Virus auf USB-Stick und externer Festplatte

#1 Hallo!

Ich habe jetzt zweimal hintereinander mein Notebook neu aufgesetzt. Nach dem ersten mal hab ich meinen USB-Stick und meine Festplatte angeschlossen und hatte sofort wieder eine zweite Isass.exe bei den Prozessen. Anschließend hatte ich nach jedem Neustart von Vista einen Bluescreen bekommen. Meine Frage ist jetzt, wie ich meine externe Festplatte und meinen USB-Stick wieder verwenden kann, ohne wieder einen Virus zu bekommen.

Vielen Dank im Voraus!

#2 hey, also der von dir beschreibene Prozess gehört zu Windows.

Zitat

Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.

also ich versteh dein Problem, bezüglich diesen Prozesses nicht. Solltest du sosnt wriklich wieder etwas draufhaben, dann mach doch mal folgendes

http://board.protecus.de/t23188.htm

Aber, mach doch erstmal so einen Virenscann, und schau was er sagt, weil Bluescreen, das problem gibts auch des öfteren^^

#3

Zitat

...angeschlossen und hatte sofort wieder eine zweite Isass.exe bei den Prozessen

Sprecht Ihr hier von einer I (wie Ida)-sass.exe,
oder von einer l (wie Ludwig)-sass.exe ???
Das sind zwei paar Schuhe!!!
"Der Ludwig" ist der Systemprozess, die "Ida" der böse Fake, wenn ich mich nicht irre !?
Die "Ida" kann aber in seltenen Fällen auch eine Windowsdatei sein,(HTTP Filter -Internet Information Server) was ich in Deinem Fall aber weniger vermute !
Um das zu klären, lade die "Ida" mal auf Virustotal hoch
http://www.virustotal.com/flash/index_en.html,-zumindest bei Kaspersky steht die "Bad-Version" auf der Blacklist!

#4 Hallo,

1.
zuerst den Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

2.
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

--------------------

««
erstelle eine Avira Rescue System-CD und checke deine externe festplatte auf Viren
http://virus-protect.org/artikel/tools/avirarescue.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo!

Danke füre die schnellen Antworten!
Die Fake Isass.exe hat sich im Dokumente Ordner von Vista versteckt und ständig kamen von meinem Anti-Malware Programm Meldungen von irgendwelchen .dll Dateien über die im Internet nichts zu finden ist. Löschen möchte ich meine Daten eigentlich nicht.

MfG

#6 wende combofix an, klicke die Warnmeldung weg (ist nur proforma) - poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hallo!

Hier ist der Report:


ComboFix 08-07-04.1 - Thomas 04.07.2008 23:11:49.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6000.0.1252.1.1031.18.1299 [GMT 2:00]
ausgeführt von:: C:\Users\Internet\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

.
[color=purple]The following files were disabled during the run:[/color]
C:\Windows\system32\guard32.dll


(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

G:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-04 bis 2008-07-04 ))))))))))))))))))))))))))))))
.

