IExplorer startet ungefragt, diverse wiederholt auftretende Popups...

#0
27.06.2008, 10:18
...neu hier

Beiträge: 4
#1 Moin liebes Forum,

schön das es dich/euch gibt!

Das Problem:
Seit ca. einer Woche gibt es Probleme mit diesem Rechner. Anfänglich funktionierte beim "Surfen" so gut wie garnichts mehr..., Suchanfragen bei z.B. Google hatten unheimlich lange Ladezeiten (wenn überhaupt etwas passiert ist) und es "poppten" diverse neue Fenster (celldorado, zedo....) auf.
Des weiteren "poppt" beim Arbeiten/Spielen "ungefragt" manchmal der IE mit diesen tollen Fensterchen auf, der Rechner läuft wie ein "Sack Nüsse" und im Hintergrund rödelt dann ständig irgendwas...

Nach diversen Virenscans (Kaspersky Personal Security Suite V), Benutzung von TuneUp Utilities, Malwarebytes und dem fixen der jeweils angegebenen Probleme kann man zumindest wieder einigermaßen "Surfen" bzw. auch dieses Forum besuchen :-)

Die nervigen Popups erscheinen aber weiterhin!
Dieses System (Titanium MD8800, Aldi) wird von verschiedenen Usern genutzt,
niemand weiß (angeblich) wie trotz Firewall (Windows) und Kaspersky diese Unglück passiert ist!?

Hier nun wie im Forum beschrieben diverse "Log-Files" (CCleaner angewendet):

ComboFix:

ComboFix 08-06-20.4 - Micha 2008-06-27 9:21:11.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1506 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Micha\Eigene Dateien\Downloads\AntiVir\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 ))))))))))))))))))))))))))))))
.

2008-06-25 20:48 . 2008-06-25 20:48 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 20:01 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-24 21:11 . 2008-06-24 21:11 99,328 --a------ C:\WINDOWS\system32\ujktuxpq.dll
2008-06-24 21:09 . 2008-06-25 20:44 81,408 --------- C:\WINDOWS\system32\mnoplmok.dll
2008-06-24 21:08 . 2008-06-25 20:44 91,648 --------- C:\WINDOWS\system32\htsfxplb.dll
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData
2008-06-23 21:21 . 2008-06-27 09:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator
2008-06-23 15:33 . 2008-06-24 20:55 <DIR> d-------- C:\Programme\SysKontroller
2008-06-22 10:15 . 2008-06-22 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-06-22 10:12 . 2008-06-22 10:12 <DIR> d-------- C:\Programme\SlySoft
2008-06-22 10:05 . 2008-06-22 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-06-22 10:03 . 2008-06-22 10:15 72 ---hs---- C:\WINDOWS\S72B4CEC2.tmp
2008-06-17 15:59 . 2008-06-17 15:59 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-06-15 18:23 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp
2008-06-15 18:23 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2008-06-06 22:52 . 2008-06-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink
2008-06-06 21:19 . 2008-06-06 21:19 0 --a------ C:\WINDOWS\PhotoNow.INI
2008-06-03 16:35 . 2008-06-15 14:13 <DIR> d-------- C:\Programme\McDonaldsFairies
2008-06-03 16:26 . 2008-06-16 15:58 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-05-29 14:19 . 2008-05-29 14:19 73,728 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-29 14:17 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss
2008-05-29 14:16 . 2007-11-20 18:15 1,826,816 --a------ C:\WINDOWS\SkyTel.exe
2008-05-29 14:16 . 2008-05-29 14:16 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-05-29 14:16 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\skypePM
2008-05-29 13:57 . 2008-05-29 13:57 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-29 13:47 . 2008-06-22 21:45 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-29 13:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-29 13:05 . 2004-06-26 13:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-05-29 13:05 . 2008-05-29 13:05 17 --a------ C:\WINDOWS\system32\'
2008-05-29 13:04 . 2008-06-25 15:08 <DIR> d-------- C:\Programme\UltraVNC
2008-05-29 13:04 . 2005-06-10 22:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-05-29 13:04 . 2004-06-26 13:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-05-29 13:04 . 2004-06-26 13:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-05-27 17:55 . 2008-05-27 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner AudioCD Ripper
2008-05-27 17:54 . 2008-05-27 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner Audio CD

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 07:22 7,784,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-27 07:22 177,696 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-27 06:52 --------- d-----w C:\Programme\CloneDVD
2008-06-27 06:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-26 20:05 17,564 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-26 20:05 106,940 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-26 17:17 48,738 ----a-w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\wklnhst.dat
2008-06-25 13:08 --------- d-----w C:\Programme\MatheTiger
2008-06-25 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-06-25 13:08 --------- d-----w C:\Programme\ElsterFormular2005
2008-06-25 13:08 --------- d-----w C:\Programme\CyberLink
2008-06-22 17:39 10,632 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wklnhst.dat
2008-06-22 08:53 --------- d-----w C:\Programme\Azureus
2008-06-22 08:53 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Azureus
2008-06-22 08:01 --------- d-----w C:\Programme\Elaborate Bytes
2008-06-22 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-06-15 16:23 --------- d-----w C:\Programme\FreePDF_XP
2008-06-15 10:04 --------- d-----w C:\Programme\IKEA HomePlanner
2008-06-15 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-06 13:47 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Canon
2008-06-04 17:11 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\teamspeak2
2008-05-29 18:02 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-29 13:08 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Skype
2008-05-29 12:16 --------- d-----w C:\Programme\Realtek
2008-05-29 11:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 10:35 --------- d-----w C:\Programme\Seagate
2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
2008-05-10 06:40 --------- d-----w C:\Programme\Kaspersky Lab
2008-05-07 12:39 --------- d-----w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AdobeUM
2008-04-02 07:27 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe
2007-08-16 08:48 0 ----a-w C:\Dokumente und Einstellungen\Laura Lena Lia\Anwendungsdaten\wklnhst.dat
2005-03-07 10:29 81,920 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\ezpinst.exe
2005-03-07 10:29 47,360 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\pcouffin.sys
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-25_23.39.54,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 21:30:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 06:51:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-25 04:12:56 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-26 12:21:18 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-25 04:12:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-06-26 12:21:18 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c6cc8f5b-871b-4632-81f9-1f12aee0bb8f}]
2008-06-24 21:11 99328 --a------ C:\WINDOWS\system32\ujktuxpq.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 14:58 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-01 19:40 376912]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WinUpdate"="C:\WINDOWS\system32\12520850b.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2006-01-27 13:00 176128]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 17:58 213936]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"CHotkey"="mHotkey.exe" [2004-12-08 18:57 550912 C:\WINDOWS\mHotkey.exe]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\Anja\Startmen\Programme\Autostart\
Corel Registration.lnk - C:\Programme\Corel\Graphics9\Register\Remind32.exe [2006-11-11 16:57:08 67584]
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe [2007-05-01 09:31:24 327680]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe [2008-02-26 19:58:04 946176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
WinUpdate REG_SZ C:\WINDOWS\system32\12520850b.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"Fax"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"CmUCRRun"=C:\WINDOWS\system32\CmUCReye.exe
"ledpointer"=CNYHKey.exe
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"=
"C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 19:37]
S3 adiusbae;Teledat 300 USB;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-29 13:47]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-25 20:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 09:22:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-27 9:23:33
ComboFix-quarantined-files.txt 2008-06-27 07:23:11
ComboFix2.txt 2008-06-25 21:40:20
ComboFix3.txt 2008-06-25 21:03:36

