 18:34 . 2004-12-21 17:11 19,968 --a------ C:\WINDOWS\system32\IntelNic.dll
2008-05-11 18:34 . 2004-12-21 17:11 5,110 --a------ C:\WINDOWS\system32\e100b325.din
2008-05-11 08:50 . 2008-05-11 08:50 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-11 06:49 . 1999-06-18 23:49 165,888 --a------ C:\WINDOWS\Ckconfig.exe
2008-05-11 06:49 . 2006-03-01 03:10 69,632 --a------ C:\WINDOWS\system32\Crypserv.exe
2008-05-11 06:49 . 2006-01-10 04:47 31,846 --a------ C:\WINDOWS\system32\Ckldrv.sys
2008-05-11 06:49 . 1996-05-03 19:21 27,648 -ra------ C:\WINDOWS\Setup_ck.exe
2008-05-11 06:49 . 1996-05-03 17:36 18,432 --a------ C:\WINDOWS\Setup_ck.dll
2008-05-11 06:49 . 1995-07-04 20:33 11,776 --a------ C:\WINDOWS\Ckrfresh.exe
2008-05-11 06:49 . 2008-05-11 06:49 1,680 --a------ C:\WINDOWS\system32\esnecil.nlp
2008-05-11 06:49 . 2008-05-11 16:28 1,680 --a------ C:\WINDOWS\system32\esnecil.ind
2008-05-11 06:49 . 2008-05-11 06:49 67 --a------ C:\WINDOWS\Crypkey.ini
2008-05-11 06:49 . 2008-05-11 06:49 4 --a------ C:\WINDOWS\vx86036.dat
2008-05-10 07:43 . 2008-05-10 07:43 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\InstallShield
2008-05-10 06:17 . 2008-05-10 06:17 36,864 --a------ C:\WINDOWS\system32\BGData.bin
2008-05-07 06:36 . 2008-05-23 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\The Bat!
2008-05-07 06:35 . 2008-05-07 19:04 <DIR> d-------- C:\Programme\The Bat!
2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Japler
2008-05-06 22:00 . 2008-05-06 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Japler
2008-05-06 21:55 . 2002-07-17 16:03 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-05-06 21:55 . 2002-07-17 15:05 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-05-06 21:42 . 2008-05-06 22:01 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-05-06 21:16 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-05-06 20:52 . 2008-05-06 20:57 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\Aid4Mail
2008-05-06 06:39 . 2008-05-11 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\AdobeUM
2008-05-04 19:24 . 2005-12-12 17:27 19,072 --a------ C:\WINDOWS\system32\drivers\PS2.sys
2008-05-04 19:23 . 2008-05-27 05:56 <DIR> d-------- C:\temp
2008-05-04 19:23 . 2008-05-04 19:23 <DIR> d-------- C:\HP
2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\Programme\Compaq
2008-05-04 18:11 . 2008-05-04 18:11 <DIR> d-------- C:\i386
2008-05-04 18:11 . 2002-03-05 15:45 6,864 --a------ C:\WINDOWS\system32\drivers\eabfiltr.sys
2008-05-04 18:11 . 2002-01-28 16:43 5,168 --a------ C:\WINDOWS\system32\drivers\EabUsb.sys
2008-05-04 18:10 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-05-04 09:47 . 2008-05-11 18:35 <DIR> d-------- C:\Programme\Intel
2008-05-04 09:35 . 2006-12-28 01:02 4,352 -ra------ C:\WINDOWS\system32\drivers\avmeject.sys
2008-05-04 09:29 . 2008-05-04 09:29 <DIR> d-------- C:\Programme\Analog Devices
2008-05-04 06:10 . 2008-05-04 06:10 2,322,432 --a------ C:\WINDOWS\system32\TUKernel.exe
2008-05-04 06:06 . 2008-05-04 06:06 <DIR> d-------- C:\WINDOWS\Icons
2008-05-03 19:19 . 2008-05-03 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2008-05-03 19:18 . 2008-05-10 06:49 <DIR> d-------- C:\Programme\Nokia
2008-05-03 19:16 . 2008-04-13 20:45 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-05-03 19:15 . 2008-05-03 19:15 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-03 19:15 . 2008-05-03 19:15 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-03 19:14 . 2008-05-03 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\PC Suite
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 04:35 --------- d-----w C:\Dokumente und Einstellungen\Ivan Pljevljak\Anwendungsdaten\FRITZ!fax für FRITZ!Box
2008-05-01 14:38 --------- d-----w C:\Programme\microsoft frontpage
2008-05-01 14:37 --------- d-----w C:\Programme\Online-Dienste
2008-05-01 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-14 05:52 989,696 ----a-w C:\WINDOWS\system32\setupapi.dll
2008-04-14 05:52 425,472 ----a-w C:\WINDOWS\system32\licdll.dll