2008-07-04 22:05 . 2008-07-04 22:05 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\PC Tools
2008-07-04 22:05 . 2008-07-04 22:39 <DIR> d-------- C:\Program Files\Spyware Doctor
2008-07-04 22:05 . 2008-06-10 21:22 81,288 --a------ C:\Windows\System32\drivers\iksyssec.sys
2008-07-04 22:05 . 2008-06-02 15:19 66,952 --a------ C:\Windows\System32\drivers\iksysflt.sys
2008-07-04 22:05 . 2008-06-02 15:19 42,376 --a------ C:\Windows\System32\drivers\ikfilesec.sys
2008-07-04 22:05 . 2008-06-02 15:19 29,576 --a------ C:\Windows\System32\drivers\kcom.sys
2008-07-04 21:18 . 2008-07-04 21:18 <DIR> d-------- C:\Users\All Users\PC Tools
2008-07-04 21:18 . 2008-07-04 21:18 <DIR> d-------- C:\ProgramData\PC Tools
2008-07-04 21:17 . 2008-02-05 08:40 12,608 --a------ C:\Windows\System32\drivers\TfKbMon.sys
2008-07-04 21:11 . 2008-07-04 23:07 <DIR> d-a------ C:\Users\All Users\TEMP
2008-07-04 21:11 . 2008-07-04 23:07 <DIR> d-a------ C:\ProgramData\TEMP
2008-07-04 17:13 . 2008-07-04 17:13 8,192 -ra-s---- C:\BOOTSECT.BAK
2008-07-04 15:30 . 2008-07-04 15:30 <DIR> d-------- C:\Users\Internet\AppData\Roaming\CheckPoint
2008-07-04 14:50 . 2008-07-04 14:50 3,504,696 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-07-04 14:49 . 2008-07-04 14:49 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-07-04 14:49 . 2008-07-04 14:49 2,027,008 --a------ C:\Windows\System32\win32k.sys
2008-07-04 14:49 . 2008-07-04 14:49 1,686,528 --a------ C:\Windows\System32\gameux.dll
2008-07-04 14:49 . 2008-07-04 14:49 83,968 --a------ C:\Windows\System32\dnsrslvr.dll
2008-07-04 14:49 . 2008-07-04 14:49 53,760 --a------ C:\Windows\System32\drivers\hdaudbus.sys
2008-07-04 14:49 . 2008-07-04 14:49 24,576 --a------ C:\Windows\System32\dnscacheugc.exe
2008-07-04 14:43 . 2008-07-04 14:43 <DIR> d-------- C:\Users\All Users\ESET
2008-07-04 14:43 . 2008-07-04 14:43 <DIR> d-------- C:\ProgramData\ESET
2008-07-04 14:43 . 2008-07-04 14:43 <DIR> d-------- C:\Program Files\ESET
2008-07-04 13:11 . 2008-07-04 13:11 <DIR> d-------- C:\Windows\System32\Macromed
2008-07-04 11:13 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Searches
2008-07-04 11:13 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Contacts
2008-07-04 11:13 . 2008-07-04 11:13 <DIR> d-------- C:\Users\Internet\AppData\Roaming\Comodo
2008-07-04 00:12 . 2008-07-04 00:12 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\Comodo
2008-07-04 00:12 . 2008-07-04 11:14 <DIR> d-------- C:\Users\All Users\comodo
2008-07-04 00:12 . 2008-07-04 11:14 <DIR> d-------- C:\ProgramData\comodo
2008-07-04 00:12 . 2008-07-04 00:12 <DIR> d-------- C:\Program Files\COMODO
2008-07-04 00:12 . 2008-07-04 00:12 143,104 --a------ C:\Windows\System32\guard32.dll
2008-07-04 00:12 . 2008-07-04 00:12 85,008 --a------ C:\Windows\System32\drivers\cmdguard.sys
2008-07-04 00:12 . 2008-07-04 00:12 25,104 --a------ C:\Windows\System32\drivers\cmdhlp.sys
2008-07-04 00:09 . 2008-07-04 00:09 <DIR> d-------- C:\Program Files\CCleaner
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Videos
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Saved Games
2008-07-04 00:02 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Internet\Roaming
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Pictures
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Music
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Links
2008-07-04 00:02 . 2008-07-04 23:05 <DIR> dr------- C:\Users\Internet\Downloads
2008-07-04 00:02 . 2008-07-04 15:30 <DIR> dr------- C:\Users\Internet\Documents
2008-07-04 00:02 . 2006-11-02 14:35 <DIR> d-------- C:\Users\Internet\AppData\Roaming\Media Center Programs
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> d--h----- C:\Users\Internet\AppData
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> d-------- C:\Users\Internet
2008-07-03 22:56 . 2008-07-03 22:56 <DIR> d-------- C:\Program Files\BitLocker
2008-07-03 22:55 . 2008-07-03 22:55 1,152,000 --a------ C:\Windows\System32\themecpl.dll
2008-07-03 22:55 . 2008-07-03 22:55 233,888 --a------ C:\Windows\System32\DreamScene.dll
2008-07-03 22:49 . 2008-07-03 22:49 296,448 --a------ C:\Windows\System32\gdi32.dll
2008-07-03 22:48 . 2008-07-03 22:48 1,171,848 --a------ C:\Windows\System32\SecureKeyBackupCPL.dll
2008-07-03 22:48 . 2008-07-03 22:48 711 --a------ C:\Windows\System32\CPSOKBTasks.xml
2008-07-03 22:47 . 2008-07-03 22:47 1,327,104 --a------ C:\Windows\System32\quartz.dll
2008-07-03 22:47 . 2008-07-03 22:47 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-07-03 22:47 . 2008-07-03 22:47 14,848 --a------ C:\Windows\System32\wshrm.dll
2008-07-03 22:46 . 2008-07-03 22:46 1,244,672 --a------ C:\Windows\System32\mcmde.dll
2008-07-03 22:46 . 2008-07-03 22:46 428,032 --a------ C:\Windows\System32\EncDec.dll
2008-07-03 22:46 . 2008-07-03 22:46 292,352 --a------ C:\Windows\System32\psisdecd.dll
2008-07-03 22:46 . 2008-07-03 22:46 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-07-03 22:46 . 2008-07-03 22:46 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-07-03 22:46 . 2008-07-03 22:46 68,608 --a------ C:\Windows\System32\Mpeg2Data.ax
2008-07-03 22:46 . 2008-07-03 22:46 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-07-03 22:03 . 2008-07-03 23:53 <DIR> d-------- C:\Users\All Users\Kaspersky Lab
2008-07-03 22:03 . 2008-07-03 23:53 <DIR> d-------- C:\ProgramData\Kaspersky Lab
2008-07-03 22:03 . 2008-07-03 22:03 <DIR> d-------- C:\Program Files\Kaspersky Lab
2008-07-03 21:53 . 2008-07-04 22:36 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\CheckPoint
2008-07-03 21:48 . 2008-07-03 21:48 <DIR> d-------- C:\Users\All Users\Kaspersky Lab Setup Files
2008-07-03 21:48 . 2008-07-03 21:48 <DIR> d-------- C:\ProgramData\Kaspersky Lab Setup Files
2008-07-03 21:44 . 2008-07-03 21:44 <DIR> d-------- C:\Users\All Users\MailFrontier
2008-07-03 21:44 . 2008-07-03 21:44 <DIR> d-------- C:\ProgramData\MailFrontier
2008-07-03 21:44 . 2008-07-03 21:44 <DIR> d-------- C:\Program Files\CheckPoint
2008-07-03 21:44 . 2008-07-04 15:29 144 --a------ C:\Windows\System32\lkfl.dat
2008-07-03 21:44 . 2008-07-04 15:29 128 --a------ C:\Windows\System32\pdfl.dat
2008-07-03 21:44 . 2008-07-04 15:29 96 --a------ C:\Windows\System32\ibfl.dat
2008-07-03 21:43 . 2008-07-04 11:11 <DIR> d-------- C:\Windows\System32\ZoneLabs
2008-07-03 21:43 . 2008-07-04 11:11 <DIR> d-------- C:\Windows\Internet Logs
2008-07-03 21:43 . 2008-07-03 21:43 <DIR> d-------- C:\Users\All Users\CheckPoint
2008-07-03 21:43 . 2008-07-03 21:43 <DIR> d-------- C:\ProgramData\CheckPoint
2008-07-03 21:41 . 2008-07-03 21:41 1,712,984 --a------ C:\Windows\System32\wuaueng.dll
2008-07-03 21:41 . 2008-07-03 21:41 1,524,224 --a------ C:\Windows\System32\wucltux.dll
2008-07-03 21:41 . 2008-07-03 21:41 53,080 --a------ C:\Windows\System32\wuauclt.exe
2008-07-03 21:41 . 2008-07-03 21:41 43,352 --a------ C:\Windows\System32\wups2.dll
2008-07-03 21:40 . 2008-07-03 21:40 549,720 --a------ C:\Windows\System32\wuapi.dll
2008-07-03 21:40 . 2008-07-03 21:40 163,000 --a------ C:\Windows\System32\wuwebv.dll
2008-07-03 21:40 . 2008-07-03 21:40 80,896 --a------ C:\Windows\System32\wudriver.dll
2008-07-03 21:40 . 2008-07-03 21:40 33,624 --a------ C:\Windows\System32\wups.dll
2008-07-03 21:40 . 2008-07-03 21:40 31,232 --a------ C:\Windows\System32\wuapp.exe
2008-07-03 21:21 . 2008-07-03 20:29 <DIR> d-------- C:\Windows\Panther
2008-07-03 21:21 . 2008-07-04 17:13 <DIR> d--hs---- C:\Boot
2008-07-03 21:21 . 2008-01-19 09:45 333,203 -rahs---- C:\bootmgr
2008-07-03 21:20 . 2008-07-03 21:20 <DIR> d-------- C:\Windows\System32\OEM
2008-07-03 21:20 . 2007-03-16 18:40 59 -ra------ C:\Windows\DELL_VERSION
2008-07-03 21:04 . 2008-07-03 21:05 <DIR> d-------- C:\Windows\T2I
2008-07-03 21:03 . 2008-07-03 21:22 27,430 --a------ C:\Users\Thomas\AppData\Roaming\nvModes.dat
2008-07-03 20:54 . 2008-07-03 23:01 <DIR> d-------- C:\Users\All Users\NVIDIA
2008-07-03 20:54 . 2008-07-03 23:01 <DIR> d-------- C:\ProgramData\NVIDIA
2008-07-03 20:51 . 2007-02-12 08:36 277,784 --a------ C:\Windows\System32\drivers\iaStor.sys
2008-07-03 20:50 . 2008-07-03 20:50 <DIR> d-------- C:\Windows\System32\Lang
2008-07-03 20:50 . 2008-07-03 20:50 <DIR> d-------- C:\Windows\System32\DEU
2008-07-03 20:50 . 2007-05-08 11:45 936,728 -ra------ C:\Windows\System32\imsmudlg.exe
2008-07-03 20:50 . 2007-05-03 17:45 790,528 --a------ C:\Windows\System32\SMB.cpl
2008-07-03 20:50 . 2006-11-10 03:25 319,456 -ra------ C:\Windows\System32\difxapi.dll
2008-07-03 20:50 . 2007-05-04 05:21 208,896 --a------ C:\Windows\System32\drivers\iaNvStor.sys
2008-07-03 20:50 . 2007-05-04 05:29 167,936 -ra------ C:\Windows\System32\nvccoin.dll
2008-07-03 20:49 . 2007-05-03 17:47 1,986,560 --a------ C:\Windows\System32\WVAProp.cpl
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Thomas\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\Intel
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Public\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Default\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\All Users\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\ProgramData\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 257 --a------ C:\Windows\System32\install.xml
2008-07-03 20:48 . 2008-07-03 20:48 56 --a------ C:\Windows\System32\IHV_Install.bat
2008-07-03 20:47 . 2008-07-03 20:47 <DIR> d-------- C:\Users\All Users\Intel
2008-07-03 20:47 . 2008-07-03 20:47 <DIR> d-------- C:\ProgramData\Intel
2008-07-03 20:46 . 2008-07-03 20:46 <DIR> d-------- C:\Program Files\Protector Suite QL
2008-07-03 20:45 . 2008-07-03 20:45 <DIR> d-------- C:\Users\All Users\UIB
2008-07-03 20:45 . 2008-07-03 20:45 <DIR> d-------- C:\ProgramData\UIB
2008-07-03 20:45 . 2008-07-03 20:45 <DIR> d-------- C:\Program Files\Broadcom
2008-07-03 20:43 . 2004-09-04 03:00 90,112 --a------ C:\Windows\System32\snymsico.dll
2008-07-03 20:43 . 2007-01-23 16:40 42,496 --a------ C:\Windows\System32\drivers\rimsptsk.sys
2008-07-03 20:43 . 2007-02-24 14:42 39,936 --a------ C:\Windows\System32\drivers\rimmptsk.sys
2008-07-03 20:42 . 2008-07-03 22:25 <DIR> d-------- C:\Windows\Downloaded Installations
2008-07-03 20:42 . 2008-07-03 20:42 <DIR> d-------- C:\Users\All Users\XP32
2008-07-03 20:42 . 2008-07-03 20:42 <DIR> d-------- C:\Users\All Users\Vista64