11 Verzeichnis(se), 51,405,877,248 Bytes frei
14 Verzeichnis(se), 51,414,441,984 Bytes frei

218


und hier HTJ:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:36:54, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Dokumente und Einstellungen\Micha\Eigene Dateien\Downloads\AntiVir\HJT\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: {f8bb0eea-21f1-9f18-2364-b178b5f8cc6c} - {c6cc8f5b-871b-4632-81f9-1f12aee0bb8f} - C:\WINDOWS\system32\ujktuxpq.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\12520850b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {512DEEB2-CF73-4AE4-8FAF-CF8C06415054} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {512DEEB2-CF73-4AE4-8FAF-CF8C06415054} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208364730593
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8395 bytes


und die mit datfind.bat erstellte Datei:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\system32

27.06.2008 08:51 87.724 nvapps.xml
25.06.2008 20:44 91.648 htsfxplb.dll
25.06.2008 20:44 81.408 mnoplmok.dll
24.06.2008 21:11 99.328 ujktuxpq.dll
24.06.2008 20:58 2.206 wpa.dbl
29.05.2008 13:57 56 ezsidmv.dat
29.05.2008 13:47 355.584 TuneUpDefragService.exe
29.05.2008 13:05 17 '
17.05.2008 14:56 28.416 uxtuneup.dll
10.05.2008 08:35 60.920 perfc009.dat
10.05.2008 08:35 396.256 perfh009.dat
10.05.2008 08:35 410.528 perfh007.dat
10.05.2008 08:35 73.582 perfc007.dat
30.03.2008 12:43 955.264 PerfStringBackup.INI
15.03.2008 00:24 93.128 ElbyCDIO.dll
13.03.2008 14:52 266.240 RTSndMgr.cpl


149 Datei(en) 66.361.774 Bytes
0 Verzeichnis(se), 51.430.146.048 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\temp

27.06.2008 08:51 2.048 sqlite_sm0wKnCFpZUqbhf
27.06.2008 08:51 0 CLML_AGENT_LOG1.txt
2 Datei(en) 2.048 Bytes
0 Verzeichnis(se), 51.430.154.240 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F845-9504

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.02.2008 20:02 670 O2CPlayer.inf
30.07.2007 19:24 295 muweb.inf
16.05.2006 17:58 196.608 dwusplay.exe
16.05.2006 17:58 484.272 isusweb.dll
16.05.2006 17:58 24.576 dwusplay.dll
08.10.2005 22:56 65 desktop.ini
27.08.2005 14:30 5.065 swflash.inf
26.08.2005 15:57 495 LegitCheckControl.inf
26.05.2005 04:19 291 wuweb.inf
09.02.2005 16:54 1.271 erma.inf
10 Datei(en) 713.608 Bytes
0 Verzeichnis(se), 51.430.154.240 Bytes frei
.
.
.

und das hier war was der Virenscanner gefunden hatte:

Code

gefunden: trojanisches Programm Trojan-Downloader.Win32.Agent.brq    URL: http://adxbnet.net/xrun.exe//Execryptor
gefunden: trojanisches Programm Trojan-Downloader.Win32.VB.axa    URL: http://adxbnet.net/xpre.exe//Execryptor//PE_Patch.PECompact//PecBundle//PECompact
gefunden: trojanisches Programm Exploit.Java.Gimsh.a    URL: http://adxbnet.net/code/jvmimpro.jar/vmain.class
gefunden: trojanisches Programm Trojan-Downloader.Win32.VB.eyc    URL: http://adxbnet.net/snapsnet.exe//data0006
gefunden: trojanisches Programm Trojan.Win32.Scapur.k    URL: http://adxbnet.net/yazzsnet.exe//data0003//PE_Patch.PECompact//PecBundle//PECompact
gefunden: trojanisches Programm Trojan-Downloader.Win32.Homles.br    URL: http://ksn.a572.wrs.mcboo.com/17PHolmes.cmt//PE_Patch.Upolyx//PE_Patch.UPX//UPX
gefunden: trojanisches Programm Trojan-Downloader.HTML.Agent.ao    Skript: http://media2.mediafileshost.com/images/prep_ctr.php?imgfile=111_562523_7312783.html&partnerId
=110219&appId=520&
advertiserId=562523&keywordId=33379858&type=10&uuid=b4441e72a23446618cd3bf322b3ca2e3&
keyword=ron&matchedBy=null&redirectUrl=http%3A%2F%2Fjavascript[4]
gefunden: trojanisches Programm Trojan-Downloader.Win32.Small.xiv    URL: http://canadianmedsapi.org/api_de/bin/msupdate.exe
gefunden: trojanisches Programm Trojan-Downloader.HTML.Agent.ao    Skript: http://media2.mediafileshost.com/images/prep_ctr.php?imgfile=111_562523_7312783.html&partnerId=
110219&appId=520&advertiserId=562523&keywordId=33379858&type=10&uuid=fb820d82037440bf9a40c2a9
f80476a4&keyword=ron&matchedBy=null&redirectUrl=http%3A%2F%2Fjavascript[4]
gelöscht: Virus EICAR-Test-File    Datei: C:\DOKUME~1\Micha\LOKALE~1\Temp\Av-test.txt
Wie findet man in diesem ganzen Zeug überhaupt irgendwas :-)
Ich hoffe ihr könnt mir helfen und bedanke mich schonmal im Voraus!

Viele Grüße
Michael
Seitenanfang Seitenende
27.06.2008, 13:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Mista_HB

1.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

WinUpdate

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------

2.
http://virus-protect.org/artikel/tools/agentransack.html

gib ein in Suche:
SysKontroller

poste alles, was erscheint


-----------------------------------------------------------------

3.
Gehe in die Registry
Start - Ausführen - regedit

klicke dich durch zum Schlüssel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

diesen Eintrag rauslöschen:
WinUpdate REG_SZ C:\WINDOWS\system32\12520850b.exe

---------------

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WinUpdate"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c6cc8f5b-871b-4632-81f9-1f12aee0bb8f}]

File::
C:\WINDOWS\system32\ujktuxpq.dll
C:\WINDOWS\system32\mnoplmok.dll
C:\WINDOWS\system32\htsfxplb.dll
C:\WINDOWS\system32\12520850b.exe

Folder::
C:\Programme\SysKontroller

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

5.
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2008, 14:34
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina,

ich danke dir für deine Zeit!

zu 1)
RegSearch log-file:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 27.06.2008 13:36:23 for strings:
; 'winupdate'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Lsa]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
"WinUpdate"="C:\\WINDOWS\\system32\\12520850b.exe"

; End Of The Log...



zu 2)
...Suche SysKontroller:

C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller (23.06.2008 15:33:22)
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\SysKontroller.exe.cer (1956 KB, 23.06.2008 16:03:07)
C:\Dokumente und Einstellungen\Anja\Cookies\anja@syskontroller[2].txt (1 KB, 23.06.2008 16:14:03)
C:\Programme\SysKontroller (24.06.2008 20:55:35)



zu 3)

