Befall durch win32.bagle.aco bzw. KV.worm

#0
10.10.2008, 12:20
...neu hier

Beiträge: 6
#1 Seit neuestem habe ich das Problem, dass bestimmte exe-Dateien nicht starten oder als „keine zulässige win32 anwendung“ erkannt werden.

Dazu zählen unter Anderem Antivir und HijackThis - dadurch ist es mir zum ersten Mal aufgefallen.
Ein onlinescan mit Panda ergab unter Anderem zwei Dateien die durch einen aktiven Virus W32/Bagle.KV.worm infiziert sind. (siehe Anhang)
Einmal ist es die Datei hldrrr.exe in system32/drivers und die zweite Datei ist folgende:

Ein Scan per Jotti brachte folgendes Ergebnis:
------------------------------------------------------------
Datei: odsbcapp.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: {BIT9_THREAT}

A-Squared
Keine Viren gefunden
AntiVir
TR/Dldr.Bagle.aco gefunden
ArcaVir
Keine Viren gefunden
Avast
Win32:Beagle-AGU gefunden
AVG Antivirus
Win32/Themida gefunden
BitDefender
Win32.Worm.Bagle.ZMQ gefunden
ClamAV
Keine Viren gefunden
CPsecure
Troj.Downloader.W32.Bagle.aco gefunden
Dr.Web
Trojan.Packed.650 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan-Downloader.Win32.Bagle.aco gefunden
G DATA
Win32:Beagle-AGU gefunden
Ikarus
Trojan-Downloader.Win32.Bagle.aco gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Bagle.aco gefunden
NOD32
Win32/Bagle.PQ gefunden
Norman Virus Control
W32/Malware.ECAS gefunden
Panda Antivirus
W32/Bagle.KV.worm gefunden
Sophos Antivirus
Mal/Generic-A gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

------------

Scans mit Bitdefender und Microtech mussten aufgrund der Dauer abgebrochen werden.
CCleaner, Avg antirootkit, Sophos rootkit und combofix lassen sich nicht starten.
Die Ausführung des Rootkit revealer führte regelmäßig zum Absturz
Die Anti-Malware software von malwarebytes konnte einmal per quickscan erfolgreich durchlaufen - weitere male führten zum Absturz:
Hier die Auswertung:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1248
Windows 5.1.2600 Service Pack 2

10.10.2008 00:50:45
mbam-log-2008-10-10 (00-50-34).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 52510
Laufzeit: 6 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlьssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bцsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bцsartigen Objekte gefunden)

Infizierte Registrierungsschlьssel:
(Keine bцsartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Files: 353 -> No action taken.
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\m (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\Facher.bmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Prariewind.bmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.

Bitte um Hilfe oder weitere Anleitungen nach dem Schema des eingangsthreads:
http://board.protecus.de/t23188.htm



Vielen Dank!

Babobezi

Edit:
Start im abgesicherten Modus erfolgt nicht -> Bluescreen und Neustart sind das Ergebnis.

Dieser Beitrag wurde am 10.10.2008 um 12:30 Uhr von babobezi editiert.
Seitenanfang Seitenende
10.10.2008, 13:28
Moderator

Beiträge: 5694
#2 Hallo

>>
Geh zu dieser Seite
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 11.82"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen

>>
Cleaner anwenden
http://www.virus-protect.org/ccleanerhtml

>>
Wende Combofix an, Warnmeldugen wegklicken, und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html

>>
Download F-Secure BlackLight
http://virus-protect.org/artikel/tools/rootkithook.html

Gruss Swiss
Dieser Beitrag wurde am 10.10.2008 um 13:47 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
10.10.2008, 14:29
...neu hier

Themenstarter

Beiträge: 6
#3 Ergebnis von EliBaglA.exe
Fri Oct 10 14:20:45 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acciуn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado.