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 13:24 --------- d-----w C:\Program Files\Windows Mail
2008-07-04 12:50 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-07-04 12:50 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-07-04 12:50 374,456 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll
2008-07-04 12:50 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-07-04 12:50 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-07-04 12:50 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-07-04 12:50 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-07-04 12:50 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-07-04 12:50 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-07-04 12:50 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-07-04 12:50 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-07-04 12:50 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-07-04 12:49 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-07-04 12:49 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-04 12:49 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-07-04 12:49 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-04 12:49 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-07-03 20:45 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-07-03 20:45 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-07-03 20:45 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-07-03 20:45 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-07-03 18:40 319,456 ----a-w C:\Windows\DIFxAPI.dll
2008-07-03 18:40 315,392 ----a-w C:\Windows\HideWin.exe
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Vorlagen
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Startmenü
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Favoriten
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Dokumente
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Anwendungsdaten
2008-07-03 18:31 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2008-07-03 18:27 174 --sha-w C:\Program Files\desktop.ini
2008-04-25 16:22 206,088 ----a-w C:\Windows\System32\klogon.dll
2008-04-11 15:23 38,400 ----a-w C:\Windows\System32\SoundSchemes.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
2008-04-25 18:22 62728 --a------ C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
2008-06-30 17:06 361840 --a------ C:\Program Files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerIEPlugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}"= "C:\Program Files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerIEPlugin.dll" [2008-06-30 17:06 361840]

[HKEY_CLASSES_ROOT\clsid\{ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{80E552F9-F23B-4DD7-A1CD-80AA724529E6}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}"= "C:\Program Files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerIEPlugin.dll" [2008-06-30 17:06 361840]