Eintrag gelöscht!



zu 4) und 5)
ComboFix log-file:

ComboFix 08-06-20.4 - Micha 2008-06-27 14:15:31.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1694 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Micha\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Micha\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\12520850b.exe
C:\WINDOWS\system32\htsfxplb.dll
C:\WINDOWS\system32\mnoplmok.dll
C:\WINDOWS\system32\ujktuxpq.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\SysKontroller
C:\Programme\SysKontroller\License.rtf
C:\Programme\SysKontroller\Readme.rtf
C:\Programme\SysKontroller\rm.url
C:\Programme\SysKontroller\sr.log
C:\Programme\SysKontroller\swupd.log
C:\Programme\SysKontroller\SysRep.exe.Log
C:\Programme\SysKontroller\SysRep.exe.xml
C:\Programme\SysKontroller\SysRep.url
C:\Programme\SysKontroller\unins000.dat
C:\WINDOWS\system32\htsfxplb.dll
C:\WINDOWS\system32\mnoplmok.dll
C:\WINDOWS\system32\ujktuxpq.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 ))))))))))))))))))))))))))))))
.

2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Programme\Ipswitch
2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch
2008-06-27 12:04 . 2007-08-09 12:50 606,293 --a------ C:\WINDOWS\system32\wbocx.ocx
2008-06-27 12:04 . 2007-08-09 12:50 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll
2008-06-25 20:48 . 2008-06-25 20:48 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 20:01 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData
2008-06-23 21:21 . 2008-06-27 09:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator
2008-06-22 10:15 . 2008-06-22 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-06-22 10:12 . 2008-06-22 10:12 <DIR> d-------- C:\Programme\SlySoft
2008-06-22 10:05 . 2008-06-22 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-06-22 10:03 . 2008-06-22 10:15 72 ---hs---- C:\WINDOWS\S72B4CEC2.tmp
2008-06-17 15:59 . 2008-06-17 15:59 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-06-15 18:23 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp
2008-06-15 18:23 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2008-06-06 22:52 . 2008-06-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink
2008-06-06 21:19 . 2008-06-06 21:19 0 --a------ C:\WINDOWS\PhotoNow.INI
2008-06-03 16:35 . 2008-06-15 14:13 <DIR> d-------- C:\Programme\McDonaldsFairies
2008-06-03 16:26 . 2008-06-16 15:58 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-05-29 14:19 . 2008-05-29 14:19 73,728 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-29 14:17 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss
2008-05-29 14:16 . 2007-11-20 18:15 1,826,816 --a------ C:\WINDOWS\SkyTel.exe
2008-05-29 14:16 . 2008-05-29 14:16 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-05-29 14:16 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\skypePM
2008-05-29 13:57 . 2008-05-29 13:57 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-29 13:47 . 2008-06-22 21:45 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-29 13:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-29 13:05 . 2004-06-26 13:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-05-29 13:05 . 2008-05-29 13:05 17 --a------ C:\WINDOWS\system32\'
2008-05-29 13:04 . 2008-06-25 15:08 <DIR> d-------- C:\Programme\UltraVNC
2008-05-29 13:04 . 2005-06-10 22:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-05-29 13:04 . 2004-06-26 13:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-05-29 13:04 . 2004-06-26 13:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-05-27 17:55 . 2008-05-27 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner AudioCD Ripper
2008-05-27 17:54 . 2008-05-27 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner Audio CD

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 12:19 7,911,712 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-27 12:19 186,400 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-27 12:17 18,476 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-27 12:17 109,076 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-27 12:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-27 10:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 06:52 --------- d-----w C:\Programme\CloneDVD
2008-06-26 17:17 48,738 ----a-w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\wklnhst.dat
2008-06-25 13:08 --------- d-----w C:\Programme\MatheTiger
2008-06-25 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-06-25 13:08 --------- d-----w C:\Programme\ElsterFormular2005
2008-06-25 13:08 --------- d-----w C:\Programme\CyberLink
2008-06-22 17:39 10,632 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wklnhst.dat
2008-06-22 08:53 --------- d-----w C:\Programme\Azureus
2008-06-22 08:53 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Azureus
2008-06-22 08:01 --------- d-----w C:\Programme\Elaborate Bytes
2008-06-22 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-06-15 16:23 --------- d-----w C:\Programme\FreePDF_XP
2008-06-15 10:04 --------- d-----w C:\Programme\IKEA HomePlanner
2008-06-15 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-06 13:47 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Canon
2008-06-04 17:11 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\teamspeak2
2008-05-29 18:02 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-29 13:08 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Skype
2008-05-29 12:16 --------- d-----w C:\Programme\Realtek
2008-05-29 11:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 10:35 --------- d-----w C:\Programme\Seagate
2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
2008-05-10 06:40 --------- d-----w C:\Programme\Kaspersky Lab
2008-05-07 12:39 --------- d-----w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AdobeUM
2008-04-02 07:27 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe
2007-08-16 08:48 0 ----a-w C:\Dokumente und Einstellungen\Laura Lena Lia\Anwendungsdaten\wklnhst.dat
2005-03-07 10:29 81,920 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\ezpinst.exe
2005-03-07 10:29 47,360 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\pcouffin.sys
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-25_23.39.54,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 21:30:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 12:18:46 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-25 04:12:56 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-26 12:21:18 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-25 04:12:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-06-26 12:21:18 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 14:58 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-01 19:40 376912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2006-01-27 13:00 176128]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 17:58 213936]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"CHotkey"="mHotkey.exe" [2004-12-08 18:57 550912 C:\WINDOWS\mHotkey.exe]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"Fax"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"CmUCRRun"=C:\WINDOWS\system32\CmUCReye.exe
"ledpointer"=CNYHKey.exe
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"=
"C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 19:37]
S3 adiusbae;Teledat 300 USB;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-29 13:47]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-25 20:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 14:19:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\ALCFDRTM.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-27 14:22:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-27 12:22:06
ComboFix2.txt 2008-06-27 07:23:34
ComboFix3.txt 2008-06-25 21:40:20
ComboFix4.txt 2008-06-25 21:03:36

11 Verzeichnis(se), 51,295,608,832 Bytes frei
14 Verzeichnis(se), 51,284,021,248 Bytes frei

245



Viele Grüße
Mista
Seitenanfang Seitenende
27.06.2008, 14:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

erstelle eine neue cfscript.txt (Aenderung der erst erstellten zulassen - wieder auf combofix ziehen + poste das neue log von Combofix

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"WinUpdate"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"WinUpdate"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Lsa]
"WinUpdate"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"WinUpdate"=-
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"WinUpdate"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WinUpdate"=-
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
"WinUpdate"=-

File::
C:\WINDOWS\system32\12520850b.exe

Folder::
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2008, 15:17
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo Sabina,

hier das neue log-file von ComboFix:

ComboFix 08-06-20.4 - Micha 2008-06-27 15:00:15.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1671 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Micha\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Micha\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\12520850b.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\ac
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\ActivationDomain
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\em
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\oid
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\save2.db
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\SysKontroller.exe.cer
C:\Dokumente und Einstellungen\All Users\Application Data\SysKontroller\Data\user

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-27 bis 2008-06-27 ))))))))))))))))))))))))))))))
.