2008-04-14 02:36 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 02:25 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 02:22 99,840 ----a-w C:\WINDOWS\system32\scardsvr.exe
2008-04-14 02:21 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 02:21 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 02:21 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 02:21 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 02:21 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 02:00 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 02:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 01:59 4,096 ------w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 01:57 93,184 ----a-w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 01:57 40,448 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 01:56 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 01:56 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 01:55 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:54 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 01:53 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 01:52 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:50 41,856 ------w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ------w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys
2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys
2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys
2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys
2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys
2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-29_20.59.14.68 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-29 18:40:31 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-30 19:31:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-29 10:31:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-30 16:52:01 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\FCol32.Dll
+ 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\Ffax32.Dll
- 2008-04-14 02:22:31 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrv.dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRV.DLL
- 2008-04-14 02:22:31 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unidrvui.dll
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIDRVUI.DLL
- 2007-05-15 08:08:53 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\unires.dll
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\3\UNIRES.DLL
+ 2003-04-02 11:30:24 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\Ffax32.Dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRV.DLL
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIDRVUI.DLL
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avm_gmbhfritz_fax6ccd\UNIRES.DLL
+ 2003-04-02 13:23:40 2,560 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\FCol32.Dll
+ 2008-04-14 02:22:32 373,248 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRV.DLL
+ 2008-04-14 02:22:32 744,448 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIDRVUI.DLL
+ 2007-05-15 08:08:54 761,344 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\avmgmbhfritzfax_col38c14\UNIRES.DLL
+ 2005-09-22 23:35:10 65,536 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0ee63867\vcomp.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C6E60FB-1CBF-4E3B-8DBE-F8CCB6955693}]
2008-05-30 21:38 373248 --a------ C:\WINDOWS\system32\qoMccbxy.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}]
2008-05-29 06:49 58368 --a------ C:\WINDOWS\system32\vtUNGYqQ.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2003-03-09 22:30 188416]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44 61440]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E}"= C:\WINDOWS\system32\vtUNGYqQ.dll [2008-05-29 06:49 58368]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUNGYqQ]
vtUNGYqQ.dll 2008-05-29 06:49 58368 C:\WINDOWS\system32\vtUNGYqQ.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\qoMccbxy
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RoxioDragToDisc"="C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
"Matrox Powerdesk"=C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"D:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"D:\\Programme\\FRITZ!DSL\\FwebProt.exe"=
"D:\\Programme\\FRITZ!DSL\\FritzDsl.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"D:\\Programme\\Nokia\\Nokia PC Suite 6\\PCSuite.exe"=
"D:\\Programme\\TomTom HOME\\TomTomHOME.exe"=
"D:\\Programme\\Opera\\Opera.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"D:\\Programme\\TuneUp Utilities 2008\\Integrator.exe"=
"D:\\Programme\\FRITZ!fax\\FriFax32.exe"=
R2 IGDCTRL;AVM IGD CTRL Service;D:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14]
R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ []
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2004-05-17 11:21]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-12 09:31]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-24 19:34]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6e3ce26-1b9a-11dd-a4e6-fc3e2856d191}]
\Shell\AutoRun\command - L:\pushinst.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc29082c-17c6-11dd-a4d5-80610055969f}]
\Shell\AutoRun\command - L:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-05-30 19:31:34 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-05-27 04:14:13 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 6100 series#1211861545.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe:-I
"2008-05-28 16:00:00 C:\WINDOWS\Tasks\ParetoLogic Registration.job"
- C:\WINDOWS\system32\rundll32.exeB
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-30 21:32:56
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\yxbccMoq.ini 345 bytes
C:\WINDOWS\system32\yxbccMoq.ini2 345 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\vtUNGYqQ.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ivkvpfyb.dll
-> C:\WINDOWS\system32\qoMccbxy.dll
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\Crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mgabg.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
D:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-30 21:42:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-30 19:41:46
ComboFix2.txt 2008-05-29 19:00:20
8 Verzeichnis(se), 23,808,503,808 Bytes frei
10 Verzeichnis(se), 23,834,816,512 Bytes frei
398 --- E O F --- 2008-05-04 18:24:50
HJT-Logfile-Kurzauswertung:
[?] - O2 - BHO: (no name) - {0C6E60FB-1CBF-4E3B-8DBE-F8CCB6955693} - C:\WINDOWS\system32\qoMccbxy.dll
[?] - O2 - BHO: (no name) - {E1BC0AAB-2C35-40DF-8F1D-4FD437DF432E} - C:\WINDOWS\system32\vtUNGYqQ.dll
[?] - O4 - HKLM\..\Run: [BM6fb7cd87] Rundll32.exe "C:\WINDOWS\system32\ivkvpfyb.dll",s
[?] - O4 - HKLM\..\Run: [6c84fe1b] rundll32.exe "C:\WINDOWS\system32\nvrndggg.dll",b
[?] - O20 - Winlogon Notify: vtUNGYqQ - C:\WINDOWS\SYSTEM32\vtUNGYqQ.dll
Gesamte Auswertung ist angehängt!
HJT-Uninstall-List:
Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
AVG Anti-Spyware 7.5
AVM FRITZ!DSL
AVM FRITZ!fax
AVM FRITZ!WLAN
CCleaner (remove only)
Data LifeSaver
devolo dLAN-Konfigurationsassistent
devolo EasyClean
devolo EasyShare
devolo Informer
Enhanced Multimedia Keyboard Solution
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto und Bildbearbeitung 2.0 - hp officejet 6100 series
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
hp officejet 6100 series
HP Speicher-Disc
Intel(R) PRO Network Connections Drivers
Intel(R) PROSafe for Wired Connections
Intel(R) PROSafe for Wired Connections
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Logitech MouseWare 9.79.1
Matrox Grafik Software (nur entfernen)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office Small Business Connectivity Components
Microsoft Office Small Business Edition 2003
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
Microsoft SQL Server Native Client
Microsoft SQL Server VSS Writer
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
MSVC80_x86
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nokia Connectivity Cable Driver
Nokia Flashing Cable Driver
Nokia Multimedia Factory
Nokia Multimedia Factory
Nokia PC Suite
Nokia PC Suite
Nokia Software Updater
O&O SafeErase
OpenOffice.org 2.4
Opera 9.27
PC Connectivity Solution
PowerQuest PartitionMagic 8.0
Roxio Easy Media Creator 7
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Simple Sudoku 4.2
SoundMAX
TomTom HOME
TuneUp Utilities 2008
U3Launcher
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
Windows Communication Foundation
Windows Imaging Component
Windows Internet Explorer 8 Beta 1
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia Modem (03/05/2008 3.7)
Windows-Treiberpaket - Nokia Modem (03/13/2008 6.86.0.1)
Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
WinZip
XML Paper Specification Shared Components Language Pack 1.0
Datfind-Log:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4
Verzeichnis von C:\WINDOWS\system32
30.05.2008 21:50 257.593 yxbccMoq.ini
30.05.2008 21:48 257.593 yxbccMoq.ini2
30.05.2008 21:47 1.484.558 gggdnrvn.ini
30.05.2008 21:45 2.560 kmlyliiv.exe
30.05.2008 21:45 115.712 nvrndggg.dll
30.05.2008 21:40 125.440 ivkvpfyb.dll
30.05.2008 21:39 0 clkcnt.txt
30.05.2008 21:38 373.248 qoMccbxy.dll
30.05.2008 21:32 13.002 wpa.dbl
30.05.2008 20:55 27 MPFServiceFailureCount.txt
29.05.2008 06:49 58.368 vtUNGYqQ.dll
25.05.2008 17:18 97.324 perfc009.dat
25.05.2008 17:18 509.066 perfh009.dat
25.05.2008 17:18 542.376 perfh007.dat
25.05.2008 17:18 119.472 perfc007.dat
25.05.2008 17:18 1.284.822 PerfStringBackup.INI
25.05.2008 16:39 1.919 AUTOEXEC.NT
24.05.2008 19:34 355.584 TuneUpDefragService.exe
23.05.2008 18:22 224 9B13A86D.plf
18.05.2008 07:43 293.272 FNTCACHE.DAT
18.05.2008 07:26 6.074 jupdate-1.6.0_04-b12.log
17.05.2008 21:22 6.641 jupdate-1.6.0_05-b13.log
12.05.2008 10:56 2.608 d3d9caps.dat
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4
Verzeichnis von C:\DOKUME~1\IVANPL~1\LOKALE~1\Temp
30.05.2008 21:50 105.793 datfind.txt
1 Datei(en) 105.793 Bytes
0 Verzeichnis(se), 23.849.132.032 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4
Verzeichnis von C:\WINDOWS
30.05.2008 21:43 109.803 BM6fb7cd87.xml
30.05.2008 21:42 4.750 BM6fb7cd87.txt
30.05.2008 21:41 21 pskt.ini
30.05.2008 21:40 1.045 error.log
30.05.2008 21:40 14.680 WindowsUpdate.log
30.05.2008 21:33 764 win.ini
30.05.2008 21:32 246 system.ini
30.05.2008 21:31 0 0.log
30.05.2008 21:31 159 wiadebug.log
30.05.2008 21:31 50 wiaservc.log
30.05.2008 21:31 2.048 bootstat.dat
30.05.2008 21:30 19 errord.log
30.05.2008 21:30 32.636 SchedLgU.Txt
28.05.2008 05:58 214 HP_48BitScanUpdatePatch.ini
27.05.2008 06:12 19.554 hpoins01.dat
24.05.2008 19:36 50 MegaManager.INI
12.05.2008 19:30 400 ODBC.INI
12.05.2008 12:16 1.188 mozver.dat
11.05.2008 06:49 4 vx86036.dat
11.05.2008 06:49 67 Crypkey.ini
03.05.2008 07:57 316.640 WMSysPr9.prx
02.05.2008 01:14 35 tdf.dii
02.05.2008 01:14 311 tm.ini
01.05.2008 20:39 0 nsreg.dat
01.05.2008 17:38 492 WinInit.Ini
01.05.2008 17:31 0 Sti_Trace.log
01.05.2008 16:42 8.192 REGLOCS.OLD
01.05.2008 16:38 0 control.ini
01.05.2008 16:38 299.552 WMSysPrx.prx
01.05.2008 16:38 4.161 ODBCINST.INI
01.05.2008 16:37 749 WindowsShell.Manifest
01.05.2008 16:34 36 vb.ini
01.05.2008 16:34 37 vbaddin.ini
22.04.2008 07:03 545 PKZIP.PIF
22.04.2008 07:03 545 PKUNZIP.PIF
22.04.2008 07:03 545 NOCLOSE.PIF
22.04.2008 07:03 545 LHA.PIF
22.04.2008 07:03 545 RAR.PIF
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4
Verzeichnis von C:\WINDOWS\temp
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 6C84-FEB4
Verzeichnis von C:\WINDOWS\Downloaded Program Files
01.05.2008 16:37 65 desktop.ini
02.04.2008 15:18 1.060 jinstall-6u5.inf
24.03.2008 19:33 1.527.056 FP_AX_CAB_INSTALLER.exe
24.03.2008 19:18 247 swflash.inf
04.02.2008 17:53 361 OGAControl.inf
6 Datei(en) 1.529.082 Bytes
0 Verzeichnis(se), 23.849.123.840 Bytes frei
.
.
.
Ich hoffe es ist reparabel...
Vielen Dank für Eure Hilfe schonmal vorab!!!