[HKEY_CLASSES_ROOT\clsid\{ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{80E552F9-F23B-4DD7-A1CD-80AA724529E6}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WLSS"="C:\Program Files\Compal\Wireless Select Switch\WLSS.exe" [2007-04-23 18:55 190000]
"PSQLLauncher"="C:\Program Files\Protector Suite QL\launcher.exe" [2007-03-28 19:23 49168]
"Wow Video&Audio"="C:\Program Files\Compal\Wow Video&Audio\WVAMain.exe" [2007-05-03 17:51 951856]
"SMBTray"="C:\Program Files\Compal\Smart Battery\SMBTray.exe" [2007-06-04 17:22 521776]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-08 11:45 174872]
"IaNvSrv"="C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-08 11:45 33048]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2008-01-11 07:43 92704]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-01-11 07:43 8534560]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-01-11 07:43 88608]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-07-04 00:12 1655552]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-06-10 18:52 1447168]
"ISW"="C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" [2008-07-02 15:49 441592]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-20 10:56 4493312 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-06-15 10:45 1826816 C:\Windows\SkyTel.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-28 19:46 90112 C:\Windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 EMSC;COMPAL Embedded System Control;C:\Windows\system32\DRIVERS\EMSC.SYS [2007-02-13 10:29]
R0 iaNvStor;Intel(R) Turbo Memory Technology NAND Controller;C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-05-04 05:21]
R0 klbg;Kaspersky Lab Boot Guard Driver;C:\Windows\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\Windows\system32\DRIVERS\cmdguard.sys [2008-07-04 00:12]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\Windows\system32\DRIVERS\cmdhlp.sys [2008-07-04 00:12]
R1 epfwtdir;epfwtdir;C:\Windows\system32\DRIVERS\epfwtdir.sys [2008-06-10 18:56]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\system32\DRIVERS\klim6.sys [2008-03-26 13:10]
R2 IswSvc;ForceField IswSvc;"C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe" [2008-07-02 15:49]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 15:03]
S3 ThreatFire;ThreatFire;C:\Program Files\Spyware Doctor\TFEngine\TFService.exe service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3095dcf-492c-11dd-a76e-806e6f6e6963}]
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\index.html


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-04 23:17:25
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\wlanext.exe
C:\Program Files\Protector Suite QL\upeksvr.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Windows\System32\conime.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\CheckPoint\ZAForceField\ISWMGR.exe
C:\Program Files\CheckPoint\ZAForceField\ISWMGR.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-04 23:19:17 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-04 21:19:05

6 Verzeichnis(se), 70,786,359,296 Bytes frei
13 Verzeichnis(se), 70,283,415,552 Bytes frei

277 --- E O F --- 2008-07-04 15:19:57


Und der Report von der Quarantine:

2008-07-02 21:24 115 --a------ C:\Qoobox\Quarantine\G\autorun.inf.vir
2008-07-04 23:14 54 --a------ C:\Qoobox\Quarantine\catchme.log


Das heißt eigentlich, dass auf meiner externen Festplatte doch etwas ist, bzw. war. oder?

MfG

#8 Hallo hl68fx

0.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Windows\System32\SoundSchemes.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren

---------------------------------------------------------------

1.
erst einmal hast du viel zu viele Antivirensoftware aktiv, ich sehe Kaspersky, Spyware Doctor, Eser Nod32, Protector Suite, Comodo ...
Wahrscheinlich kommt es so zu Konflikten

2.
wende das an auf

G:\ und F:\ - zwei unterschiedliche Sticks
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

--------------------------------------------------------------------

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3095dcf-492c-11dd-a76e-806e6f6e6963}]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo!

die SoundSchemes.exe ist virenfrei.

Datei SoundSchemes.exe empfangen 2008.07.05 14:42:21 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.4.1 2008.07.05 -
AntiVir 7.8.0.64 2008.07.04 -
Authentium 5.1.0.4 2008.07.04 -
Avast 4.8.1195.0 2008.07.04 -
AVG 7.5.0.516 2008.07.05 -
BitDefender 7.2 2008.07.05 -
CAT-QuickHeal 9.50 2008.07.04 -
ClamAV 0.93.1 2008.07.04 -
DrWeb 4.44.0.09170 2008.07.05 -
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5929 2008.07.05 -
Ewido 4.0 2008.07.05 -
F-Prot 4.4.4.56 2008.07.04 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.05 -
GData 2.0.7306.1023 2008.07.05 -
Ikarus T3.1.1.26.0 2008.07.05 -
Kaspersky 7.0.0.125 2008.07.05 -
McAfee 5332 2008.07.04 -
Microsoft 1.3704 2008.07.05 -
NOD32v2 3244 2008.07.05 -
Norman 5.80.02 2008.07.04 -
Panda 9.0.0.4 2008.07.05 -
Prevx1 V2 2008.07.05 -
Rising 20.51.42.00 2008.07.04 -
Sophos 4.31.0 2008.07.05 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.05 -
TheHacker 6.2.96.371 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.05 -
VBA32 3.12.6.8 2008.07.04 -
VirusBuster 4.5.11.0 2008.07.04 -
Webwasher-Gateway 6.6.2 2008.07.05 -
weitere Informationen
File size: 38400 bytes
MD5...: 5e8acedcff234a3a165925f4cf22620c
SHA1..: 2e4e950f06fd8496569b54143441dd6f81843f4a
SHA256: 0e295435abb7c9039aa6dfba7d56b54e13bf0fd519288c517d3809a34461f730
SHA512: e13653b5c169e313892fa972d729fa63e0a56832236a0ea4dc99fcaf4cc0b06f<br>7debde459500b7a0e7a6b30a4c691113c266208fd767105e1d4fd8ec86d68ef9
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100843f<br>timedatestamp.....: 0x48000118 (Sat Apr 12 00:23:52 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x7e7c 0x8000 4.72 967f7236f8f7c7edebdc52cf2c4da59f<br>.data 0x9000 0x384 0x200 0.30 26d2af9b5ae35538e55951b8e598e42b<br>.rsrc 0xa000 0x8d8 0xa00 3.26 a39f584cef7e983dbff14a6ab0920ba6<br>.reloc 0xb000 0x49e 0x600 5.05 b2b035dd2d4c985abd36f78bd9920e72<br><br>( 5 imports ) <br>&gt; ADVAPI32.dll: RegCloseKey, RegDeleteValueW, RegSetValueExW, RegCreateKeyExW, RegDeleteKeyW, RegQueryValueExW, RegEnumKeyExW, RegOpenKeyExW<br>&gt; KERNEL32.dll: GetFileAttributesW, IsWow64Process, GetCurrentProcess, ExpandEnvironmentStringsW, Wow64RevertWow64FsRedirection, Wow64DisableWow64FsRedirection, RegisterApplicationRestart, HeapSetInformation, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, UnhandledExceptionFilter<br>&gt; USER32.dll: LoadStringW<br>&gt; msvcrt.dll: _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _terminate@@YAXXZ, _except_handler4_common, _controlfp, __setusermatherr, _amsg_exit, _initterm, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, mbstowcs_s, _wcsicmp, _wcslwr, wcsstr, _vsnwprintf, exit, _acmdln<br>&gt; SHELL32.dll: SHSetLocalizedName<br><br>( 0 exports ) <br>


Der Flash_Disinfector konnte auch nichts finden.