2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Programme\Ipswitch
2008-06-27 12:04 . 2008-06-27 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ipswitch
2008-06-27 12:04 . 2007-08-09 12:50 606,293 --a------ C:\WINDOWS\system32\wbocx.ocx
2008-06-27 12:04 . 2007-08-09 12:50 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll
2008-06-25 20:48 . 2008-06-25 20:48 <DIR> d-------- C:\Programme\CCleaner
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-25 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-25 20:01 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 20:01 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\UserData
2008-06-23 21:21 . 2008-06-27 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-23 21:21 . 2008-06-24 20:55 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator
2008-06-22 10:15 . 2008-06-22 10:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-06-22 10:12 . 2008-06-22 10:12 <DIR> d-------- C:\Programme\SlySoft
2008-06-22 10:05 . 2008-06-22 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-06-22 10:03 . 2008-06-22 10:15 72 ---hs---- C:\WINDOWS\S72B4CEC2.tmp
2008-06-17 15:59 . 2008-06-17 15:59 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-06-15 18:23 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp
2008-06-15 18:23 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2008-06-06 22:52 . 2008-06-06 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\CyberLink
2008-06-06 21:19 . 2008-06-06 21:19 0 --a------ C:\WINDOWS\PhotoNow.INI
2008-06-03 16:35 . 2008-06-15 14:13 <DIR> d-------- C:\Programme\McDonaldsFairies
2008-06-03 16:26 . 2008-06-16 15:58 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-05-29 14:19 . 2008-05-29 14:19 73,728 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-29 14:17 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss
2008-05-29 14:16 . 2007-11-20 18:15 1,826,816 --a------ C:\WINDOWS\SkyTel.exe
2008-05-29 14:16 . 2008-05-29 14:16 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-05-29 14:16 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-29 13:57 . 2008-05-29 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\skypePM
2008-05-29 13:57 . 2008-05-29 13:57 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-29 13:47 . 2008-06-22 21:45 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-29 13:47 . 2008-05-29 13:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-29 13:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-29 13:05 . 2004-06-26 13:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-05-29 13:05 . 2008-05-29 13:05 17 --a------ C:\WINDOWS\system32\'
2008-05-29 13:04 . 2008-06-25 15:08 <DIR> d-------- C:\Programme\UltraVNC
2008-05-29 13:04 . 2005-06-10 22:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-05-29 13:04 . 2004-06-26 13:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-05-29 13:04 . 2004-06-26 13:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-05-27 17:55 . 2008-05-27 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner AudioCD Ripper
2008-05-27 17:54 . 2008-05-27 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FinalBurner Audio CD

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 13:03 7,947,552 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-27 13:02 189,216 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-27 13:01 18,740 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-27 13:01 109,556 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-27 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-27 10:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 06:52 --------- d-----w C:\Programme\CloneDVD
2008-06-26 17:17 48,738 ----a-w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\wklnhst.dat
2008-06-25 13:08 --------- d-----w C:\Programme\MatheTiger
2008-06-25 13:08 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-06-25 13:08 --------- d-----w C:\Programme\ElsterFormular2005
2008-06-25 13:08 --------- d-----w C:\Programme\CyberLink
2008-06-22 17:39 10,632 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wklnhst.dat
2008-06-22 08:53 --------- d-----w C:\Programme\Azureus
2008-06-22 08:53 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Azureus
2008-06-22 08:01 --------- d-----w C:\Programme\Elaborate Bytes
2008-06-22 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-06-15 16:23 --------- d-----w C:\Programme\FreePDF_XP
2008-06-15 10:04 --------- d-----w C:\Programme\IKEA HomePlanner
2008-06-15 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-06 13:47 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Canon
2008-06-04 17:11 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\teamspeak2
2008-05-29 18:02 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-29 13:08 --------- d-----w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Skype
2008-05-29 12:16 --------- d-----w C:\Programme\Realtek
2008-05-29 11:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-28 14:44 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 10:35 --------- d-----w C:\Programme\Seagate
2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
2008-05-10 06:40 --------- d-----w C:\Programme\Kaspersky Lab
2008-05-07 12:39 --------- d-----w C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AdobeUM
2008-04-02 07:27 1,196,032 ----a-w C:\WINDOWS\RtlUpd.exe
2007-08-16 08:48 0 ----a-w C:\Dokumente und Einstellungen\Laura Lena Lia\Anwendungsdaten\wklnhst.dat
2005-03-07 10:29 81,920 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\ezpinst.exe
2005-03-07 10:29 47,360 ----a-w C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\pcouffin.sys
2005-10-09 10:25 8 --sh--r C:\WINDOWS\system32\A3DA537E26.sys
2005-10-09 10:25 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-25_23.39.54,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 21:30:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 13:02:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-25 04:12:56 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-27 13:02:54 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-27 13:03:04 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-06-25 04:12:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-06-27 13:02:54 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 14:58 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-01 19:40 376912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 14:00 455168]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"MedionVFD"="C:\Programme\Medion Info Display\MdionLCM.exe" [2006-01-27 13:00 176128]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 17:58 213936]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272]
"CHotkey"="mHotkey.exe" [2004-12-08 18:57 550912 C:\WINDOWS\mHotkey.exe]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"Fax"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"CmUCRRun"=C:\WINDOWS\system32\CmUCReye.exe
"ledpointer"=CNYHKey.exe
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"=
"C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 13:22]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-12-06 12:16]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;C:\WINDOWS\system32\DRIVERS\cmiucr.SYS [2005-10-04 19:37]
S3 adiusbae;Teledat 300 USB;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-29 13:47]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-25 20:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 15:03:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\ALCFDRTM.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-27 15:06:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-27 13:06:12
ComboFix2.txt 2008-06-27 12:22:11
ComboFix3.txt 2008-06-27 07:23:34
ComboFix4.txt 2008-06-25 21:40:20
ComboFix5.txt 2008-06-25 21:03:36

11 Verzeichnis(se), 51,266,211,840 Bytes frei
13 Verzeichnis(se), 51,251,789,824 Bytes frei

239



Viele Grüße
Mista
Seitenanfang Seitenende
27.06.2008, 16:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

es sollte wieder alles i.o. sein.