Fri Oct 10 14:21:46 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acciуn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Oct 10 14:22:42 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acciуn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Oct 10 14:26:14 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acciуn Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Fri Oct 10 14:26:59 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploraciуn):
Explorando Unidad C:\

Edit:
Es ist nicht möglich combofix zu starten (rename bringt keinen Erfolg).
Scan mit F-Prot wird durchgeführt.
Seitenanfang Seitenende
10.10.2008, 14:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

Avenger - http://virus-protect.org/artikel/tools/avenger.html

setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable:
npf
hldrrr
srosa
mdelk
Drivers to delete:
npf
hldrrr
srosa
mdelk
Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\ControlSet002\Services\srosa
HKLM\SYSTEM\ControlSet003\Services\srosa
HKLM\SYSTEM\ControlSet004\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
Files to delete:
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE
C:\WINDOWS\system32\mdelk.exe
C:\Windows\system32\drivers\npf.sys
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\wintems.exe
C:\Windows\System32\drivers\mdelk.exe
C:\Windows\system32\drivers\hldrrr.exe
Folders to delete:
C:\WINDOWS\system32\drivers\downld

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

««
>>
Wende Combofix an, Warnmeldugen wegklicken, und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2008, 18:12
...neu hier

Themenstarter

Beiträge: 6
#5

Zitat

Tonstudio postete
Hallo

>>
Geh zu dieser Seite
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 11.82"
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\
Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist
Klicke jetzt den Knopf "Explorar" um das Program zu starten
Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread
Klicke nachher "Salir" um das Program zu schliessen

>>

Cleaner anwenden
http://www.virus-protect.org/[url="http://www.[url="http://www.CCleaner.de"]CCleaner[/url].de"][url="http://www.CCleaner.de"]CCleaner[/url][/url]

>>
Wende Combofix an, Warnmeldugen wegklicken, und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html

>>
Download F-Secure BlackLight
http://virus-protect.org/artikel/tools/rootkithook.html

Gruss Swiss
Mit F-Secure ca. 60 Dateien umbenannt.

Edit:Ein erneuter Scan durch Elibagla.exe brachte wieder Viren zum Vorschein.
Unter Anderem:
C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCAPP.EXE --> Eliminado Bagle.dldr

Combofix immer noch nicht startbar.

Edit 4:
Combofix erfolgreich gestartet mit der Hilfe folgenden Tricks:
http://virus-protect.org/artikel/tools/combofix3.html

Im Anhang ist das logfile.


Edit2:

Zitat

Sabina postete
Hallo,

Avenger - http://virus-protect.org/artikel/tools/avenger.html

"Avenger.exe ist keine zulässige Win32-Anwendung"

Edit 5: nach erfolgreichem Verfahren mit Combofix funktioniert nun auch Avenger
und jeder aufgeführte Punkt von dir ist fehlgeschlagen, weil die Datei nicht mehr existiert. Klingt gut, oder? ;)

Anhang: cf.txt
Dieser Beitrag wurde am 10.10.2008 um 18:23 Uhr von babobezi editiert.
Seitenanfang Seitenende
10.10.2008, 18:46
Moderator

Beiträge: 5694
#6 >>
Poste bitte das neue Log von Elibagla.exe.

>>
Scanne mit Dr Web Cureit und poste das Log
http://board.protecus.de/t29351.htm
Seitenanfang Seitenende
10.10.2008, 19:06
...neu hier

Themenstarter

Beiträge: 6
#7

Zitat

Tonstudio postete
>>
Poste bitte das neue Log von Elibagla.exe.

>>
Scanne mit Dr Web Cureit und poste das Log
http://board.protecus.de/t29351.htm
nächster Durchlauf mit Combofix.
Sagt der irgendwas aus?
Andere Scans folgen...



ComboFix 08-10-09.06 - Basti 2008-10-10 18:36:23.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1031.18.584 [GMT 2:00]
Running from: C:\Dokumente und Einstellungen\Basti\Desktop\cf.exe

[COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\Recycled\Recycled
.
---- Previous Run -------
.
C:\autorun.inf
C:\Recycled\Recycled
D:\Autorun.inf

.
((((((((((((((((((((((((( Files Created from 2008-09-10 to 2008-10-10 )))))))))))))))))))))))))))))))
.

2008-10-10 17:14 . 2008-10-10 18:44 <DIR> d-------- C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP
2008-10-09 22:48 . 2008-10-09 22:48 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-09 22:48 . 2008-10-09 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Malwarebytes
2008-10-09 22:48 . 2008-10-09 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-09 22:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-09 22:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-09 22:40 . 2008-10-09 22:40 <DIR> d-------- C:\Programme\CCleaner
2008-10-09 22:18 . 2008-10-09 22:18 0 --a------ C:\WINDOWS\system32\GEQA
2008-10-09 22:10 . 2008-10-09 22:10 0 --a------ C:\WINDOWS\system32\MRBVWXNKKYOSJ
2008-10-09 20:45 . 2008-10-09 20:52 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-10-09 19:58 . 2008-10-09 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\.housecall6.6
2008-10-09 13:01 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-09 13:00 . 2008-10-09 13:00 <DIR> d-------- C:\Programme\Panda Security
2008-10-09 06:02 . 2008-10-09 06:02 <DIR> d-------- C:\Programme\Sophos
2008-10-09 00:54 . 2008-10-09 00:56 <DIR> d-------- C:\Programme\Broken Sword 2.5
2008-10-08 20:07 . 2008-10-10 18:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-08 20:07 . 2008-10-08 20:07 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-05 13:36 . 2008-08-05 20:10 1,684,736 --a------ C:\WINDOWS\system32\drivers\Ambfilt.sys
2008-10-05 13:36 . 2006-01-04 15:41 1,389,056 --a------ C:\WINDOWS\system32\drivers\Monfilt.sys
2008-10-05 13:36 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss
2008-10-05 12:17 . 2005-05-03 17:43 69,632 --a------ C:\WINDOWS\ALCMTR.EXE
2008-10-05 12:05 . 2008-10-05 12:05 <DIR> d-------- C:\Programme\Trend Micro
2008-10-05 11:55 . 2008-10-05 13:40 <DIR> d-------- C:\Medion
2008-10-04 23:20 . 2008-10-04 23:20 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\5400 Series
2008-10-04 20:08 . 2008-10-05 14:40 <DIR> d-------- C:\Programme\Lx_cats
2008-10-04 20:07 . 2006-06-20 12:40 692,224 --a------ C:\WINDOWS\system32\lxctdrs.dll
2008-10-04 20:07 . 2006-07-11 17:54 335,872 --a------ C:\WINDOWS\system32\lxctcoin.dll
2008-10-04 20:07 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2008-10-04 20:07 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-10-04 20:07 . 2006-05-18 10:01 65,536 --a------ C:\WINDOWS\system32\lxctcaps.dll
2008-10-04 20:07 . 2006-05-03 13:31 61,440 --a------ C:\WINDOWS\system32\lxctcnv4.dll
2008-10-04 20:07 . 2005-06-24 01:37 40,960 --a------ C:\WINDOWS\system32\lxctvs.dll
2008-10-04 20:06 . 2008-10-04 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\5400 Series
2008-10-04 20:06 . 2006-04-26 09:15 339,968 --a------ C:\WINDOWS\system32\IMGMAN32.DLL
2008-10-04 20:06 . 2006-04-26 09:15 98,345 --a------ C:\WINDOWS\system32\IMHOST32.DLL
2008-10-04 20:06 . 2006-04-26 09:15 98,304 --a------ C:\WINDOWS\system32\IM31XPNG.DEL
2008-10-04 20:06 . 2006-04-26 09:15 69,632 --a------ C:\WINDOWS\system32\IM31XTIF.DEL
2008-10-04 20:06 . 2006-04-26 09:15 49,152 --a------ C:\WINDOWS\system32\IM31IMG.DIL
2008-10-04 20:06 . 2006-07-10 22:34 40,960 --a------ C:\WINDOWS\system32\lxctpmon.dll
2008-10-04 20:06 . 2006-07-10 22:34 32,768 --a------ C:\WINDOWS\system32\LXCTFXPU.DLL
2008-10-04 20:06 . 2006-07-10 22:36 12,288 --a------ C:\WINDOWS\system32\lxctpmrc.dll
2008-10-04 20:05 . 2008-10-04 20:05 <DIR> d-------- C:\Programme\Lexmark Toolbar
2008-10-04 20:04 . 2008-10-04 20:07 <DIR> d-------- C:\Programme\Lexmark 5400 Series
2008-10-04 20:03 . 2008-10-04 20:03 <DIR> d-------- C:\drivers
2008-10-04 18:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-04 12:06 . 2008-08-28 18:56 438,272 --a------ C:\WINDOWS\system32\vp6vfw.dll
2008-10-04 12:03 . 2008-10-04 12:06 <DIR> d-------- C:\Programme\Moyea
2008-10-04 12:03 . 2008-10-04 12:17 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Moyea
2008-10-02 23:55 . 2008-10-04 19:47 <DIR> d-------- C:\Downloads
2008-10-02 23:47 . 2008-10-02 23:47 <DIR> d-------- C:\Programme\Free Download Manager
2008-10-02 23:47 . 2008-10-10 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Free Download Manager
2008-10-02 23:47 . 2008-10-02 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-10-01 01:45 . 2008-10-01 02:34 <DIR> d-------- C:\Programme\Winamp
2008-10-01 01:45 . 2008-10-05 22:57 155 --a------ C:\WINDOWS\winamp.ini
2008-09-30 23:00 . 2008-09-30 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\InstallShield Installation Information
2008-09-30 22:58 . 2008-09-30 22:58 <DIR> d-------- C:\Programme\Koei
2008-09-21 05:33 . 2008-07-18 22:07 270,880 --a------ C:\WINDOWS\system32\mucltui.dll
2008-09-21 05:33 . 2008-07-18 22:07 210,976 --a------ C:\WINDOWS\system32\muweb.dll
2008-09-21 05:33 . 2008-07-18 22:07 29,728 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-09-20 23:53 . 2008-09-20 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Contacts
2008-09-20 23:47 . 2008-09-20 23:47 268 --ah----- C:\sqmdata02.sqm
2008-09-20 23:47 . 2008-09-20 23:47 244 --ah----- C:\sqmnoopt02.sqm
2008-09-20 23:47 . 2008-09-20 23:47 136 --ah----- C:\sqmnoopt03.sqm
2008-09-20 23:47 . 2008-09-20 23:47 136 --ah----- C:\sqmdata03.sqm
2008-09-20 23:34 . 2008-09-20 23:45 <DIR> d-------- C:\Programme\Windows Live
2008-09-20 23:34 . 2008-09-20 23:45 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-09-20 23:34 . 2008-09-20 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-09-20 22:32 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2008-09-20 22:32 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2008-09-20 22:08 . 2008-09-20 22:08 <DIR> d-------- C:\Programme\WinMessenger
2008-09-20 22:08 . 2008-09-20 22:08 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\VyPRESS
2008-09-19 13:14 . 2008-09-19 13:14 <DIR> d-------- C:\WINDOWS\system32\VirtualExpander
2008-09-18 15:49 . 2008-09-21 17:25 <DIR> d-------- C:\Programme\Rjecnik
2008-09-18 15:48 . 2008-09-18 15:48 249,856 --------- C:\WINDOWS\Setup1.exe
2008-09-18 15:48 . 2008-09-18 15:48 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-09-17 14:52 . 2008-09-17 14:52 <DIR> d-------- C:\Programme\D-Tools
2008-09-17 14:52 . 2004-08-22 16:31 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys
2008-09-17 14:52 . 2004-08-22 16:31 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys
2008-09-16 20:54 . 2008-09-16 20:54 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Pegasys Inc
2008-09-16 14:29 . 2008-09-16 14:31 <DIR> d-------- C:\Programme\Pegasys Inc
2008-09-16 14:23 . 2008-09-16 14:23 <DIR> d-------- C:\boilsoft_tmp
2008-09-16 14:12 . 2008-09-16 14:12 <DIR> d-------- C:\Programme\AVI 2 DVD & VCD 1
2008-09-16 14:12 . 2008-09-16 14:12 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2008-09-16 14:07 . 2008-09-16 14:07 <DIR> d-------- C:\Programme\Boilsoft AVI Converter
2008-09-16 14:07 . 2008-09-16 14:13 67 --a------ C:\WINDOWS\AVIConverter.INI
2008-09-16 09:22 . 2008-09-16 09:22 <DIR> d-------- C:\Programme\BS.Player ControlBar
2008-09-16 09:22 . 2008-09-16 09:22 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\BSplayer Pro
2008-09-16 09:22 . 2008-09-21 04:40 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\BSplayer
2008-09-15 20:27 . 2008-09-15 20:27 <DIR> d-------- C:\Programme\Data Doctor Chat Archive Recovery Yahoo Messenger(Evaluation)
2008-09-15 20:22 . 2008-09-15 20:22 <DIR> d-------- C:\Programme\Jufsoft
2008-09-12 22:23 . 2008-09-12 22:23 <DIR> d-------- C:\Programme\Network Stumbler
2008-09-12 22:08 . 2008-09-12 22:08 <DIR> d-------- C:\Programme\Pandion
2008-09-12 22:08 . 2008-09-26 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Pandion

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 12:39 --------- d-----w C:\Programme\STAMPIT
2008-10-05 11:42 --------- d-----w C:\Programme\Realtek
2008-10-03 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-29 22:48 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-29 05:53 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\CyberLink
2008-09-22 10:20 --------- d-----w C:\Programme\Microsoft Works
2008-09-05 13:57 --------- d-----w C:\Programme\aTunes
2008-09-05 13:45 --------- d-----w C:\Programme\Sun
2008-09-05 13:45 --------- d-----w C:\Programme\Java
2008-09-05 09:29 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Creative
2008-09-05 09:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-08-30 12:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-30 12:59 --------- d-----w C:\Programme\SanDisk
2008-08-30 12:58 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\InstallShield
2008-08-25 14:17 528,384 ----a-w C:\WINDOWS\RtlExUpd.dll
2008-08-25 11:13 --------- d-----w C:\Programme\UltimateZip
2007-01-06 17:23 251 ----a-w C:\Programme\wt3d.ini
2006-11-15 19:12 8 --sh--r C:\WINDOWS\system32\8679CB5C67.sys
2006-11-15 19:12 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-10-10_18.00.53.88 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-10 15:56:11 26,263 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCall.dll
+ 2008-10-10 16:43:40 26,263 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCall.dll
- 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla.dll
+ 2008-10-10 16:44:16 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla.dll
- 2008-10-10 15:14:09 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla18.dll
+ 2008-10-10 16:44:05 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla18.dll
- 2008-10-10 15:56:18 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla21.dll
+ 2008-10-10 16:43:48 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla21.dll
- 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla22.dll
+ 2008-10-10 16:44:17 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla22.dll
- 2008-10-10 15:56:14 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla23.dll
+ 2008-10-10 16:43:42 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla23.dll
- 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla24.dll
+ 2008-10-10 16:44:14 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla24.dll
- 2008-10-10 15:56:26 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla25.dll
+ 2008-10-10 16:43:55 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla25.dll
- 2008-10-10 15:56:17 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla26.dll
+ 2008-10-10 16:43:46 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla26.dll
- 2008-10-10 15:56:30 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla27.dll
+ 2008-10-10 16:43:59 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla27.dll
- 2008-10-10 15:56:20 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla33.dll
+ 2008-10-10 16:43:49 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla33.dll
- 2008-10-10 15:14:10 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla35.dll
+ 2008-10-10 16:44:08 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla35.dll
- 2008-10-10 15:56:31 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla36.dll
+ 2008-10-10 16:44:00 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla36.dll
- 2008-10-10 15:14:09 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla37.dll
+ 2008-10-10 16:44:03 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla37.dll
- 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla38.dll
+ 2008-10-10 16:44:18 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla38.dll
- 2008-10-10 15:56:22 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla39.dll
+ 2008-10-10 16:43:51 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla39.dll
- 2008-10-10 15:56:24 111,476 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla41.dll
+ 2008-10-10 16:43:54 111,476 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla41.dll
- 2008-10-10 15:56:24 111,269 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla42.dll
+ 2008-10-10 16:43:52 111,269 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla42.dll
- 2008-10-10 15:14:11 111,260 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla43.dll
+ 2008-10-10 16:44:12 111,260 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla43.dll
- 2008-10-10 15:56:27 110,500 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla44.dll
+ 2008-10-10 16:43:57 110,500 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla44.dll
- 2008-10-10 15:14:10 110,797 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla46.dll
+ 2008-10-10 16:44:07 110,797 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla46.dll
- 2008-10-10 15:56:16 110,936 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla47.dll
+ 2008-10-10 16:43:44 110,936 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla47.dll
- 2008-10-10 15:56:29 116,956 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla48.dll
+ 2008-10-10 16:43:58 116,956 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla48.dll
- 2008-10-10 15:14:10 110,799 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla49.dll
+ 2008-10-10 16:44:10 110,799 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla49.dll
+ 2008-10-10 16:44:12 125,719 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla50.dll
- 2008-10-10 15:56:33 45,056 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla51.dll
+ 2008-10-10 16:44:02 45,056 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla51.dll
- 2008-10-10 15:52:04 301,980 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-10-10 16:44:47 303,884 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-10-10 15:52:04 270,170 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-10-10 16:44:47 272,074 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-10-10 15:52:04 790,120 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-10-10 16:44:47 792,792 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-10-10 15:52:04 695,000 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-10-10 16:44:47 697,672 ----a-w C:\WINDOWS\system32\perfh009.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{2C688203-7EB3-4327-9995-1CB417BA23F9}"= "C:\Programme\BS.Player ControlBar\BSToolbar.dll" [2008-08-13 757192]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{2C688203-7EB3-4327-9995-1CB417BA23F9}"= "C:\Programme\BS.Player ControlBar\BSToolbar.dll" [2008-08-13 757192]

[HKEY_CLASSES_ROOT\clsid\{2c688203-7eb3-4327-9995-1cb417ba23f9}]
[HKEY_CLASSES_ROOT\BSToolbar.ToolBandObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{1FC79FB5-E4BD-48c8-B2E9-B8E74DB2C3A9}]
[HKEY_CLASSES_ROOT\BSToolbar.ToolBandObj]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"Creative Live! Cam Manager"="C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" [2008-05-20 2474031]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-09-06 7585792]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [2006-04-05 565248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-23 93640]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-10-10 241704]
"AVFX Engine"="C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-06-09 24576]
"V0220Mon.exe"="C:\WINDOWS\V0220Mon.exe" [2006-06-28 32768]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 385024]
"SansaDispatch"="C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe" [2007-10-22 75584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 81920]
"lxctmon.exe"="C:\Programme\Lexmark 5400 Series\lxctmon.exe" [2007-01-11 291760]
"Lexmark 5400 Series Fax Server"="C:\Programme\Lexmark 5400 Series\fm3032.exe" [2006-07-10 294912]
"EzPrint"="C:\Programme\Lexmark 5400 Series\ezprint.exe" [2006-06-07 98304]
"LXCTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496]
"nwiz"="nwiz.exe" [2006-09-06 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-22 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroUpgrade.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Sceneo\\Bonavista\\VMedia\\BVD.exe"=
"C:\\Programme\\Sonavis\\TVsweeper\\\\TVsweeper.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Youthpass\\youthpass.exe"=
"C:\\Programme\\Youthpassa\\youthpass.exe"=
"C:\\Programme\\Pandion\\Pandion.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\aTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys [2007-01-16 30808]
R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ]
S3 DCamUSBSTK017;STK017 Camera;C:\WINDOWS\system32\DRIVERS\STK017W2.sys [2003-11-17 99476]
S3 FJLOK;FJLOK;C:\DOKUME~1\Basti\LOKALE~1\Temp\FJLOK.exe [ ]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 nenum13E;nenum13E;C:\DOKUME~1\Basti\LOKALE~1\Temp\nenum13E.sys [ ]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336]
S3 p2pimsvc;Peernetzwerkidentitats-Manager;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336]
S3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-10-12 1053824]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336]
S3 V0220Dev;Live! Cam Video IM;C:\WINDOWS\system32\DRIVERS\V0220Dev.sys [2006-06-29 146112]
S3 V0220Vfx;V0220VFX;C:\WINDOWS\system32\DRIVERS\V0220Vfx.sys [2006-06-08 6272]
S3 VVKVEAY;VVKVEAY;C:\DOKUME~1\Basti\LOKALE~1\Temp\VVKVEAY.exe [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9637cb8a-7109-11dd-b714-0018de9fba84}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de56aec4-387d-11dc-b5ee-0018de9fba84}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f067e9bb-2718-11dc-b5e1-0018de9fba84}]
\Shell\Auto\command - setup.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f067e9bc-2718-11dc-b5e1-0018de9fba84}]
\Shell\Auto\command - setup.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AEB9D4A0-199B-4dfa-A18D-E2DD5D989EDF}]
%ProgramFiles%\WinMessenger\Setup\Setup.exe /PERUSERINIT
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\7kllsu42.default\
FireFox -: prefs.js - STARTUP.HOMEPAG

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-10 18:43:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\lxctcoms.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\STK017_V2.01\STK017M.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Dokumente und Einstellungen\Basti\Startmenь\Programme\Autostart\ctfmon.exe
.
**************************************************************************
.
Completion time: 2008-10-10 18:55:33 - machine was rebooted [Basti]
ComboFix-quarantined-files.txt 2008-10-10 16:55:26
ComboFix2.txt 2008-10-10 16:01:49

Pre-Run: 1,020,055,552 Bytes frei
Post-Run: 1,002,442,752 Bytes frei

377 --- E O F --- 2008-09-25 02:52:59



----------------------------------------------------------------------------
----------------------------------------------------------------------------
Edit:


Elibagle scan:
:/
Fri Oct 10 19:07:59 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acciуn Directa):

Fri Oct 10 19:08:01 2008
EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploraciуn):
Explorando Unidad C:\
C:\Qoobox\Quarantine\C\WINDOWS\system32\MDELK.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\126125.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\127359.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\130687.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\133593.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\133875.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\135843.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\143468.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\145859.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\160421.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\166468.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\170953.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\172531.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\175500.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\178453.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\187031.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\192906.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\199593.EXE.REN.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\3333218.EXE.VIR --> Eliminado Bagle
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\3340828.EXE.VIR --> Eliminado Bagle

Nє Total de Directorios: 16003
Nє Total de Ficheros: 176852
Nє de Ficheros Analizados: 18790
Nє de Ficheros Infectados: 21
Nє de Ficheros Limpiados: 21
Dieser Beitrag wurde am 10.10.2008 um 19:20 Uhr von babobezi editiert.
Seitenanfang Seitenende
10.10.2008, 19:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9637cb8a-7109-11dd-b714-0018de9fba84}]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

««
entferne combofix samt Backup - wie hier beschrieben /oder C:\Qoobox entfernen
http://virus-protect.org/artikel/tools/combofix3.html

««
scanne mit bitdefender + poste den report /falls möglich
http://virus-protect.org/artikel/tools/bitdefender.html

-----------

formatiere den USB-Stick, es scheint, der virus ist von dort aufs System gekommen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2008, 23:09
...neu hier

Themenstarter

Beiträge: 6
#9

Zitat

Sabina postete


formatiere den USB-Stick, es scheint, der virus ist von dort aufs System gekommen
Combofix erledigt und bitdefender läuft.
----------------------
DER usb-stick ist gut.
Ich weiß nicht woran man es sieht/erkennt, aber ich weiß dass es mit nem Unitool zusammenhängt. Und diesen Usb-stick habe ich vor nem halben Jahr an meinem PC gehabt. Inzwischen sind schon so viele sticks durch den laptop gegangen, dass zumindest das ganze Haus verseucht ist.
Das wären noch 2 Win98-Rechner, 1 XP-Rechner und zwei Vista-laptops samt diversen USB-sticks, MP3-Playern und externen Festplatten.
Gibt es kampferprobte Möglichkeiten, um den aufziehenden Kleinkrieg zu gewinnen, ohne dass das ganze wieder von vorne losgeht?

Die Scanzeit bei Bitdefender nimmt lustigerweise stetig zu.
Ich bin jetzt bei 3 Stunden angekommen, tendenz steigend...

Hier noch der Scan von dr.web aus dem gesicherten Modus
(bevor ich combofix das letzte mal gestartet habe):
ctfmon.exe d:\recycled Trojan.Recycle Gelцscht.
autorun.inf C:\Dokumente und Einstellungen\Basti\Eigene Dateien\programme\hu-wlan Win32.HLLW.Autoruner.274 Gelцscht.
autorun.inf C:\ Trojan.Recycle Gelцscht.
autorun.inf.ren C:\ Trojan.Recycle Gelцscht.

Auch wenn es sicher noch nicht optimal ist, bin ich froh, dass der Laptop noch behandelbar ist und nicht komplett alles neuinstalliert werden muss.
Für das Stück Arbeit, was dahinter steckt, möchte ich euch danken und hoffe, dass ihr auch weiterhin die Kraft und Möglichkeit habt, für das Forum und die sich dem Forum angeschlossenen Hilfesuchenden dazusein.

Gruß,
babobezi

Edit: hrmpf - kurz vor ende des suchlaufs hat sich der internet explorer verabschiedet. Wunderbar...
Falls bagle da noch mit dabei sein sollte, kann ich das verneinen.
Bis auf eine wenige Einträge schien alles in Ordnung.
Kann ich meinen Laptop jetzt kuriert nennen?

Vielen Dank und Gruß
Dieser Beitrag wurde am 11.10.2008 um 00:43 Uhr von babobezi editiert.
Seitenanfang Seitenende
11.10.2008, 10:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 versuche es mit anderen Virenscanner - z.b. F-secure/Onlinescan
http://virus-protect.org/onlinescan.html

die Sticks im Grunde alle formatieren + oder :
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

««

der obrige Rechner: wende sdfix im abgesicherten modus an + poste den Report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2008, 13:47
...neu hier

Themenstarter

Beiträge: 6
#11 F-Secure fand einen Thread: W32/Packed_FSG.C

Den Rest werde ich wohl erstmal auf ein anderes Mal verschieben...
Seitenanfang Seitenende