Combofix:

ComboFix 08-07-04.3 - Thomas 2008-07-05 14:01:42.2 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6000.0.1252.1.1031.18.1217 [GMT 2:00]
ausgeführt von:: C:\Users\Thomas\Desktop\ComboFix.exe
Command switches used :: C:\Users\Thomas\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

.

((((((((((((((((((((((( Dateien erstellt von 2008-06-05 bis 2008-07-05 ))))))))))))))))))))))))))))))
.

2008-07-04 23:38 . 2008-07-04 23:38 <DIR> d-------- C:\Users\All Users\SRS Labs
2008-07-04 23:38 . 2008-07-04 23:38 <DIR> d-------- C:\ProgramData\SRS Labs
2008-07-04 23:37 . 2008-07-04 23:37 <DIR> d-------- C:\Program Files\SRS Labs
2008-07-04 23:37 . 2007-07-26 09:25 47,360 --a------ C:\Windows\System32\drivers\Surroundhp_kern_i386.sys
2008-07-04 23:37 . 2007-07-26 09:25 47,104 --a------ C:\Windows\System32\drivers\tshd4_kern_i386.sys
2008-07-04 23:37 . 2007-07-26 09:25 42,112 --a------ C:\Windows\System32\drivers\csiidecoder_kern_i386.sys
2008-07-04 23:37 . 2007-07-26 09:25 39,808 --a------ C:\Windows\System32\drivers\SRS_SSCFilter_i386.sys
2008-07-04 23:37 . 2007-07-26 09:25 32,000 --a------ C:\Windows\System32\drivers\wowhd_kern_i386.sys
2008-07-04 22:05 . 2008-07-04 22:05 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\PC Tools
2008-07-04 22:05 . 2008-07-04 23:56 <DIR> d-------- C:\Program Files\Spyware Doctor
2008-07-04 22:05 . 2008-06-10 21:22 81,288 --a------ C:\Windows\System32\drivers\iksyssec.sys
2008-07-04 22:05 . 2008-06-02 15:19 66,952 --a------ C:\Windows\System32\drivers\iksysflt.sys
2008-07-04 22:05 . 2008-06-02 15:19 42,376 --a------ C:\Windows\System32\drivers\ikfilesec.sys
2008-07-04 22:05 . 2008-06-02 15:19 29,576 --a------ C:\Windows\System32\drivers\kcom.sys
2008-07-04 21:18 . 2008-07-04 21:18 <DIR> d-------- C:\Users\All Users\PC Tools
2008-07-04 21:18 . 2008-07-04 21:18 <DIR> d-------- C:\ProgramData\PC Tools
2008-07-04 21:17 . 2008-02-05 08:40 12,608 --a------ C:\Windows\System32\drivers\TfKbMon.sys
2008-07-04 21:11 . 2008-07-05 13:21 <DIR> d-a------ C:\Users\All Users\TEMP
2008-07-04 21:11 . 2008-07-05 13:21 <DIR> d-a------ C:\ProgramData\TEMP
2008-07-04 17:13 . 2008-07-04 17:13 8,192 -ra-s---- C:\BOOTSECT.BAK
2008-07-04 15:30 . 2008-07-04 15:30 <DIR> d-------- C:\Users\Internet\AppData\Roaming\CheckPoint
2008-07-04 14:50 . 2008-07-04 14:50 3,504,696 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-07-04 14:49 . 2008-07-04 14:49 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-07-04 14:49 . 2008-07-04 14:49 2,027,008 --a------ C:\Windows\System32\win32k.sys
2008-07-04 14:49 . 2008-07-04 14:49 1,686,528 --a------ C:\Windows\System32\gameux.dll
2008-07-04 14:49 . 2008-07-04 14:49 83,968 --a------ C:\Windows\System32\dnsrslvr.dll
2008-07-04 14:49 . 2008-07-04 14:49 53,760 --a------ C:\Windows\System32\drivers\hdaudbus.sys
2008-07-04 14:49 . 2008-07-04 14:49 24,576 --a------ C:\Windows\System32\dnscacheugc.exe
2008-07-04 14:43 . 2008-07-04 14:43 <DIR> d-------- C:\Users\All Users\ESET
2008-07-04 14:43 . 2008-07-04 14:43 <DIR> d-------- C:\ProgramData\ESET
2008-07-04 14:43 . 2008-07-04 14:43 <DIR> d-------- C:\Program Files\ESET
2008-07-04 13:11 . 2008-07-04 13:11 <DIR> d-------- C:\Windows\System32\Macromed
2008-07-04 11:13 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Searches
2008-07-04 11:13 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Contacts
2008-07-04 11:13 . 2008-07-04 11:13 <DIR> d-------- C:\Users\Internet\AppData\Roaming\Comodo
2008-07-04 00:12 . 2008-07-04 00:12 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\Comodo
2008-07-04 00:12 . 2008-07-04 11:14 <DIR> d-------- C:\Users\All Users\comodo
2008-07-04 00:12 . 2008-07-04 11:14 <DIR> d-------- C:\ProgramData\comodo
2008-07-04 00:12 . 2008-07-04 00:12 <DIR> d-------- C:\Program Files\COMODO
2008-07-04 00:12 . 2008-07-04 00:12 143,104 --a------ C:\Windows\System32\guard32.dll
2008-07-04 00:12 . 2008-07-04 00:12 85,008 --a------ C:\Windows\System32\drivers\cmdguard.sys
2008-07-04 00:12 . 2008-07-04 00:12 25,104 --a------ C:\Windows\System32\drivers\cmdhlp.sys
2008-07-04 00:09 . 2008-07-04 00:09 <DIR> d-------- C:\Program Files\CCleaner
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Videos
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Saved Games
2008-07-04 00:02 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Internet\Roaming
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Pictures
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Music
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> dr------- C:\Users\Internet\Links
2008-07-04 00:02 . 2008-07-04 23:05 <DIR> dr------- C:\Users\Internet\Downloads
2008-07-04 00:02 . 2008-07-04 15:30 <DIR> dr------- C:\Users\Internet\Documents
2008-07-04 00:02 . 2006-11-02 14:35 <DIR> d-------- C:\Users\Internet\AppData\Roaming\Media Center Programs
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> d--h----- C:\Users\Internet\AppData
2008-07-04 00:02 . 2008-07-04 11:13 <DIR> d-------- C:\Users\Internet
2008-07-03 22:56 . 2008-07-03 22:56 <DIR> d-------- C:\Program Files\BitLocker
2008-07-03 22:55 . 2008-07-03 22:55 1,152,000 --a------ C:\Windows\System32\themecpl.dll
2008-07-03 22:55 . 2008-07-03 22:55 233,888 --a------ C:\Windows\System32\DreamScene.dll
2008-07-03 22:49 . 2008-07-03 22:49 296,448 --a------ C:\Windows\System32\gdi32.dll
2008-07-03 22:48 . 2008-07-03 22:48 1,171,848 --a------ C:\Windows\System32\SecureKeyBackupCPL.dll