0.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

1.
poste dieses log
http://virus-protect.org/registry_stuff.html

2.
scanne mit malwarebytes - update das Programm vor Anwendung - + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2008, 16:54
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Sabina,


zu 0)

erledigt.



zu 1)
findstuff file:

doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002ce5

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\Skype\\Phone\\Skype.exe"="%ProgramFiles%\\Skype\\Phone\\Skype.exe:*:enabled:Skype"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008"
"10243:TCP"="10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10280:UDP"="10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10281:UDP"="10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10282:UDP"="10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10283:UDP"="10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10284:UDP"="10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteunterstützung"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat:*:Enabled;)ie Schlacht um Mittelerde™ II"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat:*:Enabled:patchgrabber"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\game.dat:*:Enabled;)ie Schlacht um Mittelerde (tm)"
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat"="C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde I\\patchget.dat:*:Enabled:patchgrabber"
"C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"="C:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe:*:Enabled:lotroclient.exe"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Azureus\\Azureus.exe"="C:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe:*;)isabled:CyberLink PowerCinema"
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe:*;)isabled:CyberLink PowerCinema Resident Program"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*;)isabled:Microsoft Fax Console"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*;)isabled:MSN Messenger 7.5"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008"
"10243:TCP"="10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10280:UDP"="10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10281:UDP"="10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10282:UDP"="10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10283:UDP"="10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"
"10284:UDP"="10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000001
"Guid"=hex:c9,c3,d9,19,31,23,9b,49,88,cc,bf,42,da,fb,2f,a5
"AdjustedNullSessionPipes"=dword:00000001


[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]


[HKEY_CURRENT_USER\Software\Microsoft\OLE]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000002c0
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"enabledcom"="y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:f0,43,cf,3f,58,b0,46,65,b7,01,45,ee,fe,e8,89,b9,33,32,62,65,65,\
35,30,38,00,00,00,00,f8,70,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\
00,00,00,00,00,00,ea,83,35,bb,3f,90,be,7d,20,88,03,32

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:dd,c2,d4,a5,6e,d5,92,54,7d

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:aa,47,c2,91,12,d6

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\msv1_0]
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:07,e5,f8,43,a2,e9,65,8b,3f,3b,d2,1b,e2,b8,2f,57

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:96,55,4d,af,4d,d7,c8,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,e0,60,91,1a,7a,c4,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]





zu 1)
malwarebytes log:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 891

16:41:30 27.06.2008
mbam-log-6-27-2008 (16-41-30).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 145231
Scan Dauer: 27 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Seit Stunden ist hier nichts mehr "aufgepoppt".
Ich bedanke mich recht herzlich!

Wie kann man sowas zukünftig verhindern?
Oder kann man das garnicht?
Ist es besser eine andere Firewall/Virussoftware einzusetzen?

Viele Grüße
Mista
Seitenanfang Seitenende
27.06.2008, 23:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo, Mista_HB
du hast das selbst geladen, also wahrscheinlich ein verseuchter Codec + SysKontroller.
Da hilft auch die beste Firewall nichts.

versuche es mit Sandboxie, oder meide gewisse Seiten/Software...
http://virus-protect.org/artikel/tools/sandboxie.html

wenn es noch Probleme gibt, melde dich....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 10:39
...neu hier

Beiträge: 6
#9 Hallo allerseits!
Ich habe "denke ich" das gleiche Problem mir minem Rechner. Tagelang ging kein I-net mehr und mein Kaspersky zeigt jetzt immernoch bei jedem Start i-welche Viren-Dateien an. Trojan Downloader.Win32.VB.eyc war das letzte und immer wieder lese ich etwas von C:\WINDOWS\System32\... ich habe diese Dateien immer gelöscht, wenn es ging, aber manchmal sagt er auch, dass er diese dateien nicht findet und dann muss ich es "überspringen". Dieses "desinfizieren" bringt meiner meinung nach nichts, weil es immer wieder auftaucht. letztens habe ich einen VirenScan gemacht und Kaspersky hat 14 "verseuchte" Dateien gefunden.

Zum teil auch diese:

Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023849.dll 89.5 KB
Infiziert: trojanisches Programm Trojan-Downloader.WMA.Wimad.n C:\Programme\Incomplete\T-3545425-achmet der tote terrorist.mp3 3.4 MB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\iifcvwtt.dll 30.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\pmnmkcri.dll 31 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\ik5aubvq\kb767887[1] 100 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\gebqqixo.dll 31 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023850.dll 30.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\nu3pt1bn\kb671231[1] 89.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023851.dll 31 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\iu4zgc6q\kb456456[1] 79 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\kuyryxjv.dll 79 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\UBQLROIL.DLL 90 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\efcyasmn.dll 31 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\pmnKCttt.dll 31 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\VTULLEWQ.DLL 30.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\mlJCUOEX.dll 275 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\System Volume Information\_restore{1DC5C6C9-B1B3-4C3D-8085-C696201F5A13}\RP171\A0023852.dll 275 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\TUVTKJKB.DLL 30.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\ZTAISU.DLL 99.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\jqdpdnmm.dll 99 KB
Infiziert: trojanisches Programm Trojan-Downloader.WMA.Wimad.n C:\Programme\Incomplete\T-3545425-bassmann admirals.mp3 3.4 MB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\ik5aubvq\css4[1] 274.9 KB
Infiziert: trojanisches Programm Trojan-Downloader.Win32.VB.eyc C:\WINDOWS\system32\olixds18\olixds182328.exe 32 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\tuvSiHwx.dll 30.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\SYSTEM32\PBICAGYU.DLL 89.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\gmusqxih.dll 89.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\dutzsk.dll 99 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\qkalbggs.dll 100 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen C:\WINDOWS\system32\bkujxf.dll 100 KB
Infiziert: trojanisches Programm Trojan.Win32.Monder.gen c:\windows\system32\tgdwgjox.dll 99.5 KB



Bitte helft mir und meinem Computer...
Seitenanfang Seitenende
16.07.2008, 11:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo, Lani

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 12:08
...neu hier

Beiträge: 6
#11 ComboFix 08-07-14.2 - !Stacey! 2008-07-16 12:03:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.150 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\!Stacey!\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\AntiSpywareExpert
C:\Programme\FunWebProducts
C:\Programme\FunWebProducts\ScreenSaver\Images\00D8C5C6.urr
C:\Programme\FunWebProducts\Shared\Cache\CursorManiaBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MailStampBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MyStationeryBtn.html
C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn.html
C:\Programme\internet explorer\msimg32.dll
C:\Programme\MyWebSearch
C:\Programme\MyWebSearch\bar\1.bin\F3BKGERR.JPG
C:\Programme\MyWebSearch\bar\1.bin\F3BROVLY.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3CJPEG.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3IMSTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR
C:\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\F3SCRCTR.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SHLLVW.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SPACER.WMV
C:\Programme\MyWebSearch\bar\1.bin\F3WALLPP.DAT
C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.JAR
C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST
C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3IDLE.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3IMPIPE.EXE
C:\Programme\MyWebSearch\bar\1.bin\M3MSG.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR
C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST
C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE
C:\Programme\MyWebSearch\bar\1.bin\M3SLSRCH.EXE
C:\Programme\MyWebSearch\bar\1.bin\M3SRCHMN.EXE
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\NPMYWEBS.DLL
C:\Programme\MyWebSearch\bar\Avatar\COMMON.F3S
C:\Programme\MyWebSearch\bar\Cache\000269CC.bin
C:\Programme\MyWebSearch\bar\Cache\00026B52.bin
C:\Programme\MyWebSearch\bar\Cache\00026CAA.bin
C:\Programme\MyWebSearch\bar\Cache\00026DA4.bin
C:\Programme\MyWebSearch\bar\Cache\0027AC20
C:\Programme\MyWebSearch\bar\Cache\00D74BE7
C:\Programme\MyWebSearch\bar\Cache\00D7622F.bin
C:\Programme\MyWebSearch\bar\Cache\00D76B47.bin
C:\Programme\MyWebSearch\bar\Cache\00D77DE4.bin
C:\Programme\MyWebSearch\bar\Cache\00D78353.bin
C:\Programme\MyWebSearch\bar\Cache\files.ini
C:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S
C:\Programme\MyWebSearch\bar\Game\CHESS.F3S
C:\Programme\MyWebSearch\bar\Game\REVERSI.F3S
C:\Programme\MyWebSearch\bar\History\search2
C:\Programme\MyWebSearch\bar\icons\CM.ICO
C:\Programme\MyWebSearch\bar\icons\MFC.ICO
C:\Programme\MyWebSearch\bar\icons\PSS.ICO
C:\Programme\MyWebSearch\bar\icons\SMILEY.ICO
C:\Programme\MyWebSearch\bar\icons\WB.ICO
C:\Programme\MyWebSearch\bar\icons\ZWINKY.ICO
C:\Programme\MyWebSearch\bar\Message\COMMON.F3S
C:\Programme\MyWebSearch\bar\Notifier\COMMON.F3S
C:\Programme\MyWebSearch\bar\Notifier\DOG.F3S
C:\Programme\MyWebSearch\bar\Notifier\FISH.F3S
C:\Programme\MyWebSearch\bar\Notifier\KUNGFU.F3S
C:\Programme\MyWebSearch\bar\Notifier\LIFEGARD.F3S
C:\Programme\MyWebSearch\bar\Notifier\MAID.F3S
C:\Programme\MyWebSearch\bar\Notifier\MAILBOX.F3S
C:\Programme\MyWebSearch\bar\Notifier\OPERA.F3S
C:\Programme\MyWebSearch\bar\Notifier\ROBOT.F3S
C:\Programme\MyWebSearch\bar\Notifier\SEDUCT.F3S
C:\Programme\MyWebSearch\bar\Notifier\SURFER.F3S
C:\Programme\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat
C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\jhqlkovl.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\qirltqmt.ini
C:\WINDOWS\system32\tjwbwoog.ini
C:\WINDOWS\system32\vjxyryuk.ini
C:\WINDOWS\system32\XEOUCJlm.ini
C:\WINDOWS\system32\XEOUCJlm.ini2
G:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 ))))))))))))))))))))))))))))))
.

2008-07-16 12:03 . 2008-07-16 12:03 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Start Menu
2008-07-16 11:58 . 2008-07-16 11:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\!Stacey!\Recent
2008-07-16 11:56 . 2008-07-16 11:56 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 08:42 . 1998-05-07 10:57 143,872 --a------ C:\WINDOWS\system32\iacenc.dll
2008-07-15 08:38 . 2008-07-15 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\WINDOWS
2008-07-15 08:38 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2008-07-13 10:45 . 2008-07-13 10:45 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-13 10:45 . 2008-07-13 10:45 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-12 13:11 . 2008-07-14 18:41 110,464 --a------ C:\WINDOWS\BMabca5bab.xml
2008-07-11 19:25 . 2008-07-11 19:37 <DIR> d-------- C:\Programme\ABC Amber Audio Converter
2008-07-11 18:28 . 2008-07-16 10:05 <DIR> d-------- C:\WINDOWS\system32\olixds18
2008-07-11 18:28 . 2008-07-11 18:28 <DIR> d-------- C:\Temp\stmpv4
2008-07-11 18:28 . 2008-06-27 18:38 53,248 ---hs---- C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe
2008-07-11 12:38 . 2008-07-11 12:38 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-07-11 00:00 . 2008-07-11 00:00 522 --a------ C:\WINDOWS\eReg.dat
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth2.dll
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth1.dll
2008-07-08 16:53 . 2008-07-08 17:01 351 --a------ C:\WINDOWS\system32\lsprst7.tgz
2008-07-08 16:53 . 2008-07-08 17:01 337 --a------ C:\WINDOWS\system32\lsprst7.dll
2008-07-08 16:53 . 2008-07-08 17:01 87 --a------ C:\WINDOWS\system32\ssprs.tgz
2008-07-08 16:53 . 2008-07-08 17:01 73 --a------ C:\WINDOWS\system32\ssprs.dll
2008-07-08 16:50 . 2008-07-08 16:50 <DIR> d-------- C:\Programme\PacketVideo
2008-07-08 12:22 . 2008-07-08 12:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-18 19:52 . 2008-06-18 19:52 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-18 18:44 . 2008-06-18 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\Mozilla
2008-06-18 15:50 . 2008-06-18 15:51 <DIR> d-------- C:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 10:05 404,000 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-16 10:05 12,791,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-16 08:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-15 21:20 39,608 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-07-15 21:20 173,828 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-13 08:20 --------- d-----w C:\Programme\LimeWire
2008-07-12 23:56 --------- d-----w C:\Programme\Incomplete
2008-07-12 20:36 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\LimeWire
2008-07-10 21:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-09 07:19 --------- d-----w C:\Programme\DivX
2008-07-08 10:24 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\AdobeUM
2008-06-18 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-06-18 19:40 --------- d-----w C:\Programme\MAGIX
2008-06-15 15:56 35,024 ----a-w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-06-11 00:07 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-06-11 00:07 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-06-11 00:07 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-11 00:03 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-06-11 00:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-06-11 00:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-06-11 00:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-06-11 00:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-06-11 00:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-06-11 00:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-06-11 00:03 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-06-10 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-06-09 11:23 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-09 11:17 36,864 ----a-w C:\WINDOWS\unslive.exe
2008-06-09 11:17 --------- d-----w C:\Programme\Sclive
2008-06-05 07:41 --------- d-----w C:\Programme\Java
2008-06-04 15:00 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\BitTorrent
2008-06-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\.wyzo
2008-06-02 15:27 --------- d-----w C:\Programme\Google
2008-06-02 13:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-05-31 14:49 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-30 04:33 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\MAGIX
2008-05-30 04:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-29 14:50 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-23 13:12 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\ICQ
2008-05-17 12:52 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-16 16:19 20,100 ----a-w C:\bittersweet.zip
2008-05-14 16:23 4,495,072 ----a-w C:\LimeWireWin416.exe
2008-01-07 18:50 24,192 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermptxp.sys
2008-01-07 18:50 22,768 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermpt.sys
2007-12-24 12:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007122420071225\index.dat
.

------- Sigcheck -------

2004-08-04 14:00 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll

2004-08-04 14:00 822784 be43d00d802c92f01c8cc952c6f483f8 C:\WINDOWS\system32\wininet.dll

2004-08-04 14:00 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-04 14:00 2019840 5aa6fe8b36d7d4074542925c38c142be C:\WINDOWS\system32\ntkrnlpa.exe

2004-08-04 14:00 2140160 fd51b755255e963b1e78b010b575fa7c C:\WINDOWS\system32\ntoskrnl.exe

2004-08-04 14:00 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\explorer.exe

2004-08-04 14:00 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-27 15:52 68856]
"ICQ"="G:\ICQ\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Windows Logon Applicationedc"="C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe" [2008-06-27 18:38 53248]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="C:\WINDOWS\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 14:00 12451]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]
WLUSB Stick 11V3.lnk - C:\Programme\corega\Wireless LAN USB Stick 11 V3\WlanCU.exe [2004-09-14 13:55:10 471040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"vidc.I263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"G:\\ICQ\\ICQ6\\ICQ.exe"=
"C:\\Programme\\kis7.0\\setup.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"52525:TCP"= 52525:TCP:utorrent