2008-07-03 22:48 . 2008-07-03 22:48 711 --a------ C:\Windows\System32\CPSOKBTasks.xml
2008-07-03 22:47 . 2008-07-03 22:47 1,327,104 --a------ C:\Windows\System32\quartz.dll
2008-07-03 22:47 . 2008-07-03 22:47 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-07-03 22:47 . 2008-07-03 22:47 14,848 --a------ C:\Windows\System32\wshrm.dll
2008-07-03 22:46 . 2008-07-03 22:46 1,244,672 --a------ C:\Windows\System32\mcmde.dll
2008-07-03 22:46 . 2008-07-03 22:46 428,032 --a------ C:\Windows\System32\EncDec.dll
2008-07-03 22:46 . 2008-07-03 22:46 292,352 --a------ C:\Windows\System32\psisdecd.dll
2008-07-03 22:46 . 2008-07-03 22:46 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-07-03 22:46 . 2008-07-03 22:46 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-07-03 22:46 . 2008-07-03 22:46 68,608 --a------ C:\Windows\System32\Mpeg2Data.ax
2008-07-03 22:46 . 2008-07-03 22:46 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-07-03 22:03 . 2008-07-03 22:03 <DIR> d-------- C:\Program Files\Kaspersky Lab
2008-07-03 21:53 . 2008-07-04 22:36 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\CheckPoint
2008-07-03 21:48 . 2008-07-03 21:48 <DIR> d-------- C:\Users\All Users\Kaspersky Lab Setup Files
2008-07-03 21:48 . 2008-07-03 21:48 <DIR> d-------- C:\ProgramData\Kaspersky Lab Setup Files
2008-07-03 21:44 . 2008-07-03 21:44 <DIR> d-------- C:\Users\All Users\MailFrontier
2008-07-03 21:44 . 2008-07-03 21:44 <DIR> d-------- C:\ProgramData\MailFrontier
2008-07-03 21:44 . 2008-07-03 21:44 <DIR> d-------- C:\Program Files\CheckPoint
2008-07-03 21:44 . 2008-07-04 15:29 144 --a------ C:\Windows\System32\lkfl.dat
2008-07-03 21:44 . 2008-07-04 15:29 128 --a------ C:\Windows\System32\pdfl.dat
2008-07-03 21:44 . 2008-07-04 15:29 96 --a------ C:\Windows\System32\ibfl.dat
2008-07-03 21:43 . 2008-07-04 11:11 <DIR> d-------- C:\Windows\System32\ZoneLabs
2008-07-03 21:43 . 2008-07-04 11:11 <DIR> d-------- C:\Windows\Internet Logs
2008-07-03 21:43 . 2008-07-03 21:43 <DIR> d-------- C:\Users\All Users\CheckPoint
2008-07-03 21:43 . 2008-07-03 21:43 <DIR> d-------- C:\ProgramData\CheckPoint
2008-07-03 21:41 . 2008-07-03 21:41 1,712,984 --a------ C:\Windows\System32\wuaueng.dll
2008-07-03 21:41 . 2008-07-03 21:41 1,524,224 --a------ C:\Windows\System32\wucltux.dll
2008-07-03 21:41 . 2008-07-03 21:41 53,080 --a------ C:\Windows\System32\wuauclt.exe
2008-07-03 21:41 . 2008-07-03 21:41 43,352 --a------ C:\Windows\System32\wups2.dll
2008-07-03 21:40 . 2008-07-03 21:40 549,720 --a------ C:\Windows\System32\wuapi.dll
2008-07-03 21:40 . 2008-07-03 21:40 163,000 --a------ C:\Windows\System32\wuwebv.dll
2008-07-03 21:40 . 2008-07-03 21:40 80,896 --a------ C:\Windows\System32\wudriver.dll
2008-07-03 21:40 . 2008-07-03 21:40 33,624 --a------ C:\Windows\System32\wups.dll
2008-07-03 21:40 . 2008-07-03 21:40 31,232 --a------ C:\Windows\System32\wuapp.exe
2008-07-03 21:21 . 2008-07-03 20:29 <DIR> d-------- C:\Windows\Panther
2008-07-03 21:21 . 2008-07-04 17:13 <DIR> d--hs---- C:\Boot
2008-07-03 21:21 . 2008-01-19 09:45 333,203 -rahs---- C:\bootmgr
2008-07-03 21:20 . 2008-07-03 21:20 <DIR> d-------- C:\Windows\System32\OEM
2008-07-03 21:20 . 2007-03-16 18:40 59 -ra------ C:\Windows\DELL_VERSION
2008-07-03 21:04 . 2008-07-03 21:05 <DIR> d-------- C:\Windows\T2I
2008-07-03 21:03 . 2008-07-03 21:22 27,430 --a------ C:\Users\Thomas\AppData\Roaming\nvModes.dat
2008-07-03 20:54 . 2008-07-03 23:01 <DIR> d-------- C:\Users\All Users\NVIDIA
2008-07-03 20:54 . 2008-07-03 23:01 <DIR> d-------- C:\ProgramData\NVIDIA
2008-07-03 20:51 . 2007-02-12 08:36 277,784 --a------ C:\Windows\System32\drivers\iaStor.sys
2008-07-03 20:50 . 2008-07-03 20:50 <DIR> d-------- C:\Windows\System32\Lang
2008-07-03 20:50 . 2008-07-03 20:50 <DIR> d-------- C:\Windows\System32\DEU
2008-07-03 20:50 . 2007-05-08 11:45 936,728 -ra------ C:\Windows\System32\imsmudlg.exe
2008-07-03 20:50 . 2007-05-03 17:45 790,528 --a------ C:\Windows\System32\SMB.cpl
2008-07-03 20:50 . 2006-11-10 03:25 319,456 -ra------ C:\Windows\System32\difxapi.dll
2008-07-03 20:50 . 2007-05-04 05:21 208,896 --a------ C:\Windows\System32\drivers\iaNvStor.sys
2008-07-03 20:50 . 2007-05-04 05:29 167,936 -ra------ C:\Windows\System32\nvccoin.dll
2008-07-03 20:49 . 2007-05-03 17:47 1,986,560 --a------ C:\Windows\System32\WVAProp.cpl
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Thomas\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Thomas\AppData\Roaming\Intel
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Public\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\Default\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\Users\All Users\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 <DIR> d-------- C:\ProgramData\Roaming
2008-07-03 20:48 . 2008-07-03 20:48 257 --a------ C:\Windows\System32\install.xml
2008-07-03 20:48 . 2008-07-03 20:48 56 --a------ C:\Windows\System32\IHV_Install.bat
2008-07-03 20:47 . 2008-07-03 20:47 <DIR> d-------- C:\Users\All Users\Intel
2008-07-03 20:47 . 2008-07-03 20:47 <DIR> d-------- C:\ProgramData\Intel
2008-07-03 20:46 . 2008-07-03 20:46 <DIR> d-------- C:\Program Files\Protector Suite QL
2008-07-03 20:45 . 2008-07-03 20:45 <DIR> d-------- C:\Users\All Users\UIB
2008-07-03 20:45 . 2008-07-03 20:45 <DIR> d-------- C:\ProgramData\UIB
2008-07-03 20:45 . 2008-07-03 20:45 <DIR> d-------- C:\Program Files\Broadcom