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {A75BF1D0-C7C3-CB55-EE17-3225387FD154} /qb
.
- - - - ORPHANS REMOVED - - - -

BHO-{7768234D-E494-424D-96E6-4819A1E16325} - C:\WINDOWS\system32\tuvSiHwx.dll
BHO-{8CB37016-DCE5-49F6-8854-7E2F12C491A0} - C:\WINDOWS\system32\mlJCUOEX.dll
HKLM-Run-My Web Search Bar Search Scope Monitor - C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe
HKLM-Run-TrayServer - C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
HKLM-Run-BMabca5bab - C:\WINDOWS\system32\gmusqxih.dll
ShellExecuteHooks-{7768234D-E494-424D-96E6-4819A1E16325} - C:\WINDOWS\system32\tuvSiHwx.dll
Notify-tuvSiHwx - tuvSiHwx.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 12:05:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe
.
Zeit der Fertigstellung: 2008-07-16 12:06:05
ComboFix-quarantined-files.txt 2008-07-16 10:06:00

7 Verzeichnis(se), 10,769,436,672 Bytes frei
10 Verzeichnis(se), 10,743,742,464 Bytes frei

274
Seitenanfang Seitenende
16.07.2008, 12:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo, Lani

0.
wende cleaner an + leere alle temp-Folder
http://www.ccleaner.de/?protecus.de

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> TEXT KOMPLETT kopieren

------------------------------------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Applicationedc"=-

File::
C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe
C:\WINDOWS\BMabca5bab.xml

Folder::
c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\iu4zgc6q
c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\ik5aubvq
c:\dokumente und einstellungen\!stacey!\lokale einstellungen\temporary internet files\content.ie5\nu3pt1bn
C:\WINDOWS\system32\olixds18
C:\Temp\stmpv4
C:\Programme\Incomplete

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



----------------------------------

3.
scanne + poste den report (nur den Teil. wo Viren angezeigt werden)
http://virus-protect.org/artikel/tools/kaspersky.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 13:45
...neu hier

Beiträge: 6
#13 Also, 0: getan,

Bei 1: Diese ...\winlogon.exe datei existiert nicht?!

..mache einfach mal mit kopieren und einf.
Dann steht da:


Die Datei wurde bereits analysiert:
MD5: 4de5b3e711ff0de62a5a48af66214b7d
First received: 2008.06.28 18:35:43 (CET)
Datum 2008.07.16 01:05:11 (CET) [<1D]
Ergebnisse 10/33
Permalink: analisis/7575f1ca2f90be797af81f64fa063dbd


und bei nummer 2 hab ich eine frage: Mit rechter Maustaste auf Combofix ziehen. Dann erscheint ein "öffnen mit" und ein "abbrechen". Aber wenn ich auf das erste klicke dann startet Combofix erneut. soll ich die daten dann auch posten??
Seitenanfang Seitenende
16.07.2008, 15:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

Die Datei wurde bereits analysiert:
MD5: 4de5b3e711ff0de62a5a48af66214b7d
First received: 2008.06.28 18:35:43 (CET)
Datum 2008.07.16 01:05:11 (CET) [<1D]
Ergebnisse 10/33
Permalink: analisis/7575f1ca2f90be797af81f64fa063dbd
ich hatte geschrieben : ALLES ABKOPIEREN

ich will sehen, welche scanner das erkennen

----------

ein "öffnen mit" : ist o.k. ---Combofix startet neu + löscht,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 15:30
...neu hier

Beiträge: 6
#15 nr 1:

Datei winlogon.exe empfangen 2008.07.16 15:26:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 9/32 (28.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.16.0 2008.07.16 Win-Trojan/Agent.53248.JK
AntiVir 7.8.0.68 2008.07.16 TR/Crypt.CFI.Gen
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.16 -
BitDefender 7.2 2008.07.16 Backdoor.Agent.VB.S
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.16 -
DrWeb 4.44.0.09170 2008.07.16 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5959 2008.07.16 -
Ewido 4.0 2008.07.16 -
F-Prot 4.4.4.56 2008.07.15 -
F-Secure 7.60.13501.0 2008.07.16 -
Fortinet 3.14.0.0 2008.07.16 -
GData 2.0.7306.1023 2008.07.16 Win32:Trojan-gen
Ikarus T3.1.1.26.0 2008.07.16 Backdoor.Win32.VB.cco
Kaspersky 7.0.0.125 2008.07.16 -
McAfee 5339 2008.07.15 -
Microsoft 1.3704 2008.07.16 Backdoor:Win32/VB.CCO
NOD32v2 3272 2008.07.16 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 -
Rising 20.53.22.00 2008.07.16 -
Sophos 4.31.0 2008.07.16 -
Sunbelt 3.1.1536.1 2008.07.15 Backdoor.Agent.VB.S
Symantec 10 2008.07.16 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.16 -
VBA32 3.12.8.0 2008.07.16 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.16 Trojan.Crypt.CFI.Gen
weitere Informationen
File size: 53248 bytes
MD5...: 4de5b3e711ff0de62a5a48af66214b7d
SHA1..: 2b442cbfe8d4ca31118df703103c6a5c9d5cfdff
SHA256: b3bde27c86d1145ac2bbb07f6ec9f1e2149a8b70430848b0f228d15c072e641d
SHA512: 11ed621d8c073995112c74699be17d971c52a75832a53993b171fba2d92cd7b5
39a2c5c9fa3a50a116425164f6467877858004947f7f025bd5e29f9eef469e27
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11001d90
timedatestamp.....: 0x445c3d11 (Sat May 06 06:07:13 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x88dc 0x9000 5.40 32cc4cc0e5de2d329288f4a10a28e91c
.data 0xa000 0xcdc 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
text 0xb000 0x43 0x1000 0.17 50a05317b896c66bcd78cd2ec2af3992
.rsrc 0xc000 0x960 0x1000 2.49 49a0a2f1e6b81b757cbd068d8042cecd

( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, -, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaStrCat, __vbaError, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, __vbaVarIndexLoadRefLock, __vbaExitProc, -, -, __vbaStrLike, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaVarIndexLoad, __vbaStrFixstr, -, __vbaBoolVarNull, _CIsin, -, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaAryConstruct2, __vbaPutOwner3, __vbaI2I4, __vbaVarLikeVar, DllFunctionCall, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaInStrVar, -, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaNew2, __vbaInStr, __vbaVarInt, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, -, __vbaAryLock, __vbaVarAdd, __vbaStrToAnsi, __vbaVarDup, __vbaFpI4, -, -, _CIatan, __vbaStrMove, __vbaAryCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeObj, -, __vbaFreeStr

( 0 exports )

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Sry nochmal^^ hab was falsch verstanden

Nr2

ComboFix 08-07-14.2 - !Stacey! 2008-07-16 15:31:38.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.182 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\!Stacey!\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\!Stacey!\Desktop\CFscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe
C:\WINDOWS\BMabca5bab.xml
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\!Stacey!\winlogon.exe
C:\Programme\Incomplete
C:\Programme\Incomplete\downloads.bak
C:\Programme\Incomplete\downloads.dat
C:\Programme\Incomplete\T-2592212-Jeff Dunham - Achmed the Dead Terrorist.mp3
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\.datwww.big-torrent.to...Jack.Keane.GERMAN-SKIDROW
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\!!!MIT 25Mbits DOWNLOADEN UND JETZT KOSTENLOS TESTEN.url
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\Big-Torrent.to.url
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\skidrow.nfo
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r00
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r01
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r02
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r03
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r04
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r05
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r06
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r07
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r08
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r09
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r10
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r11
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r12
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r13
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r14
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r15
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r16
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.r17
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.rar
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\sr-jakkg.sfv
C:\Programme\Incomplete\YQVXADGWCQU4HXUKR5NTQRGIXPFUR6OU\www.big-torrent.to...Jack.Keane.GERMAN-SKIDROW\TiP.txt
C:\Temp\stmpv4
C:\WINDOWS\BMabca5bab.xml
C:\WINDOWS\system32\olixds18

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 ))))))))))))))))))))))))))))))
.