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 13:24 --------- d-----w C:\Program Files\Windows Mail
2008-07-04 12:50 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-07-04 12:50 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-07-04 12:50 374,456 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll
2008-07-04 12:50 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-07-04 12:50 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-07-04 12:50 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-07-04 12:50 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-07-04 12:50 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-07-04 12:50 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-07-04 12:50 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-07-04 12:50 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-07-04 12:50 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-07-04 12:49 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-07-04 12:49 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-04 12:49 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-07-04 12:49 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-04 12:49 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-07-03 20:45 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-07-03 20:45 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-07-03 20:45 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-07-03 20:45 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-07-03 18:40 319,456 ----a-w C:\Windows\DIFxAPI.dll
2008-07-03 18:40 315,392 ----a-w C:\Windows\HideWin.exe
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Vorlagen
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Startmenü
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Favoriten
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Dokumente
2008-07-03 18:31 --------- d-sh--w C:\ProgramData\Anwendungsdaten
2008-07-03 18:31 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2008-07-03 18:27 174 --sha-w C:\Program Files\desktop.ini
2008-04-11 15:23 38,400 ----a-w C:\Windows\System32\SoundSchemes.exe
.

((((((((((((((((((((((((((((( snapshot@2008-07-04_23.18.19.84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-04 21:16:45 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-07-05 11:57:23 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-07-04 13:24:29 51,200 ----a-w C:\Windows\inf\infpub.dat
+ 2008-07-05 11:02:14 51,200 ----a-w C:\Windows\inf\infpub.dat
- 2008-07-04 13:24:29 86,016 ----a-w C:\Windows\inf\infstor.dat
+ 2008-07-05 11:02:14 86,016 ----a-w C:\Windows\inf\infstor.dat
- 2008-07-04 13:24:29 86,016 ----a-w C:\Windows\inf\infstrng.dat
+ 2008-07-05 11:02:14 86,016 ----a-w C:\Windows\inf\infstrng.dat
+ 2008-07-04 21:37:13 10,134 ----a-r C:\Windows\Installer\{C3CBE4AD-CC84-484F-8E44-CFB303BFDA4D}\ARPPRODUCTICON.exe
+ 2008-07-04 21:37:13 25,214 ----a-r C:\Windows\Installer\{C3CBE4AD-CC84-484F-8E44-CFB303BFDA4D}\NewShortcut1_169D2098AAE54AAAB9FD06A9EF288CAB.exe
+ 2008-07-04 21:37:13 25,214 ----a-r C:\Windows\Installer\{C3CBE4AD-CC84-484F-8E44-CFB303BFDA4D}\NewShortcut11_C3CBE4ADCC84484F8E44CFB303BFDA4D.exe
+ 2008-07-04 21:37:13 25,214 ----a-r C:\Windows\Installer\{C3CBE4AD-CC84-484F-8E44-CFB303BFDA4D}\NewShortcut3_C3CBE4ADCC84484F8E44CFB303BFDA4D.exe
+ 2008-07-05 11:57:24 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-07-05 11:57:24 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2006-11-02 09:46:13 41,472 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
- 2008-07-04 21:17:18 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-07-05 11:59:04 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-07-05 11:59:04 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-07-04 21:17:18 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-07-05 11:58:59 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-07-05 11:58:59 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
+ 2008-07-04 21:38:36 34,308 ----a-w C:\Windows\System32\BASSMOD.dll
- 2008-07-04 20:59:57 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-07-04 21:26:40 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-07-04 20:59:57 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-04 21:26:40 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-04 20:59:57 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-07-04 21:26:40 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-07-04 21:11:35 262,144 ----a-w C:\Windows\System32\config\systemprofile\ntuser.dat
+ 2008-07-05 11:14:34 262,144 ----a-w C:\Windows\System32\config\systemprofile\ntuser.dat
+ 2008-07-05 11:14:34 262,144 ---ha-w C:\Windows\System32\config\systemprofile\ntuser.dat.LOG1
+ 2006-11-02 09:46:14 219,648 ----a-w C:\Windows\System32\drivers\UMDF\WpdFs.dll
+ 2007-07-26 07:25:08 42,112 ------w C:\Windows\System32\DriverStore\FileRepository\ssc.inf_7ce4fad9\csiidecoder_kern_i386.sys
+ 2007-07-26 07:25:12 39,808 ------w C:\Windows\System32\DriverStore\FileRepository\ssc.inf_7ce4fad9\SRS_SSCFilter_i386.sys
+ 2007-07-26 07:25:06 47,360 ------w C:\Windows\System32\DriverStore\FileRepository\ssc.inf_7ce4fad9\Surroundhp_kern_i386.sys
+ 2007-07-26 07:25:06 47,104 ------w C:\Windows\System32\DriverStore\FileRepository\ssc.inf_7ce4fad9\tshd4_kern_i386.sys
+ 2007-07-26 07:25:06 32,000 ------w C:\Windows\System32\DriverStore\FileRepository\ssc.inf_7ce4fad9\wowhd_kern_i386.sys
- 2008-07-04 21:07:30 116,706 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-07-05 11:15:20 116,706 ----a-w C:\Windows\System32\perfc007.dat
- 2008-07-04 21:07:30 103,924 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-07-05 11:15:20 103,924 ----a-w C:\Windows\System32\perfc009.dat
- 2008-07-04 21:07:30 641,344 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-07-05 11:15:20 641,344 ----a-w C:\Windows\System32\perfh007.dat
- 2008-07-04 21:07:30 610,142 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-07-05 11:15:20 610,142 ----a-w C:\Windows\System32\perfh009.dat
- 2008-07-03 21:01:19 2,426 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4276838172-2975673735-2927690922-1000_UserData.bin
+ 2008-07-04 21:28:20 2,578 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4276838172-2975673735-2927690922-1000_UserData.bin
- 2008-07-04 21:01:38 64,726 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-07-05 11:59:21 67,452 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-07-04 21:01:35 29,618 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-07-05 12:00:29 30,574 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
2008-06-30 17:06 361840 --a------ C:\Program Files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerIEPlugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}"= "C:\Program Files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerIEPlugin.dll" [2008-06-30 17:06 361840]

[HKEY_CLASSES_ROOT\clsid\{ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{80E552F9-F23B-4DD7-A1CD-80AA724529E6}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}"= "C:\Program Files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerIEPlugin.dll" [2008-06-30 17:06 361840]

[HKEY_CLASSES_ROOT\clsid\{ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{80E552F9-F23B-4DD7-A1CD-80AA724529E6}]
[HKEY_CLASSES_ROOT\CheckPoint.ForceFieldToolbar]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-03-28 19:59 2953216 --a------ C:\Program Files\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SRS Audio Sandbox"="C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" [2008-07-04 23:41 3215360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WLSS"="C:\Program Files\Compal\Wireless Select Switch\WLSS.exe" [2007-04-23 18:55 190000]
"PSQLLauncher"="C:\Program Files\Protector Suite QL\launcher.exe" [2007-03-28 19:23 49168]
"Wow Video&Audio"="C:\Program Files\Compal\Wow Video&Audio\WVAMain.exe" [2007-05-03 17:51 951856]
"SMBTray"="C:\Program Files\Compal\Smart Battery\SMBTray.exe" [2007-06-04 17:22 521776]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-08 11:45 174872]
"IaNvSrv"="C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-08 11:45 33048]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2008-01-11 07:43 92704]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-01-11 07:43 8534560]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-01-11 07:43 88608]
"COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-07-04 00:12 1655552]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-06-10 18:52 1447168]
"ISW"="C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" [2008-07-02 15:49 441592]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-20 10:56 4493312 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-06-15 10:45 1826816 C:\Windows\SkyTel.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-03-28 19:46 90112 C:\Windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\Windows\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 EMSC;COMPAL Embedded System Control;C:\Windows\system32\DRIVERS\EMSC.SYS [2007-02-13 10:29]
R0 iaNvStor;Intel(R) Turbo Memory Technology NAND Controller;C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-05-04 05:21]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\Windows\system32\DRIVERS\cmdguard.sys [2008-07-04 00:12]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\Windows\system32\DRIVERS\cmdhlp.sys [2008-07-04 00:12]
R1 epfwtdir;epfwtdir;C:\Windows\system32\DRIVERS\epfwtdir.sys [2008-06-10 18:56]
R2 IswSvc;ForceField IswSvc;"C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe" [2008-07-02 15:49]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 15:03]
S3 ThreatFire;ThreatFire;C:\Program Files\Spyware Doctor\TFEngine\TFService.exe service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b65b0435-4a0f-11dd-a59a-001b386ae148}]
\shell\Auto\command - G:\Start.exe
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Start.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-05 14:04:52
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\Windows\Explorer.exe
-> G:\Windows\system32\iertutil.dll
.
Zeit der Fertigstellung: 2008-07-05 14:06:06
ComboFix-quarantined-files.txt 2008-07-05 12:06:01
ComboFix2.txt 2008-07-04 21:19:18

6 Verzeichnis(se), 67,250,589,696 Bytes frei
14 Verzeichnis(se), 67,383,169,024 Bytes frei

313 --- E O F --- 2008-07-04 15:19:57


MfG
hl68fx

#10
Stick auf G:\
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

«
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b65b0435-4a0f-11dd-a59a-001b386ae148}]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden

«««««««««««

«
dann deinstalliere den
Kaspersky,
Spyware Doctor,
Eset Nod32
Comodo

damit nicht zuviele Anti.Virensoftware auf dem Rechner ist

«
lade dr. web
scanne alle Festplatten , auch im abgesicherten Modus
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hallo!

der Übeltäter befindet sich auf meinem USB-Stick!
Hier hab ich das Log von NOD32:

<?xml version="1.0" encoding="utf-8" ?>
- <ESET>
- <LOG>
- <RECORD>
- <COLUMN NAME="Time">
<DATE>07.07.2008</DATE>
<TIME>11:50:04</TIME>
</COLUMN>
<COLUMN NAME="Scanner">Real-time file system protection</COLUMN>
<COLUMN NAME="Object">file</COLUMN>
<COLUMN NAME="Name">C:\Users\Thomas\lsass.exe</COLUMN>
<COLUMN NAME="Threat">a variant of Win32/IRCBot.AFP trojan</COLUMN>
<COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN>
<COLUMN NAME="User" />
<COLUMN NAME="Information">Event occurred on a file modified by the application: G:\Start.exe.</COLUMN>
</RECORD>
</LOG>
</ESET>

Dr. Web läuft gerade.

MfG

#12 ««
du solltest doch den USB-Stick desinfizieren auf G:\ ....G:\Start.exe - denn von dort überträgt sich der Backdoor auf c:\
am besten noch, den Stick ganz formatieren !

http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Users\Thomas\lsass.exe

Klicke auf den Roten MoveIt!

«
dann scanne mit dr.web im abgesicherten Modus
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo!

Den USB-Stick hab ich formatiert und dr. web hat im abgesicherten Modus nichts gefunden.

Mein Notebook sollte jetzt eigentlich sauber sein!

MfG