2008-07-16 13:34 . 2008-07-16 13:34 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-07-16 13:34 . 2008-07-16 13:34 <DIR> d-------- C:\Programme\microsoft frontpage
2008-07-16 12:03 . 2008-07-16 12:03 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Start Menu
2008-07-16 11:58 . 2008-07-16 13:48 <DIR> dr-h----- C:\Dokumente und Einstellungen\!Stacey!\Recent
2008-07-16 11:56 . 2008-07-16 11:56 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 08:42 . 1998-05-07 10:57 143,872 --a------ C:\WINDOWS\system32\iacenc.dll
2008-07-15 08:38 . 2008-07-15 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\WINDOWS
2008-07-15 08:38 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2008-07-13 10:45 . 2008-07-13 10:45 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-13 10:45 . 2008-07-13 10:45 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-11 19:25 . 2008-07-11 19:37 <DIR> d-------- C:\Programme\ABC Amber Audio Converter
2008-07-11 12:38 . 2008-07-11 12:38 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-07-11 00:00 . 2008-07-11 00:00 522 --a------ C:\WINDOWS\eReg.dat
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth2.dll
2008-07-08 16:53 . 2008-07-08 16:53 1,025 --a------ C:\WINDOWS\system32\clauth1.dll
2008-07-08 16:53 . 2008-07-08 17:01 351 --a------ C:\WINDOWS\system32\lsprst7.tgz
2008-07-08 16:53 . 2008-07-08 17:01 337 --a------ C:\WINDOWS\system32\lsprst7.dll
2008-07-08 16:53 . 2008-07-08 17:01 87 --a------ C:\WINDOWS\system32\ssprs.tgz
2008-07-08 16:53 . 2008-07-08 17:01 73 --a------ C:\WINDOWS\system32\ssprs.dll
2008-07-08 16:50 . 2008-07-08 16:50 <DIR> d-------- C:\Programme\PacketVideo
2008-07-08 12:22 . 2008-07-08 12:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-18 19:52 . 2008-06-18 19:52 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-18 18:44 . 2008-06-18 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\Mozilla
2008-06-18 15:50 . 2008-06-18 15:51 <DIR> d-------- C:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 13:35 12,929,312 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-16 13:33 411,168 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-16 13:33 40,616 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-07-16 13:33 178,364 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-16 12:31 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\LimeWire
2008-07-16 11:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-13 08:20 --------- d-----w C:\Programme\LimeWire
2008-07-10 21:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-09 07:19 --------- d-----w C:\Programme\DivX
2008-07-08 10:24 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\AdobeUM
2008-06-18 19:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-06-18 19:40 --------- d-----w C:\Programme\MAGIX
2008-06-15 15:56 35,024 ----a-w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-06-11 00:07 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-06-11 00:07 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-06-11 00:07 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-06-10 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-06-09 11:17 36,864 ----a-w C:\WINDOWS\unslive.exe
2008-06-09 11:17 --------- d-----w C:\Programme\Sclive
2008-06-05 07:41 --------- d-----w C:\Programme\Java
2008-06-04 15:00 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\BitTorrent
2008-06-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\.wyzo
2008-06-02 15:27 --------- d-----w C:\Programme\Google
2008-06-02 13:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-05-31 14:49 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-30 04:33 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\MAGIX
2008-05-30 04:29 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-29 14:50 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-23 13:12 --------- d-----w C:\Dokumente und Einstellungen\!Stacey!\Anwendungsdaten\ICQ
2008-05-17 12:52 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-16 16:19 20,100 ----a-w C:\bittersweet.zip
2008-05-14 16:23 4,495,072 ----a-w C:\LimeWireWin416.exe
2008-01-07 18:50 24,192 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermptxp.sys
2008-01-07 18:50 22,768 ----a-w C:\Dokumente und Einstellungen\!Stacey!\usbsermpt.sys
2007-12-24 12:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007122420071225\index.dat
.

------- Sigcheck -------

2004-08-04 14:00 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll

2004-08-04 14:00 822784 be43d00d802c92f01c8cc952c6f483f8 C:\WINDOWS\system32\wininet.dll

2004-08-04 14:00 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-04 14:00 2019840 5aa6fe8b36d7d4074542925c38c142be C:\WINDOWS\system32\ntkrnlpa.exe

2004-08-04 14:00 2140160 fd51b755255e963b1e78b010b575fa7c C:\WINDOWS\system32\ntoskrnl.exe

2004-08-04 14:00 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\explorer.exe

2004-08-04 14:00 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-27 15:52 68856]
"ICQ"="G:\ICQ\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 01:02 1454080]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"TSClientMSIUninstaller"="C:\WINDOWS\Installer\TSClientMsiTrans\tscuinst.vbs" [2004-08-04 14:00 12451]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"vidc.iv31"= C:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= C:\WINDOWS\system32\ir32_32.dll
"vidc.I263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"G:\\ICQ\\ICQ6\\ICQ.exe"=
"C:\\Programme\\kis7.0\\setup.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"52525:TCP"= 52525:TCP:utorrent

S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {A75BF1D0-C7C3-CB55-EE17-3225387FD154} /qb
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 15:34:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-16 15:39:55 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-16 13:39:03
ComboFix2.txt 2008-07-16 10:55:04
ComboFix3.txt 2008-07-16 10:06:06

7 Verzeichnis(se), 12,210,446,336 Bytes frei
10 Verzeichnis(se), 12,195,860,480 Bytes frei

194


Und hier nummer 3:



Infected: Trojan program Trojan.Win32.Agent.uvi c:\qoobox\quarantine\c\dokumente und einstellungen\!stacey!\winlogon.exe.vir 52 KB
Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch c:\qoobox\quarantine\c\programme\mywebsearch\bar\1.bin\mwsoemon.exe.vir 28 KB
Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch c:\qoobox\quarantine\c\programme\mywebsearch\bar\1.bin\mwsoestb.dll.vir 40 KB
Infected: Trojan program Trojan.Win32.Agent.uvi c:\dokumente und einstellungen\!stacey!\eigene dateien\magix downloads\backpacker 1.zip 14,9 KB
Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch.au c:\qoobox\quarantine\c\programme\mywebsearch\bar\1.bin\m3srchmn.exe.vir 24 KB
Dieser Beitrag wurde am 16.07.2008 um 20:57 Uhr von Lani editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: