Virus leitet auf windowsclick.com weiter

#0
23.01.2009, 12:48
...neu hier

Beiträge: 8
#1 Hallo

ich habe mir seit einigen Tagen einige Viren eingefangen, die sich dadurch bemerkbar machen, dass sie einen im Internet v.a. bei Antivirus-Seiten nicht auf die gewünschte Seite weiterleiten, sondern auf eine Seite namens windowsclick.com

Bsp.:

http://windowsclick.com/go.php?u=.......

Manche Internetseiten werden auch nicht richtig dargestellt und das System läuft sehr langsam.

Malwarebytes ließ sich zuerst nicht installieren und auch nicht combofix, sodass ich nach einer Bereinigung der temporären Dateien erstmal Antivir laufen ließ.

Antivirlog ist leider ein ausführlicher Bericht (falsche Einstellung meinerseits) und darum zu groß, um hier gepostet zu werden. (Dateigröße=47 Mb)

Hier ist ein Ausschnitt des Berichtes:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 22. Januar 2009 23:34

Es wird nach 1257460 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: CERDA

Ende des Suchlaufs: Freitag, 23. Januar 2009 01:08
Benötigte Zeit: 1:34:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

14354 Verzeichnisse wurden überprüft
582655 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
29 Dateien konnten nicht durchsucht werden
582617 Dateien ohne Befall
5788 Archive wurden durchsucht
32 Warnungen
437 Hinweise
87934 Objekte wurden beim Rootkitscan durchsucht
51 Versteckte Objekte wurden gefunden


Ich würde die Datei gerne anhängen, doch sie ist zu groß!


Nach antivir-Durchlauf konnte ich Combofix durchlaufen lassen. Hier der log-file:

ComboFix 09-01-21.04 - gi128 2009-01-23 10:24:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1918.1506 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\gi128\Desktop\cf.exe.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BITS\UPnP.ini
c:\dokumente und einstellungen\gi128\Anwendungsdaten\BITS
c:\dokumente und einstellungen\gi128\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\gi128\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\gi128\Anwendungsdaten\BITS\ProxyList.ini
c:\dokumente und einstellungen\gi128\Anwendungsdaten\BITS\UPnP.ini
c:\programme\FlashGet Network
c:\programme\FlashGet Network\FlashGet universal\btcore.dll
c:\programme\FlashGet Network\FlashGet universal\btwrap.dll
c:\programme\FlashGet Network\FlashGet universal\BugReport.dll
c:\programme\FlashGet Network\FlashGet universal\BugReport.exe
c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
c:\programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bhocfg.ini
c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
c:\programme\FlashGet Network\FlashGet universal\ComDlls\ComDlls.ini
c:\programme\FlashGet Network\FlashGet universal\ComDlls\flashget.xpi
c:\programme\FlashGet Network\FlashGet universal\ComDlls\FlashgetXpi.dll
c:\programme\FlashGet Network\FlashGet universal\ComDlls\IFlashgetXpi.xpt
c:\programme\FlashGet Network\FlashGet universal\dbghelp.dll
c:\programme\FlashGet Network\FlashGet universal\DBTrans.dll
c:\programme\FlashGet Network\FlashGet universal\dbtrans_verbose.log
c:\programme\FlashGet Network\FlashGet universal\DBTransC.exe
c:\programme\FlashGet Network\FlashGet universal\ed2kwrap.dll
c:\programme\FlashGet Network\FlashGet universal\explorerbar.dll
c:\programme\FlashGet Network\FlashGet universal\fgoption.ini
c:\programme\FlashGet Network\FlashGet universal\FGVer.dll
c:\programme\FlashGet Network\FlashGet universal\flashget.exe
c:\programme\FlashGet Network\FlashGet universal\gt.exe
c:\programme\FlashGet Network\FlashGet universal\hashgen.dll
c:\programme\FlashGet Network\FlashGet universal\Help\license.txt
c:\programme\FlashGet Network\FlashGet universal\Help\Readme.txt
c:\programme\FlashGet Network\FlashGet universal\Help\WHATSNEW.TXT
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddBatchLinksDlg.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddBTTask.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\Added.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddEMTask.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddHpFpLink.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddLinksDlg.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddLinksDlgEx.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\AddLinksModern.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\BrowserPlugins.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\BTOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\CategoryView.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\ComfirmWhenExitDialog.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\CommonDlg.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\ConfirmInvalidLinks.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\ContextMenu.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\DefaultDownloadsDialog.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\DeleteFilesDialog.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\DetailStatus.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\EMOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\EMServers.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\ExplorerPane.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\ExtensionRuleDlg.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FG2SearchTopPlugin.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FileListCtrl.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FileRemovedDialog.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FindTaskDialog.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FlashgetAbout.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FlashGetDlg.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\FSUStatusBar.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\GarageLoginDialog.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\GarageView.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\HotResource.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\HpFpOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\Info.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\LogsOutput.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\MACReader.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\MainMenu.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\MainToolbar.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\MonitorOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\NormalOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\NotifyOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\Option.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\P4PPluginMain.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\ProxySetting.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\SearchBar.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\Security.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\SecurityOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\SecurityScan.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\SecurityToolbar.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\Shutdown.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\StatusBar.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\TaskDefOption.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\TaskListView.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\TaskNotify.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\UserListCtrl.ini
c:\programme\FlashGet Network\FlashGet universal\Langs\FGXL_ENG\XpEnhance.ini
c:\programme\FlashGet Network\FlashGet universal\libupnp.dll
c:\programme\FlashGet Network\FlashGet universal\LiveUpdateUI.dll
c:\programme\FlashGet Network\FlashGet universal\modules\ComHelper\ComHelper.dll
c:\programme\FlashGet Network\FlashGet universal\modules\ComHelper\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\Downstat\Downstat.dll
c:\programme\FlashGet Network\FlashGet universal\modules\Downstat\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\P4pclient\ad\temp\fgspini.cab
c:\programme\FlashGet Network\FlashGet universal\modules\P4pclient\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\P4pclient\P4pclient.dll
c:\programme\FlashGet Network\FlashGet universal\modules\P4pclient\Thumbs.db
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource.ini
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource\iexplorer.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource\resource.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource\resource.xml
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource\search.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource\subscribe.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\Resource\Thumbs.db
c:\programme\FlashGet Network\FlashGet universal\modules\SearchTop\SearchTop.dll
c:\programme\FlashGet Network\FlashGet universal\modules\Security\FunctionalRepair.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\Security\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\Security\Scanning.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\Security\Security.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\Security\SECURITY.dll
c:\programme\FlashGet Network\FlashGet universal\modules\Security\Security.xml
c:\programme\FlashGet Network\FlashGet universal\modules\Security\SystemFix.bmp
c:\programme\FlashGet Network\FlashGet universal\modules\SnapShot\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\SnapShot\SamplerCli.dll
c:\programme\FlashGet Network\FlashGet universal\modules\SnapShot\SnapShot.dll
c:\programme\FlashGet Network\FlashGet universal\modules\SnapShot\upload.ini
c:\programme\FlashGet Network\FlashGet universal\modules\tasknotifier\Info.ini
c:\programme\FlashGet Network\FlashGet universal\modules\tasknotifier\tasknotifier.dll
c:\programme\FlashGet Network\FlashGet universal\P2PCfg.ini
c:\programme\FlashGet Network\FlashGet universal\P2PCore.dll
c:\programme\FlashGet Network\FlashGet universal\p2pprot.dll
c:\programme\FlashGet Network\FlashGet universal\p2snetio.dll
c:\programme\FlashGet Network\FlashGet universal\p2spmgr.dll
c:\programme\FlashGet Network\FlashGet universal\p2spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\p2sprot.dll
c:\programme\FlashGet Network\FlashGet universal\p2spwrap.dll
c:\programme\FlashGet Network\FlashGet universal\p4spmgr.ini
c:\programme\FlashGet Network\FlashGet universal\Profiles\config.dat
c:\programme\FlashGet Network\FlashGet universal\Profiles\tasks.dat
c:\programme\FlashGet Network\FlashGet universal\Skins\close_default.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\close_press.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\close_select.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\max_default.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\max_press.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\max_select.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\min_default.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\min_press.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\min_select.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\notify.wav
c:\programme\FlashGet Network\FlashGet universal\Skins\notify_board.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\notify_icon.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarCT\Back.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarCT\Backward.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarCT\BrowserBarCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarCT\FlashgetResource.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarCT\Forward.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarCT\Home.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarDisableCT\Backward.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarDisableCT\BrowserBarDisableCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarDisableCT\Forward.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarDisableCT\Home.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\BrowserBarDisableCT\Resource.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Available.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\CategoryTreeCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Downloaded.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Downloading.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Favorite.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Flashget.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Release.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Rubbish.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\CategoryTreeCT\Search.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\ExpBar\Expbar.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\ExpBar\garage.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\ExpBar\resource.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\ExpBar\transfer.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\BT.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\EM.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\GlobalOptionCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\HpFp.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\Monitor.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\Normal.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\Notify.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\Proxy.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\GlobalOptionCT\TaskDef.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\Info.ini
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\About.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\DeleteTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\folder.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\MainMenuCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\MoveDownTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\MoveUpTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\NewTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\open.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\Option.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\PauseTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\Resource.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\StartTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainMenuCT\TaskProperties.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\About.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\DeleteTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\Folder.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\MainToolbarCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\NewTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\Open.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\Option.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\PauseTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\Resource.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\StartTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarCT\TaskProperties.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\About.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\DeleteTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\Folder.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\MainToolbarDisableCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\NewTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\Open.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\Option.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\PauseTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\Resource.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\StartTask.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\MainToolbarDisableCT\TaskProperties.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\Monitor\InfoBkg.Bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\Monitor\MonitorBkg.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\OutpuLogCT\Down.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\OutpuLogCT\Error.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\OutpuLogCT\Normal.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\OutpuLogCT\OutpuLogCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\OutpuLogCT\Up.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\All.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Book.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Bt.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Game.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Movie.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Music.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Phone.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Picture.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\SobarIconCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\SobarIconCT\Software.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Error.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\hashing.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\OK.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Pause.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Pin.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Schedule.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Start.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\TaskListCT.xml
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Upload.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\ShadowGrayBlue\TaskListCT\Wait.bmp
c:\programme\FlashGet Network\FlashGet universal\Skins\Thumbs.db
c:\programme\FlashGet Network\FlashGet universal\storage.dll
c:\programme\FlashGet Network\FlashGet universal\SysOpt.exe
c:\programme\FlashGet Network\FlashGet universal\transaction.log
c:\programme\FlashGet Network\FlashGet universal\uninst.exe
c:\programme\FlashGet Network\FlashGet universal\zlib.dll
c:\windows\system32\drivers\UACfhvfmiec.sys
c:\windows\system32\UACjkrpwvvu.dll
c:\windows\system32\UACkoxsmxek.log
c:\windows\system32\UAClaowtvgt.log
c:\windows\system32\UACmacwmdeb.dll
c:\windows\system32\UACmlsywlux.log
c:\windows\system32\UACnnjnygip.dat
c:\windows\system32\UACrvdedquh.dll
c:\windows\system32\UACwbhtupbd.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-12-23 bis 2009-01-23 ))))))))))))))))))))))))))))))
.

2009-01-22 22:42 . 2009-01-22 22:42 <DIR> d-------- c:\programme\Avira
2009-01-22 22:42 . 2009-01-22 22:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-22 20:35 . 2009-01-23 09:27 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-22 20:35 . 2009-01-22 20:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-22 20:35 . 2008-09-02 00:16 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-22 20:35 . 2008-09-02 00:16 17,200 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-22 19:47 . 2009-01-22 20:02 <DIR> d-------- C:\_Virusbefall
2009-01-22 19:13 . 2009-01-22 19:39 250 --a------ c:\windows\gmer.ini
2009-01-22 12:13 . 2009-01-22 12:13 <DIR> d--hs---- c:\windows\system32\twain32
2009-01-22 12:12 . 2009-01-22 12:12 94,208 --a------ c:\windows\system32\iestat.exe
2009-01-21 12:34 . 2008-04-07 05:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-01-21 12:34 . 2008-04-07 05:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-01-21 12:08 . 2009-01-21 12:08 <DIR> d-------- c:\programme\Adobe Media Player
2009-01-21 12:06 . 2009-01-21 12:06 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-01-21 11:57 . 2009-01-21 11:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-01-21 11:23 . 2008-05-09 11:54 512,000 -----c--- c:\windows\system32\dllcache\jscript.dll
2009-01-21 11:23 . 2008-05-09 11:54 430,080 -----c--- c:\windows\system32\dllcache\vbscript.dll
2009-01-21 11:23 . 2008-05-09 11:54 180,224 -----c--- c:\windows\system32\dllcache\scrobj.dll
2009-01-21 11:23 . 2008-05-09 11:54 172,032 -----c--- c:\windows\system32\dllcache\scrrun.dll
2009-01-21 11:23 . 2008-05-08 12:24 155,648 -----c--- c:\windows\system32\dllcache\wscript.exe
2009-01-21 11:23 . 2008-05-09 09:45 135,168 -----c--- c:\windows\system32\dllcache\cscript.exe
2009-01-21 11:23 . 2008-05-09 11:54 90,112 -----c--- c:\windows\system32\dllcache\wshext.dll
2009-01-21 11:06 . 2009-01-21 11:06 <DIR> d-------- c:\windows\system32\de
2009-01-21 11:04 . 2009-01-21 11:07 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-21 11:04 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-01-21 11:00 . 2006-12-29 00:31 19,569 --a------ c:\windows\003098_.tmp
2009-01-21 09:29 . 2009-01-21 09:29 127 --a------ c:\windows\system32\MRT.INI
2009-01-19 22:34 . 2009-01-22 22:24 <DIR> d-------- C:\QUARANTINE
2009-01-19 17:19 . 2009-01-19 17:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-01-19 17:18 . 2006-11-17 03:06 1,495,552 --a------ c:\windows\system32\epoPGPsdk.dll
2009-01-19 17:18 . 2006-11-17 03:06 280 --a------ c:\windows\system32\epoPGPsdk.dll.sig
2009-01-19 17:17 . 2006-11-30 08:50 168,776 --a------ c:\windows\system32\drivers\mfehidk.sys
2009-01-19 17:17 . 2006-11-30 08:50 72,264 --a------ c:\windows\system32\drivers\mfeavfk.sys
2009-01-19 17:17 . 2006-11-30 08:50 64,360 --a------ c:\windows\system32\drivers\mfeapfk.sys
2009-01-19 17:17 . 2006-11-30 08:50 52,136 --a------ c:\windows\system32\drivers\mfetdik.sys
2009-01-19 17:17 . 2006-11-30 08:50 34,152 --a------ c:\windows\system32\drivers\mfebopk.sys
2009-01-19 17:16 . 2009-01-19 17:16 <DIR> d-------- c:\programme\McAfee
2009-01-19 17:16 . 2009-01-19 17:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-01-19 08:56 . 2009-01-19 08:56 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-19 08:56 . 2009-01-19 08:56 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-18 17:21 . 2009-01-18 17:21 <DIR> d-------- c:\programme\Trend Micro
2009-01-17 23:35 . 2009-01-17 23:35 2 --a------ C:\-532638151
2009-01-17 23:21 . 2009-01-17 23:21 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\AVS4YOU
2009-01-17 23:21 . 2009-01-17 23:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-01-17 23:20 . 2009-01-17 23:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-01-17 23:20 . 2009-01-17 23:21 <DIR> d-------- c:\programme\AVS4YOU
2009-01-17 23:20 . 2008-08-13 10:22 1,700,352 --a------ c:\windows\system32\GdiPlus.dll
2009-01-17 23:20 . 2008-08-13 10:22 974,848 --a------ c:\windows\system32\mfc70.dll
2009-01-17 23:20 . 2008-08-13 10:22 487,424 --a------ c:\windows\system32\msvcp70.dll
2009-01-17 22:31 . 2009-01-17 22:45 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-01-17 22:31 . 2009-01-17 22:31 <DIR> d-------- c:\programme\AskBarDis
2009-01-17 22:31 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-01-16 14:28 . 2009-01-16 14:28 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\flightgear.org
2009-01-16 14:24 . 2009-01-16 14:36 <DIR> d-------- c:\programme\FlightGear
2009-01-16 08:43 . 2009-01-16 08:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\DirectX
2009-01-15 17:46 . 2009-01-15 17:46 <DIR> d-------- c:\programme\Gamigo Games
2009-01-15 17:10 . 2009-01-16 15:21 <DIR> d-------- c:\programme\OXXOGames
2009-01-11 19:43 . 2009-01-11 19:43 <DIR> d-------- c:\programme\AnswerWorks 4.0
2009-01-11 19:38 . 2009-01-11 19:43 <DIR> d-------- c:\programme\AutoCAD 2006
2009-01-11 19:38 . 2009-01-11 19:52 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\Autodesk
2009-01-11 19:38 . 2009-01-11 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-01-11 19:36 . 2009-01-11 19:44 <DIR> d-------- c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-01-11 19:36 . 2009-01-11 19:36 <DIR> d-------- c:\programme\Autodesk

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-21 11:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-19 16:19 --------- d-----w c:\programme\Network Associates
2009-01-19 16:17 --------- d-----w c:\programme\Gemeinsame Dateien\Network Associates
2009-01-19 07:56 --------- d-----w c:\programme\Java
2009-01-17 18:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-12-20 21:36 --------- d-----w c:\programme\Virtual Dub dt
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 10:31 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-01 18:24 --------- d-----w c:\programme\Gemeinsame Dateien\AAV
2008-12-01 16:17 --------- d-----w c:\programme\iTunes
2008-12-01 16:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-01 16:16 --------- d-----w c:\programme\iPod
2008-12-01 16:16 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-01 16:14 --------- d-----w c:\programme\QuickTime
2008-03-18 20:01 32 -c--a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-21 20:18 14,852 -c--a-w c:\programme\settings.dat
2008-05-22 16:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-10-09 2183168]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-27 851968]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 16384]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"InstantAccess"="c:\progra~1\TEXTBR~1.0\Bin\INSTAN~1.EXE" [1999-12-14 37376]
"RegisterDropHandler"="c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-12-14 23040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 c:\windows\stsystra.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"RegisterDropHandler"="c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-12-14 23040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-11 110592]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-03 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3042223626-4235737765-3613385886-54581\Scripts\Logon\0\0]
"Script"=logon-script-architektur-mitarbeiter.vbs

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

S1 e1bf4032;e1bf4032;c:\windows\system32\drivers\e1bf4032.sys --> c:\windows\system32\drivers\e1bf4032.sys [?]
S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTIGOSp50.sys --> c:\windows\system32\Drivers\SPOTIGOSp50.sys [?]
S3 SPOTSp50;SPOTSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTSp50.sys --> c:\windows\system32\Drivers\SPOTSp50.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94cb8006-0099-11dd-a420-001c23a75254}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9befecda-4800-11dd-a49e-001c23a75254}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FDP.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eefc4b9c-aac0-11dd-a537-001c23a75254}]
\Shell\AutoRun\command - ebvldhc.exe
\Shell\explore\Command - ebvldhc.exe
\Shell\open\Command - ebvldhc.exe
.
Inhalt des "geplante Tasks" Ordners

2009-01-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
HKCU-Run-FlashGet - c:\programme\FlashGet Network\FlashGet universal\FlashGet.exe
HKLM-Run-FlashGet - c:\programme\FlashGet Network\FlashGet universal\FlashGet.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.uni-siegen.de/fb9/
uInternet Settings,ProxyOverride = *.local
IE: &Download All by FlashGet - c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
IE: &Download by FlashGet - c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
IE: an vorhandenes pdf anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: in adobe pdf konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: verknüpfungsziel in adobe pdf konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: verknüpfungsziel in vorhandene pdf-datei konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
Trusted Zone: microsoft.com\*.windowsupdate
Trusted Zone: windowsupdate.com
FF - ProfilePath - c:\dokumente und einstellungen\gi128\Anwendungsdaten\Mozilla\Firefox\Profiles\cubzdo7w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.uni-siegen.de/fb9/
FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1296)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Network Associates\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\programme\Retrospect\Retrospect 7.5\retrorun.exe
c:\programme\Network Associates\Common Framework\naPrdMgr.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\programme\Network Associates\Common Framework\Mctray.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\programme\iPod\bin\iPodService.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-23 10:47:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-23 09:47:42

Vor Suchlauf: 18 Verzeichnis(se), 59,853,611,008 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 61,441,798,144 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

524 --- E O F --- 2009-01-21 17:36:48


Danach konnte ich auch Malwarebytes durchlaufen lassen und hatte als Ergebnis folgendes:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1682
Windows 5.1.2600 Service Pack 3

2009-01-23 11:25:36
mbam-log-2009-01-23 (11-25-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 65125
Laufzeit: 7 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier ist noch der Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55, on 2009-01-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\Programme\Retrospect\Retrospect 7.5\retrorun.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Programme\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Programme\Network Associates\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Network Associates\Common Framework\McTray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Dell Support Center\bin\sprtcmd.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\_Virusbefall\Programme\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-siegen.de/fb9/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {ae7cd045-e861-484f-8273-0445ee161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {f4971ee7-daa0-4053-9964-665d8ee6a077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [dscactivate] "C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: an vorhandenes pdf anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: in adobe pdf konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: verknüpfungsziel in adobe pdf konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: verknüpfungsziel in vorhandene pdf-datei konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = architektur.uni-siegen.de
O17 - HKLM\Software\..\Telephony: DomainName = architektur.uni-siegen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = architektur.uni-siegen.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = architektur.uni-siegen.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Programme\DellSupport\brkrsvc.exe
O23 - Service: FLEXnet Licensing Service (flexnet licensing service) - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Roxio\Roxio MyDVD DE\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Corporation - C:\Programme\Retrospect\Retrospect 7.5\retrorun.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programme\Dell Support Center\bin\sprtsvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 12658 bytes


Und hier die Uninstall Liste:

Acrobat.com
Acrobat.com
ACSI Campsite CD-ROM Europe 2005
Adobe AIR
Adobe AIR
Adobe Anchor Service CS4
Adobe Asset Services CS4
Adobe Bridge CS4
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles CS CS4
Adobe Creative Suite 4 Design Standard
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS4
Adobe Drive CS4
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS4
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Illustrator 10
Adobe Illustrator CS
Adobe InDesign CS
Adobe InDesign CS4 Application Feature Set Files (Roman)
Adobe InDesign CS4 Common Base Files
Adobe InDesign CS4 Icon Handler
Adobe Linguistics CS4
Adobe Media Player
Adobe Media Player
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop 7.0
Adobe Photoshop CS
Adobe Photoshop CS4 Support
Adobe Reader 8.1.2 - Deutsch
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe SGM CS4
Adobe SING CS4
Adobe SVG Viewer 3.0
Adobe Type Support CS4
Adobe Update Manager CS4
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
AMD Processor Driver
Apple Mobile Device Support
Apple Software Update
Ask Toolbar
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
AutoCAD 2006 - English
Autodesk DWF Viewer
AVS Update Manager 1.0
AVS Video Converter 6
AVS4YOU Software Navigator 1.3
Bonjour
Broadcom 440x 10/100 Integrated Controller
Broadcom Management Programs
Canon CanoScan Toolbox 4.1
Canon i865
Canon iP4500 series
Canon iP4500 series Benutzerregistrierung
Canon My Printer
Canon Utilities Easy-PhotoPrint EX
Canon Utilities Solution Menu
CD-LabelPrint
Cleanup Assistant
Compatibility Pack for the 2007 Office system
Conexant HDA D330 MDC V.92 Modem
Connect
CorelDRAW Graphics Suite X3
CorelDRAW Graphics Suite X3
DE
Dell Support Center (Support Software)
Dell Touchpad
Dell Wireless WLAN Karte
DellSupport
Digital Line Detect
Duplicate Music Files Finder 1.5.5
DVD Shrink 3.2
EPSON SMART PANEL for Scanner
EPSON TWAIN 5
Falk Navi-Manager
FlashGet 2.0
FontNav
Google Earth
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
InfoBibliothek
Iomega Product Registration
IrfanView (remove only)
iTunes
Java(TM) 6 Update 11
kuler
Malwarebytes' Anti-Malware
McAfee VirusScan Enterprise
Microsoft .NET Framework 2.0
Microsoft ActiveSync 4.0
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Modem-Diagnose-Tool
Mozilla Firefox (3.0.5)
MSXML 4.0 SP2 (KB936181)
MULTIWEB FinMail Client
Nero 6 Enterprise Edition
neroxml
Network Stumbler 0.4.0 (remove only)
PDF Settings CS4
Photoshop Camera Raw
QuickTime
RawShooter essentials 2005
Retrospect 7.5
Roxio Creator Audio
Roxio Creator Copy
Roxio Creator Data
Roxio Creator DE
Roxio Creator Tools
Roxio Drag-to-Disc
Roxio Express Labeler
Roxio MyDVD DE
Roxio Update Manager
Security Update for Microsoft .NET Framework 2.0 (KB922770)
Security Update für Microsoft .NET Framework 2.0 (KB917283)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
SigmaTel Audio
SiSoftware Sandra Lite XIIc
Skype™ 3.6
Sonic Activation Module
Suite Shared Configuration CS4
Synchredible v2.2
TextBridge Pro 8.0
Uninstall 1.0.0.1
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update Manager
VBA
VCRedistSetup
Virtual Earth 3D (Beta)
VPN Client
Windows Imaging Component
Windows Media Format Runtime
Windows XP Service Pack 3
Windows-Treiberpaket - Ricoh Company (rimsptsk) hdc (11/14/2006 6.00.01.04)
WinRAR
XP Codec Pack
Xvid 1.1.3 final uninstall


Jetzt meine Frage: wars das oder muss ich Combofix noch einmal durchlaufen lassen , bzw. bestimmte Daten noch löschen, die u.U. in Quarantäne sind?

Vielen Dank für eure Hilfe!

Dieser Beitrag wurde am 23.01.2009 um 13:08 Uhr von Beff editiert.
Seitenanfang Seitenende
23.01.2009, 18:23
Moderator

Beiträge: 5694
#2 >>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\system32\drivers\e1bf4032.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Vermutlich ist dein USB Stick verseucht oder du hast einen verseuchten mal eingesteckt:
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

>>
Sagt Dir folgendes Script was:
logon-script-architektur-mitarbeiter.vbs

>>
Woher hast du das Programm:
c:\programme\FlashGet Network

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9befecda-4800-11dd-a49e-001c23a75254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eefc4b9c-aac0-11dd-a537-001c23a75254}]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

Gruss Swiss

Für mich:

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9befecda-4800-11dd-a49e-001c23a75254}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe FDP.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eefc4b9c-aac0-11dd-a537-001c23a75254}]
\Shell\AutoRun\command - ebvldhc.exe
\Shell\explore\Command - ebvldhc.exe
\Shell\open\Command - ebvldhc.exe
Dieser Beitrag wurde am 23.01.2009 um 18:36 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
24.01.2009, 14:50
...neu hier

Themenstarter

Beiträge: 8
#3 Die Datei elbf4032.sys konnte ich trotz aller sichtbarer Dateien und ausführlicher Suche (einschließlich versteckter Dateien) nicht finden.

>>

USB-Stick habe ich entseucht. Wie entseuche ich meine externe Festplatte, die zur Zeit natürlich abgestöpselt ist?

>>

Zum Architektur-Skript

Ich bin Mitarbeiter einer Architektur-Fakultät, habe aber keine Ahnung über Skripts. Könnte also in Ordnung sein.

Flash-Get hatte ich von Chip.de, habe das Programm aber gestern (unabhängig von deiner Frage) deinstalliert, weil es nicht mehr lief.

>>
beim Ablauf von SDfix wurde bei manchen Aktionen der Zugriff verweigert. Z.B. beim Aufbau der Ordner C:\windows\erunt\sdfix

Log SDfix


SDFix: Version 1.240
Run by gi128 on 24.01.2009 at 13:55

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\-53263~1 - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-24 14:09:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\UACfhvfmiec.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys\modules]
"UACd"="\\?\globalroot\systemroot\system32\drivers\UACfhvfmiec.sys"
"UACc"="\\?\globalroot\systemroot\system32\UACrvdedquh.dll"
"uacsr"="\\?\globalroot\systemroot\system32\UACnnjnygip.dat"
"uaclog"="\\?\globalroot\systemroot\system32\UACjkrpwvvu.dll"
"uacmask"="\\?\globalroot\systemroot\system32\UACmacwmdeb.dll"
"uacbbr"="\\?\globalroot\systemroot\system32\UACwbhtupbd.dll"
"UACproc"="\\?\globalroot\systemroot\system32\UAClaowtvgt.log"
"uacurls"="\\?\globalroot\systemroot\system32\UACkoxsmxek.log"
"uacerrors"="\\?\globalroot\systemroot\system32\UACmlsywlux.log"
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000002
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000007
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000023
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000004
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000004
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000004
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000007
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Services\MRxDAV\EncryptedDirectories]
@=""

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"NextDetectionTime"="2009-01-24 13:05:58"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Database Agent Service"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe"="C:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe:*:Enabled:Retrospect"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"="C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"="C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe:*:Enabled:McAfee Framework Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\FlashGet Network\\FlashGet universal\\flashget.exe"="C:\\Programme\\FlashGet Network\\FlashGet universal\\flashget.exe:*:Enabled:flashget"
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 30 Oct 2008 24 ..SH. --- "C:\WINDOWS\S6AB1CDFF.tmp"
Thu 22 May 2008 952 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 22 Dec 2004 76,568 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 13 Jan 2005 11,360 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
Sun 9 Mar 2008 30,208 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\Bewerbung\~WRL0004.tmp"
Thu 17 Aug 2000 28,738 A..HR --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Office2002\MSDE2000\SQLRESLD.DLL"
Mon 7 Apr 2008 68,608 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\BewerbungNeu\BBR\~WRL1876.tmp"
Wed 26 Mar 2008 63,488 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\BewerbungNeu\BBR\~WRL3313.tmp"
Sun 23 Jan 2005 1,031,680 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\TE\~WRL3472.tmp"
Wed 14 Jan 2009 59,392 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL0507.tmp"
Wed 14 Jan 2009 59,904 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL1340.tmp"
Wed 14 Jan 2009 55,808 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL1382.tmp"
Tue 13 Jan 2009 60,928 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL1936.tmp"
Wed 14 Jan 2009 55,808 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL2703.tmp"
Wed 14 Jan 2009 76,800 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL3359.tmp"
Sat 5 Mar 2005 1,231,360 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL1562.tmp"
Sat 5 Mar 2005 423,936 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL1736.tmp"
Fri 4 Mar 2005 1,232,384 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL3616.tmp"
Sat 5 Mar 2005 845,824 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL4081.tmp"
Fri 18 Mar 2005 229,376 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\Fachrecht\~WRL0188.tmp"
Fri 18 Mar 2005 549,376 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\Fachrecht\~WRL2902.tmp"
Thu 10 Mar 2005 12,728,320 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\TE\~WRL0194.tmp"
Mon 14 Mar 2005 41,472 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\TE\~WRL3281.tmp"
Thu 6 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Thu 6 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Thu 6 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Sun 13 Mar 2005 458,752 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\Fachrecht\PBefG\PBefG\~WRL0293.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128.CERDA\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128.CERDA\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128.CERDA\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\testuser\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\testuser\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\testuser\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"

Finished!

>>

Log von Combofix:

ComboFix 09-01-21.04 - gi128 2009-01-24 14:24:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1918.1336 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\gi128\Desktop\cf.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\gi128\Desktop\cfscript.txt
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-24 bis 2009-01-24 ))))))))))))))))))))))))))))))
.

2009-01-24 12:50 . 2009-01-24 14:14 <DIR> d-------- C:\SDFix
2009-01-23 11:08 . 2009-01-23 11:08 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\Malwarebytes
2009-01-22 20:35 . 2009-01-23 11:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-22 20:35 . 2009-01-22 20:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-22 20:35 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-22 20:35 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-22 19:47 . 2009-01-23 11:42 <DIR> d-------- C:\_Virusbefall
2009-01-22 19:13 . 2009-01-22 19:39 250 --a------ c:\windows\gmer.ini
2009-01-22 12:13 . 2009-01-22 12:13 <DIR> d--hs---- c:\windows\system32\twain32
2009-01-22 12:12 . 2009-01-22 12:12 94,208 --a------ c:\windows\system32\iestat.exe
2009-01-21 12:34 . 2008-04-07 05:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-01-21 12:34 . 2008-04-07 05:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-01-21 12:08 . 2009-01-21 12:08 <DIR> d-------- c:\programme\Adobe Media Player
2009-01-21 12:06 . 2009-01-21 12:06 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-01-21 11:57 . 2009-01-21 11:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-01-21 11:23 . 2008-05-09 11:54 512,000 -----c--- c:\windows\system32\dllcache\jscript.dll
2009-01-21 11:23 . 2008-05-09 11:54 430,080 -----c--- c:\windows\system32\dllcache\vbscript.dll
2009-01-21 11:23 . 2008-05-09 11:54 180,224 -----c--- c:\windows\system32\dllcache\scrobj.dll
2009-01-21 11:23 . 2008-05-09 11:54 172,032 -----c--- c:\windows\system32\dllcache\scrrun.dll
2009-01-21 11:23 . 2008-05-08 12:24 155,648 -----c--- c:\windows\system32\dllcache\wscript.exe
2009-01-21 11:23 . 2008-05-09 09:45 135,168 -----c--- c:\windows\system32\dllcache\cscript.exe
2009-01-21 11:23 . 2008-05-09 11:54 90,112 -----c--- c:\windows\system32\dllcache\wshext.dll
2009-01-21 11:06 . 2009-01-21 11:06 <DIR> d-------- c:\windows\system32\de
2009-01-21 11:04 . 2009-01-21 11:07 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-21 11:04 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-01-21 11:00 . 2006-12-29 00:31 19,569 --a------ c:\windows\003098_.tmp
2009-01-21 09:29 . 2009-01-21 09:29 127 --a------ c:\windows\system32\MRT.INI
2009-01-19 22:34 . 2009-01-22 22:24 <DIR> d-------- C:\QUARANTINE
2009-01-19 17:19 . 2009-01-19 17:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-01-19 17:18 . 2006-11-17 03:06 1,495,552 --a------ c:\windows\system32\epoPGPsdk.dll
2009-01-19 17:18 . 2006-11-17 03:06 280 --a------ c:\windows\system32\epoPGPsdk.dll.sig
2009-01-19 17:17 . 2006-11-30 08:50 168,776 --a------ c:\windows\system32\drivers\mfehidk.sys
2009-01-19 17:17 . 2006-11-30 08:50 72,264 --a------ c:\windows\system32\drivers\mfeavfk.sys
2009-01-19 17:17 . 2006-11-30 08:50 64,360 --a------ c:\windows\system32\drivers\mfeapfk.sys
2009-01-19 17:17 . 2006-11-30 08:50 52,136 --a------ c:\windows\system32\drivers\mfetdik.sys
2009-01-19 17:17 . 2006-11-30 08:50 34,152 --a------ c:\windows\system32\drivers\mfebopk.sys
2009-01-19 17:16 . 2009-01-19 17:16 <DIR> d-------- c:\programme\McAfee
2009-01-19 17:16 . 2009-01-19 17:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-01-19 08:56 . 2009-01-19 08:56 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-19 08:56 . 2009-01-19 08:56 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-18 17:21 . 2009-01-18 17:21 <DIR> d-------- c:\programme\Trend Micro
2009-01-17 23:21 . 2009-01-17 23:21 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\AVS4YOU
2009-01-17 23:21 . 2009-01-17 23:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-01-17 23:20 . 2009-01-17 23:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-01-17 23:20 . 2009-01-17 23:21 <DIR> d-------- c:\programme\AVS4YOU
2009-01-17 23:20 . 2008-08-13 10:22 1,700,352 --a------ c:\windows\system32\GdiPlus.dll
2009-01-17 23:20 . 2008-08-13 10:22 974,848 --a------ c:\windows\system32\mfc70.dll
2009-01-17 23:20 . 2008-08-13 10:22 487,424 --a------ c:\windows\system32\msvcp70.dll
2009-01-17 22:31 . 2009-01-17 22:45 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-01-17 22:31 . 2009-01-17 22:31 <DIR> d-------- c:\programme\AskBarDis
2009-01-17 22:31 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-01-16 14:28 . 2009-01-16 14:28 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\flightgear.org
2009-01-16 14:24 . 2009-01-16 14:36 <DIR> d-------- c:\programme\FlightGear
2009-01-16 08:43 . 2009-01-16 08:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\DirectX
2009-01-15 17:46 . 2009-01-15 17:46 <DIR> d-------- c:\programme\Gamigo Games
2009-01-15 17:10 . 2009-01-16 15:21 <DIR> d-------- c:\programme\OXXOGames
2009-01-11 19:43 . 2009-01-11 19:43 <DIR> d-------- c:\programme\AnswerWorks 4.0
2009-01-11 19:38 . 2009-01-11 19:43 <DIR> d-------- c:\programme\AutoCAD 2006
2009-01-11 19:38 . 2009-01-11 19:52 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\Autodesk
2009-01-11 19:38 . 2009-01-11 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-01-11 19:36 . 2009-01-11 19:44 <DIR> d-------- c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-01-11 19:36 . 2009-01-11 19:36 <DIR> d-------- c:\programme\Autodesk

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-21 11:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-19 16:19 --------- d-----w c:\programme\Network Associates
2009-01-19 16:17 --------- d-----w c:\programme\Gemeinsame Dateien\Network Associates
2009-01-19 07:56 --------- d-----w c:\programme\Java
2009-01-17 18:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-12-20 21:36 --------- d-----w c:\programme\Virtual Dub dt
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 10:31 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-01 18:24 --------- d-----w c:\programme\Gemeinsame Dateien\AAV
2008-12-01 16:17 --------- d-----w c:\programme\iTunes
2008-12-01 16:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-01 16:16 --------- d-----w c:\programme\iPod
2008-12-01 16:16 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-01 16:14 --------- d-----w c:\programme\QuickTime
2008-03-18 20:01 32 -c--a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-21 20:18 14,852 -c--a-w c:\programme\settings.dat
2008-05-22 16:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2009-01-23_10.46.37.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-01-22 21:01:06 71,598 ----a-w c:\windows\system32\perfc007.dat
+ 2009-01-24 12:09:15 71,994 ----a-w c:\windows\system32\perfc007.dat
- 2009-01-22 21:01:06 59,440 ----a-w c:\windows\system32\perfc009.dat
+ 2009-01-24 12:09:15 59,774 ----a-w c:\windows\system32\perfc009.dat
- 2009-01-22 21:01:06 408,618 ----a-w c:\windows\system32\perfh007.dat
+ 2009-01-24 12:09:15 409,192 ----a-w c:\windows\system32\perfh007.dat
- 2009-01-22 21:01:06 395,200 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-24 12:09:15 395,534 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-24 13:27:49 16,384 ----atw c:\windows\temp\Perflib_Perfdata_4ac.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-10-09 2183168]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-27 851968]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 16384]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"InstantAccess"="c:\progra~1\TEXTBR~1.0\Bin\INSTAN~1.EXE" [1999-12-14 37376]
"RegisterDropHandler"="c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-12-14 23040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 c:\windows\stsystra.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"RegisterDropHandler"="c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-12-14 23040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-11 110592]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-03 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3042223626-4235737765-3613385886-54581\Scripts\Logon\0\0]
"Script"=logon-script-architektur-mitarbeiter.vbs

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

S1 e1bf4032;e1bf4032;c:\windows\system32\drivers\e1bf4032.sys --> c:\windows\system32\drivers\e1bf4032.sys [?]
S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTIGOSp50.sys --> c:\windows\system32\Drivers\SPOTIGOSp50.sys [?]
S3 SPOTSp50;SPOTSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTSp50.sys --> c:\windows\system32\Drivers\SPOTSp50.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94cb8006-0099-11dd-a420-001c23a75254}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-01-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.uni-siegen.de/fb9/
uInternet Settings,ProxyOverride = *.local
IE: &Download All by FlashGet - c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
IE: &Download by FlashGet - c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
IE: an vorhandenes pdf anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: in adobe pdf konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: verknüpfungsziel in adobe pdf konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: verknüpfungsziel in vorhandene pdf-datei konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
Trusted Zone: microsoft.com\*.windowsupdate
Trusted Zone: windowsupdate.com
FF - ProfilePath - c:\dokumente und einstellungen\gi128\Anwendungsdaten\Mozilla\Firefox\Profiles\cubzdo7w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.uni-siegen.de/fb9/
FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-24 14:29:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1300)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Network Associates\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\programme\Network Associates\Common Framework\naPrdMgr.exe
c:\programme\Retrospect\Retrospect 7.5\retrorun.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\programme\Network Associates\Common Framework\Mctray.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-24 14:36:24 - PC wurde neu gestartet [gi128]
ComboFix-quarantined-files.txt 2009-01-24 13:36:21
ComboFix2.txt 2009-01-23 09:47:48

Vor Suchlauf: 19 Verzeichnis(se), 61,289,484,288 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 61,321,756,672 Bytes frei

254 --- E O F --- 2009-01-21 17:36:48


Danke für die Hilfe!
Seitenanfang Seitenende
25.01.2009, 01:09
Moderator

Beiträge: 5694
#4 >>
Entferne Combofix:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Entferne auf C:\SDFix --> Papierkorb leeren

>>
Hast du diesen Ordner erstellt???
C:\_Virusbefall

>>
Deaktiviere den AUTOSTART deiner externen Festplatte und stecke sie an.

>>
Scanne mit Malwarebytes jedoch mach einen VOLLSCAN und wähle auch die externe Festplatte aus.
Poste das Log.


>>
Scanne mit GMER und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

e1bf4032

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-->
Das gleiche mit:

UAC


Gruss Swiss


Für mich:

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys\modules]
Dieser Beitrag wurde am 25.01.2009 um 01:16 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
25.01.2009, 21:50
...neu hier

Themenstarter

Beiträge: 8
#5 Den Ordner SDFix gibt es nicht mehr auf C:\. Habe ihn auch suchen lassen, aber existiert nicht mehr.

>>

C:\_Virusbefall
ist von mir

>>

Scan von Malwarebytes:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1682
Windows 5.1.2600 Service Pack 3

2009-01-25 19:21:35
mbam-log-2009-01-25 (19-21-35).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 223041
Laufzeit: 2 hour(s), 21 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

>>

Gmer-log:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-01-25 21:38:36
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0xA993235B]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateKey [0xA99322DB]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcess [0xA9932385]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwDeleteKey [0xA99322EF]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwDeleteValueKey [0xA993231B]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0xA99323AF]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenKey [0xA99322C7]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0xA993236F]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwRenameKey [0xA9932305]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetValueKey [0xA9932331]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwTerminateProcess [0xA9932347]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0xA99323C5]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0xA9932399]
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile
Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwYieldExecution 80504AE8 7 Bytes JMP A993239D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtCreateFile 80579084 5 Bytes JMP A993235F \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!NtMapViewOfSection 805B2006 7 Bytes JMP A99323B3 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwUnmapViewOfSection 805B2E14 5 Bytes JMP A99323C9 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwProtectVirtualMemory 805B83E6 7 Bytes JMP A9932373 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwCreateProcess 805D11F8 5 Bytes JMP A9932389 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwTerminateProcess 805D29AA 5 Bytes JMP A993234B \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwSetValueKey 80621D18 7 Bytes JMP A9932335 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwRenameKey 806231B4 7 Bytes JMP A9932309 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwCreateKey 80623792 5 Bytes JMP A99322DF \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwDeleteKey 80623C22 7 Bytes JMP A99322F3 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwDeleteValueKey 80623DF2 7 Bytes JMP A993231F \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE ntkrnlpa.exe!ZwOpenKey 80624B64 5 Bytes JMP A99322CB \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BD0FEF
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00BD0087
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00BD0076
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00BD0FA8
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00BD0FB9
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00BD0FD4
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00BD00A2
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00BD0F66
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00BD0F2E
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00BD0F3F
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00BD0F1D
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00BD005B
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00BD000A
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00BD0F77
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00BD0040
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00BD0025
.text C:\WINDOWS\system32\svchost.exe[136] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00BD00BD
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00BC0039
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00BC008A
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00BC001E
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00BC0FDE
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00BC0FCD
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00BC0FEF
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00BC0065
.text C:\WINDOWS\system32\svchost.exe[136] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00BC004A
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 01E50000
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 01E50FA5
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 01E5009A
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 01E50089
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 01E50FC0
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 01E50FDB
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 01E500C6
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 01E500B5
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 01E500EB
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 01E50F52
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 01E50106
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 01E50058
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 01E50011
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 01E50F8A
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 01E50047
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 01E50036
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 01E50F63
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 01E4002F
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 01E40065
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 01E40FDE
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 01E40014
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 01E40054
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 01E40FEF
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 01E40FA8
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ 07, 8A ]
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 01E40FCD
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] WS2_32.dll!socket 71A14211 5 Bytes JMP 01E2000A
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] WinInet.dll!InternetOpenA 441FC865 5 Bytes JMP 01210000
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] WinInet.dll!InternetOpenW 441FCE99 5 Bytes JMP 01210011
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] WinInet.dll!InternetOpenUrlA 44200BCA 5 Bytes JMP 01210022
.text C:\Programme\Network Associates\Common Framework\FrameworkService.exe[540] WinInet.dll!InternetOpenUrlW 4424AEB9 5 Bytes JMP 01210033
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 02580000
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 0258007D
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 02580062
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 02580F88
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 02580FAF
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 02580040
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 0258009A
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 02580F52
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 025800C6
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 025800B5
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 025800E1
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 02580051
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 02580FEF
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 02580F6D
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 02580FD4
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 0258001B
.text C:\WINDOWS\system32\services.exe[1008] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 02580F37
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00FF0FC0
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00FF004E
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00FF0011
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00FF0FE5
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00FF003D
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00FF0000
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00FF002C
.text C:\WINDOWS\system32\services.exe[1008] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00FF0FA5
.text C:\WINDOWS\system32\services.exe[1008] WS2_32.dll!socket 71A14211 5 Bytes JMP 00FD0000
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00D8000A
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00D80098
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00D80087
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00D80076
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00D80FB9
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00D80FD4
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00D800C9
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00D80F77
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D80109
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D800EE
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00D8011A
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00D8005B
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00D80FEF
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00D80F92
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00D80040
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00D80025
.text C:\WINDOWS\system32\lsass.exe[1020] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00D80F66
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00D70047
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00D70F9E
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00D70036
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00D7001B
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00D70FB9
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00D7000A
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 00D70FCA
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ FA, 88 ]
.text C:\WINDOWS\system32\lsass.exe[1020] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00D70FE5
.text C:\WINDOWS\system32\lsass.exe[1020] WS2_32.dll!socket 71A14211 5 Bytes JMP 00D50FEF
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 02460000
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 02460F92
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 0246007D
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 02460FAF
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 0246006C
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 02460051
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 024600B8
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 02460F70
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 024600DD
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 02460F3A
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 02460F29
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 02460FCA
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 02460FE5
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 02460F81
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 02460036
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 02460025
.text C:\WINDOWS\system32\svchost.exe[1252] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 02460F55
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 02450014
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 02450054
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 02450FC3
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 02450FD4
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 02450F97
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 02450FEF
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 02450FB2
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ 68, 8A ]
.text C:\WINDOWS\system32\svchost.exe[1252] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 02450039
.text C:\WINDOWS\system32\svchost.exe[1252] WS2_32.dll!socket 71A14211 5 Bytes JMP 00FE0FE5
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00E50FEF
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00E50F66
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00E50F81
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00E50F9E
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00E5005B
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00E5002F
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00E50F3A
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00E50F4B
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00E50EFD
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00E50F0E
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00E500BB
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00E50040
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00E50FDE
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00E50076
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00E5001E
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00E50FCD
.text C:\WINDOWS\system32\svchost.exe[1348] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00E50F1F
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00E40FC0
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00E4005B
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00E40011
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00E40FDB
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00E40040
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00E40000
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 00E40F9E
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ 07, 89 ]
.text C:\WINDOWS\system32\svchost.exe[1348] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00E40FAF
.text C:\WINDOWS\system32\svchost.exe[1348] WS2_32.dll!socket 71A14211 5 Bytes JMP 00E2000A
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 01000000
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 010000AB
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 0100009A
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0100007F
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 01000062
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0100002C
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 01000F74
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 01000F91
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 010000E8
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 01000F4F
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!GetProcAddress 7C80AE30 1 Byte [ E9 ]
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!GetProcAddress + 2 7C80AE32 3 Bytes [ 60, 7F, 84 ]
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 01000051
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 01000011
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 010000BC
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 01000FC0
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 01000FD1
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 010000CD
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00FF001B
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00FF0073
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00FF0FD4
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00FF0FE5
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00FF0062
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00FF0000
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00FF0051
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00FF0036
.text C:\Programme\Network Associates\Common Framework\naPrdMgr.exe[1424] WS2_32.dll!socket 71A14211 5 Bytes JMP 00FD0FEF
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 058F0000
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 058F00B5
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 058F00A4
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 058F0093
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 058F0FCA
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 058F0047
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 058F0F7E
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 058F00C6
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 058F0F59
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 058F00F2
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 058F0103
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 058F006C
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 058F0011
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 058F0F9B
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 058F002C
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 058F0FDB
.text C:\WINDOWS\System32\svchost.exe[1496] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 058F00D7
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 058E0FB2
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 058E0054
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 058E0FCD
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 058E0FDE
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 058E0039
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 058E0FEF
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 058E0F97
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ B1, 8D ]
.text C:\WINDOWS\System32\svchost.exe[1496] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 058E001E
.text C:\WINDOWS\System32\svchost.exe[1496] WS2_32.dll!socket 71A14211 5 Bytes JMP 056E0FEF
.text C:\WINDOWS\System32\svchost.exe[1496] WININET.dll!InternetOpenA 441FC865 5 Bytes JMP 055C0FEF
.text C:\WINDOWS\System32\svchost.exe[1496] WININET.dll!InternetOpenW 441FCE99 5 Bytes JMP 055C0FD4
.text C:\WINDOWS\System32\svchost.exe[1496] WININET.dll!InternetOpenUrlA 44200BCA 5 Bytes JMP 055C000A
.text C:\WINDOWS\System32\svchost.exe[1496] WININET.dll!InternetOpenUrlW 4424AEB9 5 Bytes JMP 055C0025
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00940000
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00940F88
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00940073
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00940FA5
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00940058
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00940036
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 009400C6
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 009400AB
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00940F52
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00940F63
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00940106
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00940047
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00940011
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 0094008E
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00940FCA
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00940FDB
.text C:\WINDOWS\system32\svchost.exe[1608] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 009400E1
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 0093002F
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 0093006F
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00930014
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00930FDE
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00930FB2
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00930FEF
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 00930FC3
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ B6, 88 ]
.text C:\WINDOWS\system32\svchost.exe[1608] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 0093004A
.text C:\WINDOWS\system32\svchost.exe[1608] WS2_32.dll!socket 71A14211 5 Bytes JMP 00910FE5
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00DD0000
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00DD0F6F
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00DD0F80
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00DD004E
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00DD003D
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00DD0022
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00DD0F32
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00DD0F43
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00DD00B0
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00DD0095
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00DD0EFC
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00DD0F9B
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00DD0FDB
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00DD0F5E
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00DD0011
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00DD0FC0
.text C:\WINDOWS\system32\svchost.exe[1744] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00DD0F21
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00DC0FCA
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00DC0051
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00DC001B
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00DC0FEF
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00DC0F9E
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00DC000A
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 00DC0FAF
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [ FF, 88 ]
.text C:\WINDOWS\system32\svchost.exe[1744] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00DC0036
.text C:\WINDOWS\system32\svchost.exe[1744] WS2_32.dll!socket 71A14211 5 Bytes JMP 00DA0FEF
.text C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetOpenA 441FC865 5 Bytes JMP 00D90000
.text C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetOpenW 441FCE99 5 Bytes JMP 00D90FEF
.text C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetOpenUrlA 44200BCA 5 Bytes JMP 00D90025
.text C:\WINDOWS\system32\svchost.exe[1744] WININET.dll!InternetOpenUrlW 4424AEB9 5 Bytes JMP 00D90040
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00F60000
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00F60073
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00F60058
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00F60F7E
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00F60047
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00F60025
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00F60F48
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00F60F59
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00F600B5
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00F60F1C
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00F600D0
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00F60036
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00F60FE5
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00F60084
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00F60FB9
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00F60FCA
.text C:\WINDOWS\Explorer.EXE[2184] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00F60F37
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00F50FC3
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00F50F86
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00F50FD4
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00F50FE5
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00F50F97
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00F5000A
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00F50039
.text C:\WINDOWS\Explorer.EXE[2184] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00F50FA8
.text C:\WINDOWS\Explorer.EXE[2184] WININET.dll!InternetOpenA 441FC865 5 Bytes JMP 00BB0000
.text C:\WINDOWS\Explorer.EXE[2184] WININET.dll!InternetOpenW 441FCE99 5 Bytes JMP 00BB0FE5
.text C:\WINDOWS\Explorer.EXE[2184] WININET.dll!InternetOpenUrlA 44200BCA 5 Bytes JMP 00BB0FD4
.text C:\WINDOWS\Explorer.EXE[2184] WININET.dll!InternetOpenUrlW 4424AEB9 5 Bytes JMP 00BB0025
.text C:\WINDOWS\Explorer.EXE[2184] WS2_32.dll!socket 71A14211 5 Bytes JMP 00BC0FEF
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00EA0000
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00EA0F8C
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00EA0F9D
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00EA0081
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00EA0070
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00EA004E
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00EA0F60
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00EA0F71
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00EA0F23
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00EA0F34
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00EA0F12
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00EA005F
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00EA0011
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00EA009C
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00EA003D
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00EA0022
.text C:\Programme\Messenger\msmsgs.exe[3416] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00EA0F4F
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00E90047
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00E90095
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00E90036
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00E90025
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00E90084
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00E90000
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00E90069
.text C:\Programme\Messenger\msmsgs.exe[3416] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00E90058
.text C:\Programme\Messenger\msmsgs.exe[3416] WS2_32.dll!socket 71A14211 5 Bytes JMP 00E70FEF
.text C:\Programme\Messenger\msmsgs.exe[3416] WININET.dll!InternetOpenA 441FC865 5 Bytes JMP 00E60FEF
.text C:\Programme\Messenger\msmsgs.exe[3416] WININET.dll!InternetOpenW 441FCE99 5 Bytes JMP 00E60FDE
.text C:\Programme\Messenger\msmsgs.exe[3416] WININET.dll!InternetOpenUrlA 44200BCA 5 Bytes JMP 00E60014
.text C:\Programme\Messenger\msmsgs.exe[3416] WININET.dll!InternetOpenUrlW 4424AEB9 5 Bytes JMP 00E60FB9

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Services - GMER 1.0.14 ----

Service C:\Programme\Dell (*** hidden *** ) [AUTO] sprtsvc_dellsupportcenter <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACfhvfmiec.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACfhvfmiec.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACrvdedquh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACnnjnygip.dat
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACjkrpwvvu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACmacwmdeb.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACwbhtupbd.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UAClaowtvgt.log
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACkoxsmxek.log
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACmlsywlux.log
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 2
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 7
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 35
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 4
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 4
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 4
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceType 7
Reg HKLM\SYSTEM\controlset003\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties@DeviceCharacteristics 256
Reg HKLM\SYSTEM\controlset003\Services\MRxDAV\EncryptedDirectories@
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\Ø•€|ÿÿÿÿ•€|ù•6~
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\Ø•€|ÿÿÿÿ•€|ù•6~@7040110900063D11C8EF10054038389C C?\WINDOWS\system32\FM20ENU.DLL
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\
@DisplayName ?????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\
@DeviceDesc ?????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\
@ProviderName ???????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\
@MFG ?
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\
@ReinstallString C:\WINDOWS\System32\ReinstallBackups\????\DriverFiles\.INF
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\
@DeviceInstanceIds c:\dell\drivers\r134875\smbus\smbusati.inf

---- EOF - GMER 1.0.14 ----

>>

Registry Search:

nach e1bf4032

Folgender Text erscheint:

Access violation at adress 7E37DCB3 in module 'User32.dll'. Read of adress 00227000

nach UAC:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 2009-01-25 21:47:18 for strings:
; 'uac'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\desktopprotection\defaulttask]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\desktopprotection\tasks\{21221c11-a06d-4558-b833-98e8c7f6c4d2}]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\desktopprotection\tasks\{818c7543-358a-4c84-899a-14334ems4bgs}]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\desktopprotection\tasks\{EEEEB761-5E1D-4001-9D15-4B733B7514E6}]
"uAction"=dword:00000004
"uAction_Program"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\desktopprotection\tasks\{f8d48fd9-f56e-4808-bc50-7edc60af76ab}]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\desktopprotection\tasks\{faae6f67-4102-4d29-a690-e1e156cdee75}]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\vscore\email scanner\outlook\ondelivery\actionoptions]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\vscore\email scanner\outlook\ondemand\actionoptions]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\vscore\on access scanner\mcshield\configuration\default]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\vscore\on access scanner\mcshield\configuration\high]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\mcafee\vscore\on access scanner\mcshield\configuration\low]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\11.0\Registration\{90110407-6000-11D3-8CFE-0150048383C9}]
"Current1"="RQBO[.............................]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\20AC859F04BB700498B452789254E64E\Features]
"QuickTimeEssentials"="TD_.UDBXu9BWe%xw`*tdY(M'Oa8YX?[...]"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68ab67ca3301004f7706000000000040\features]
"RegLoc"="GlWo-DtV(9X^l3E4qB.8[...]FormsDesigner"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7040110900063D11C8EF10054038389C\Features]
"TranslationFiles_1031"="CFG$0D+!g(3?!!!_GX=bBbxH8x=![...].aQ.SHAREDFiles"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8FA14878587CFF247AE6CCF0C08261CC\Features]
"local_fr"="^58FtM}K1=Q}[...]2J8)eI"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\a76e0f7639e8c2c42bd9744c282637a8\features]
"ProgramFiles_Feature"="O(vKDs-Tw=5O(Bu)p*3(YCuy@v`[...]*9MkbIdFwU]Yfam'e+ZU*9MkbIdFwU"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\B32F89E4[...]FontNav"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\F580936DE6B45014F9730ABD0B322EBF\Features]
"CaptureDEU"="k@wQC$uoH9Da&[ml~Mtf[...]6MAD8MediaCapture"

[HKEY_LOCAL_MACHINE\SOFTWARE\SupportSoft\ProviderList\DellSupportCenter\users\SYSTEM]
"ProfileKey"="All Clients,All Supported LOBs,ALS_F,AV_McAfee,BadShareNames,BITS_25,BV_A05,BV_A06,BV_A[...]Web_OS_Vis_F,PCCWeb__Proc,War_Exp,WinFireWall_D,Wow6432_Ex"

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\desktopprotection\defaulttask]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\desktopprotection\tasks\{21221c11-a06d-4558-b833-98e8c7f6c4d2}]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\desktopprotection\tasks\{818c7543-358a-4c84-899a-14334ems4bgs}]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\desktopprotection\tasks\{f8d48fd9-f56e-4808-bc50-7edc60af76ab}]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\desktopprotection\tasks\{faae6f67-4102-4d29-a690-e1e156cdee75}]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\vscore\email scanner\outlook\ondelivery\actionoptions]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\vscore\email scanner\outlook\ondemand\actionoptions]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\vscore\on access scanner\mcshield\configuration\default]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\vscore\on access scanner\mcshield\configuration\high]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\.DEFAULT\Software\mcafee_mid_backup\vscore\on access scanner\mcshield\configuration\low]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-21-3042223626-4235737765-3613385886-54581\Software\SupportSoft\ProviderList\DellSupportCenter\users\gi128]
"ProfileKey"="All Clients,All Supported LOBs,ALS_F,AV_McAfee,BadShareNames,BITS_25,BV_A05,BV_A06,BV_A[...]2_Ex"

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\desktopprotection\defaulttask]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\desktopprotection\tasks\{21221c11-a06d-4558-b833-98e8c7f6c4d2}]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\desktopprotection\tasks\{818c7543-358a-4c84-899a-14334ems4bgs}]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\desktopprotection\tasks\{f8d48fd9-f56e-4808-bc50-7edc60af76ab}]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\desktopprotection\tasks\{faae6f67-4102-4d29-a690-e1e156cdee75}]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\vscore\email scanner\outlook\ondelivery\actionoptions]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\vscore\email scanner\outlook\ondemand\actionoptions]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\vscore\on access scanner\mcshield\configuration\default]
"uAction_Program"=dword:00000005
"uAction"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\vscore\on access scanner\mcshield\configuration\high]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

[HKEY_USERS\S-1-5-18\Software\mcafee_mid_backup\vscore\on access scanner\mcshield\configuration\low]
"uAction"=dword:00000005
"uAction_Program"=dword:00000005

; End Of The Log...

>>

Auf meinem Schreibtisch liegt auf einmal eine Datei namens: "Thumbs.db"
Haben Sie eben erst entdeckt-meines Erachtens lag sie vorher nicht dort und ich frage mich auch, wie sie dorthin überhaupt gekommen ist...
Kann ich diese löschen, bzw. hat diese mit dem Virus zu tun?

>>
Ich bin beeindruckt und irre dankbar für deine Hilfe!

Gruß

Beff
Dieser Beitrag wurde am 26.01.2009 um 13:21 Uhr von Beff editiert.
Seitenanfang Seitenende
26.01.2009, 21:53
Moderator

Beiträge: 5694
#6 >>
Speichere Combofix erneut auf deinen Desktop:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
UACd

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys\modules]

File::
c:\windows\system32\drivers\UACfhvfmiec.sys
c:\windows\system32\UACrvdedquh.dll
c:\windows\system32\UACjkrpwvvu.dll
c:\windows\system32\UACnnjnygip.dat
c:\windows\system32\UACmacwmdeb.dll
c:\windows\system32\UACwbhtupbd.dll
c:\windows\system32\UAClaowtvgt.log
c:\windows\system32\UACkoxsmxek.log
c:\windows\system32\UACmlsywlux.log
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Bezüglich der Thumbs.db Frage:
http://www.philognosie.net/index.php/tip/tipview/749/
Gruss Swiss
Dieser Beitrag wurde am 26.01.2009 um 21:57 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
27.01.2009, 13:08
...neu hier

Themenstarter

Beiträge: 8
#7 Combofix-Log:

ComboFix 09-01-21.04 - gi128 2009-01-27 12:37:32.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1918.1351 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\gi128\Desktop\Cf.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\gi128\Desktop\cfscript.txt
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\drivers\UACfhvfmiec.sys
c:\windows\system32\UACjkrpwvvu.dll
c:\windows\system32\UACkoxsmxek.log
c:\windows\system32\UAClaowtvgt.log
c:\windows\system32\UACmacwmdeb.dll
c:\windows\system32\UACmlsywlux.log
c:\windows\system32\UACnnjnygip.dat
c:\windows\system32\UACrvdedquh.dll
c:\windows\system32\UACwbhtupbd.dll
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-27 bis 2009-01-27 ))))))))))))))))))))))))))))))
.

2009-01-27 12:30 . 2009-01-27 12:30 <DIR> d-------- c:\programme\CCleaner
2009-01-27 11:46 . 2009-01-27 11:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-01-27 11:31 . 2009-01-27 11:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-01-26 15:39 . 2009-01-26 15:39 <DIR> d--h----- c:\windows\PIF
2009-01-26 15:37 . 2009-01-26 15:37 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2009-01-26 11:27 . 2009-01-26 11:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-01-23 11:08 . 2009-01-23 11:08 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\Malwarebytes
2009-01-22 20:35 . 2009-01-23 11:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-22 20:35 . 2009-01-22 20:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-22 20:35 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-22 20:35 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-22 19:47 . 2009-01-25 16:46 <DIR> d-------- C:\_Virusbefall
2009-01-22 19:13 . 2009-01-25 19:48 250 --a------ c:\windows\gmer.ini
2009-01-22 12:13 . 2009-01-22 12:13 <DIR> d--hs---- c:\windows\system32\twain32
2009-01-22 12:12 . 2009-01-22 12:12 94,208 --a------ c:\windows\system32\iestat.exe
2009-01-21 12:34 . 2008-04-07 05:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-01-21 12:34 . 2008-04-07 05:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-01-21 11:57 . 2009-01-21 11:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-01-21 11:23 . 2008-05-09 11:54 512,000 -----c--- c:\windows\system32\dllcache\jscript.dll
2009-01-21 11:23 . 2008-05-09 11:54 430,080 -----c--- c:\windows\system32\dllcache\vbscript.dll
2009-01-21 11:23 . 2008-05-09 11:54 180,224 -----c--- c:\windows\system32\dllcache\scrobj.dll
2009-01-21 11:23 . 2008-05-09 11:54 172,032 -----c--- c:\windows\system32\dllcache\scrrun.dll
2009-01-21 11:23 . 2008-05-08 12:24 155,648 -----c--- c:\windows\system32\dllcache\wscript.exe
2009-01-21 11:23 . 2008-05-09 09:45 135,168 -----c--- c:\windows\system32\dllcache\cscript.exe
2009-01-21 11:23 . 2008-05-09 11:54 90,112 -----c--- c:\windows\system32\dllcache\wshext.dll
2009-01-21 11:06 . 2009-01-21 11:06 <DIR> d-------- c:\windows\system32\de
2009-01-21 11:04 . 2009-01-21 11:07 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-21 11:04 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-01-21 11:00 . 2006-12-29 00:31 19,569 --a------ c:\windows\003098_.tmp
2009-01-21 09:29 . 2009-01-21 09:29 127 --a------ c:\windows\system32\MRT.INI
2009-01-19 22:34 . 2009-01-22 22:24 <DIR> d-------- C:\QUARANTINE
2009-01-19 17:19 . 2009-01-19 17:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-01-19 17:18 . 2006-11-17 03:06 1,495,552 --a------ c:\windows\system32\epoPGPsdk.dll
2009-01-19 17:18 . 2006-11-17 03:06 280 --a------ c:\windows\system32\epoPGPsdk.dll.sig
2009-01-19 17:17 . 2006-11-30 08:50 168,776 --a------ c:\windows\system32\drivers\mfehidk.sys
2009-01-19 17:17 . 2006-11-30 08:50 72,264 --a------ c:\windows\system32\drivers\mfeavfk.sys
2009-01-19 17:17 . 2006-11-30 08:50 64,360 --a------ c:\windows\system32\drivers\mfeapfk.sys
2009-01-19 17:17 . 2006-11-30 08:50 52,136 --a------ c:\windows\system32\drivers\mfetdik.sys
2009-01-19 17:17 . 2006-11-30 08:50 34,152 --a------ c:\windows\system32\drivers\mfebopk.sys
2009-01-19 17:16 . 2009-01-19 17:16 <DIR> d-------- c:\programme\McAfee
2009-01-19 17:16 . 2009-01-19 17:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-01-19 08:56 . 2009-01-19 08:56 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-19 08:56 . 2009-01-19 08:56 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-18 17:21 . 2009-01-18 17:21 <DIR> d-------- c:\programme\Trend Micro
2009-01-17 23:21 . 2009-01-17 23:21 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\AVS4YOU
2009-01-17 23:21 . 2009-01-17 23:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-01-17 23:20 . 2009-01-17 23:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-01-17 23:20 . 2009-01-17 23:21 <DIR> d-------- c:\programme\AVS4YOU
2009-01-17 23:20 . 2008-08-13 10:22 1,700,352 --a------ c:\windows\system32\GdiPlus.dll
2009-01-17 23:20 . 2008-08-13 10:22 974,848 --a------ c:\windows\system32\mfc70.dll
2009-01-17 23:20 . 2008-08-13 10:22 487,424 --a------ c:\windows\system32\msvcp70.dll
2009-01-17 22:31 . 2009-01-26 15:50 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-01-17 22:31 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-01-16 14:28 . 2009-01-16 14:28 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\flightgear.org
2009-01-16 14:24 . 2009-01-16 14:36 <DIR> d-------- c:\programme\FlightGear
2009-01-16 08:43 . 2009-01-16 08:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\DirectX
2009-01-15 17:46 . 2009-01-15 17:46 <DIR> d-------- c:\programme\Gamigo Games
2009-01-15 17:10 . 2009-01-16 15:21 <DIR> d-------- c:\programme\OXXOGames
2009-01-11 19:43 . 2009-01-11 19:43 <DIR> d-------- c:\programme\AnswerWorks 4.0
2009-01-11 19:38 . 2009-01-11 19:43 <DIR> d-------- c:\programme\AutoCAD 2006
2009-01-11 19:38 . 2009-01-11 19:52 <DIR> d-------- c:\dokumente und einstellungen\gi128\Anwendungsdaten\Autodesk
2009-01-11 19:38 . 2009-01-11 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Autodesk
2009-01-11 19:36 . 2009-01-11 19:44 <DIR> d-------- c:\programme\Gemeinsame Dateien\Autodesk Shared
2009-01-11 19:36 . 2009-01-11 19:36 <DIR> d-------- c:\programme\Autodesk

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-27 11:09 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-19 16:19 --------- d-----w c:\programme\Network Associates
2009-01-19 16:17 --------- d-----w c:\programme\Gemeinsame Dateien\Network Associates
2009-01-19 07:56 --------- d-----w c:\programme\Java
2009-01-17 18:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-12-20 21:36 --------- d-----w c:\programme\Virtual Dub dt
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 10:31 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-01 18:24 --------- d-----w c:\programme\Gemeinsame Dateien\AAV
2008-12-01 16:17 --------- d-----w c:\programme\iTunes
2008-12-01 16:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-01 16:16 --------- d-----w c:\programme\iPod
2008-12-01 16:16 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-01 16:14 --------- d-----w c:\programme\QuickTime
2008-03-18 20:01 32 -c--a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-21 20:18 14,852 -c--a-w c:\programme\settings.dat
2008-05-22 16:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-10-09 2183168]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-27 851968]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 16384]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"InstantAccess"="c:\progra~1\TEXTBR~1.0\Bin\INSTAN~1.EXE" [1999-12-14 37376]
"RegisterDropHandler"="c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-12-14 23040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"Adobe_ID0ENQBO"="c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2008-08-15 378224]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 c:\windows\stsystra.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"RegisterDropHandler"="c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-12-14 23040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-11 110592]
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2007-12-03 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3042223626-4235737765-3613385886-54581\Scripts\Logon\0\0]
"Script"=logon-script-architektur-mitarbeiter.vbs

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

S1 e1bf4032;e1bf4032;c:\windows\system32\drivers\e1bf4032.sys --> c:\windows\system32\drivers\e1bf4032.sys [?]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2008-08-15 284016]
S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTIGOSp50.sys --> c:\windows\system32\Drivers\SPOTIGOSp50.sys [?]
S3 SPOTSp50;SPOTSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTSp50.sys --> c:\windows\system32\Drivers\SPOTSp50.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{94cb8006-0099-11dd-a420-001c23a75254}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-01-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.uni-siegen.de/fb9/
IE: &Download All by FlashGet - c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
IE: &Download by FlashGet - c:\programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: microsoft.com\*.windowsupdate
Trusted Zone: windowsupdate.com
FF - ProfilePath - c:\dokumente und einstellungen\gi128\Anwendungsdaten\Mozilla\Firefox\Profiles\cubzdo7w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.uni-siegen.de/fb9/
FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-27 12:50:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(980)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Network Associates\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\programme\Network Associates\Common Framework\naPrdMgr.exe
c:\programme\Retrospect\Retrospect 7.5\retrorun.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\windows\system32\wbem\wmiapsrv.exe
michelangelo\PASClient\pascl32.exe
c:\programme\Network Associates\Common Framework\Mctray.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-27 12:54:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-27 11:54:46
ComboFix2.txt 2009-01-24 13:36:26

Vor Suchlauf: 20 Verzeichnis(se), 58,778,628,096 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 58,759,294,976 Bytes frei

254 --- E O F --- 2009-01-25 09:16:38
Seitenanfang Seitenende
27.01.2009, 13:35
Moderator

Beiträge: 5694
#8 >>
Hmm diese Datei kann ich einfach nicht zuordnen:
c:\windows\system32\drivers\e1bf4032.sys

http://virus-protect.org/artikel/tools/agentransack.html
eingeben in suche:

e1bf4032.sys

>>
Wende noch einmal sdfix an (im abgesicherten Modus), will wissen ob die Dateien wirklich weg sind:
http://virus-protect.org/artikel/tools/sdfix.html

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss
Seitenanfang Seitenende
28.01.2009, 09:35
...neu hier

Themenstarter

Beiträge: 8
#9 Agentransack konnte die Datei nicht finden

>>

Log Bitdefender:


[General]
App = "BitDefender Online Scanner v8"
Date = 27:01:2009
Time = 15:36:29
Scan Path = C:\;D:\;E:\;

[Engines Info]
Virus Definitions = 2614856
Engine build = "AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)"
Scan plugins = 17
Archive plugins = 45
Unpack plugins = 7
E-mail plugins = 6
System plugins = 4

[Scan Statistics]
Folders = 15736
Files = 669901
Archives = 5282
Packed files = 52393
Identified viruses = 2
Infected files = 4
Warnings = 0
Suspect files = 0
Disinfected files = 0
Deleted files = 4
Copied files = 0
Moved files = 0
Renamed files = 0
I/O Errors = 31

[Scan Settings]
SecondAction = Delete
FirstAction = Disinfect
Heuristics = 1
Enable Warnings = 1
Exclude Ext =
Extensions = *;
Scan Emails = 1
Scan Archives = 1
Scan Packed = 1
Scan Files = 1
Scan Boot = 1
Verify Memory = 0

[Scan Results]
Line00000008 = "C:\Dokumente und Einstellungen\gi128\Desktop\Flash_Disinfector.exe Infected with: IRC-Worm.Generic.4084"
Line00000007 = "C:\Dokumente und Einstellungen\gi128\Desktop\Flash_Disinfector.exe Deleted"
Line00000006 = "C:\System Volume Information\_restore{DC94A35E-D7F4-4072-93EE-7F2635FD65A0}\RP6\A0002186.exe Infected with: IRC-Worm.Generic.4084"
Line00000005 = "C:\System Volume Information\_restore{DC94A35E-D7F4-4072-93EE-7F2635FD65A0}\RP6\A0002186.exe Deleted"
Line00000004 = "C:\WINDOWS\system32\iestat.exe Infected with: Trojan.FakeAntivirus.Gen"
Line00000003 = "C:\WINDOWS\system32\iestat.exe Disinfection failed"
Line00000002 = "C:\WINDOWS\system32\iestat.exe Deleted"
Line00000001 = "C:\_Virusbefall\Programme\Flash_Disinfector.exe Infected with: IRC-Worm.Generic.4084"
Line00000000 = "C:\_Virusbefall\Programme\Flash_Disinfector.exe Deleted"

>>

SDFix lasse ich gleich noch einmal laufen und poste das log

>>

Vielen Dank!
Seitenanfang Seitenende
28.01.2009, 22:53
Moderator

Beiträge: 5694
#10

Zitat

SDFix lasse ich gleich noch einmal laufen und poste das log
Ich warte ;)

Zudem mach noch folgendes:

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:


Zitat

Folders to delete:
c:\windows\system32\twain32
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html


Gruss Swiss
Seitenanfang Seitenende
29.01.2009, 12:35
...neu hier

Themenstarter

Beiträge: 8
#11 >>

SDFix-Log:


SDFix: Version 1.240
Run by gi128 on 29.01.2009 at 12:01

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 12:26:53
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\UACfhvfmiec.sys"
"group"="file system"
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000002
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000007
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000023
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000004
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000004
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000004
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties]
"DeviceType"=dword:00000007
"DeviceCharacteristics"=dword:00000100
[HKEY_LOCAL_MACHINE\SYSTEM\controlset003\Services\MRxDAV\EncryptedDirectories]
@=""

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68ab67ca3301004f7706000000000040\usage]
"PDFMaker"=dword:3a3c004e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7040110900063D11C8EF10054038389C\Usage]
"SpellingAndGrammarFiles_1031"=dword:3a3c12f1
"WORDFiles"=dword:3a3c1337
"ProductFiles"=dword:3a3c031c
"SpellingAndGrammarFiles_1033"=dword:3a3c04c3
"VBAFiles"=dword:3a3c0218
"PPTFiles"=dword:3a3c064c
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\Canon iP4500 series]
"ChangeID"=dword:003c6117
"DsKeyUpdateForeground"=dword:00000000
"Attributes"=dword:00000e00

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Database Agent Service"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe"="C:\\Programme\\Retrospect\\Retrospect 7.5\\Retrospect.exe:*:Enabled:Retrospect"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"="C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"="C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe:*:Enabled:McAfee Framework Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\FlashGet Network\\FlashGet universal\\flashget.exe"="C:\\Programme\\FlashGet Network\\FlashGet universal\\flashget.exe:*:Enabled:flashget"
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4"
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"="C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe:*:Enabled:Adobe Version Cue CS4 Server"

Remaining Files :



Files with Hidden Attributes :

Thu 30 Oct 2008 24 ..SH. --- "C:\WINDOWS\S6AB1CDFF.tmp"
Thu 22 May 2008 952 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 22 Dec 2004 76,568 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 13 Jan 2005 11,360 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
Sun 9 Mar 2008 30,208 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\Bewerbung\~WRL0004.tmp"
Thu 17 Aug 2000 28,738 A..HR --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Office2002\MSDE2000\SQLRESLD.DLL"
Mon 7 Apr 2008 68,608 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\BewerbungNeu\BBR\~WRL1876.tmp"
Wed 26 Mar 2008 63,488 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\BewerbungNeu\BBR\~WRL3313.tmp"
Sun 23 Jan 2005 1,031,680 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\TE\~WRL3472.tmp"
Wed 14 Jan 2009 59,392 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL0507.tmp"
Wed 14 Jan 2009 59,904 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL1340.tmp"
Wed 14 Jan 2009 55,808 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL1382.tmp"
Tue 13 Jan 2009 60,928 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL1936.tmp"
Wed 14 Jan 2009 55,808 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL2703.tmp"
Wed 14 Jan 2009 76,800 ...H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Haury\Groáe Entwrfe\Kongo\šbersetzung\~WRL3359.tmp"
Sat 5 Mar 2005 1,231,360 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL1562.tmp"
Sat 5 Mar 2005 423,936 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL1736.tmp"
Fri 4 Mar 2005 1,232,384 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL3616.tmp"
Sat 5 Mar 2005 845,824 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\AVR\~WRL4081.tmp"
Fri 18 Mar 2005 229,376 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\Fachrecht\~WRL0188.tmp"
Fri 18 Mar 2005 549,376 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\Fachrecht\~WRL2902.tmp"
Thu 10 Mar 2005 12,728,320 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\TE\~WRL0194.tmp"
Mon 14 Mar 2005 41,472 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\pappi 2005\TE\~WRL3281.tmp"
Thu 6 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Thu 6 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Thu 6 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Sun 13 Mar 2005 458,752 A..H. --- "C:\Dokumente und Einstellungen\gi128\Eigene Dateien\Home\LernAG\Fachrecht\PBefG\PBefG\~WRL0293.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128.CERDA\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128.CERDA\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\gi128.CERDA\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\testuser\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u1\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\testuser\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u2\lock.tmp"
Mon 3 Dec 2007 8 A..H. --- "C:\Dokumente und Einstellungen\testuser\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch_u3\lock.tmp"

Finished!

>>

Avenger log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\windows\system32\twain32" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


>>

Datfindbat:

Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: E040-9639

Verzeichnis von c:\

29.01.2009 13:00 0 dirdat.txt
29.01.2009 12:44 2.145.386.496 pagefile.sys
29.01.2009 12:44 1.006 avenger.txt
28.01.2009 09:32 513 moduleName.txt
27.01.2009 12:54 18.502 ComboFix.txt
23.01.2009 09:40 293 boot.ini
21.01.2009 11:01 251.712 ntldr
15.12.2008 23:16 65.110 Ordner Haury 2008-12-15 23-13.srf
15.12.2008 23:13 1.914 Ordner Home 2008-12-15 23-13.srf
10.12.2008 13:30 912 Noten M14 2008-12-10 13-30.srf
10.12.2008 13:30 38.698 Backup Stabaserver 2008-12-10 13-27.srf
08.12.2008 17:54 1.098 Steuer 2008-12-08 17-54.srf
08.12.2008 17:54 199 Ordner Home 2008-12-08 17-54.srf
08.12.2008 17:53 2.348 Ordner Haury 2008-12-08 17-52.srf
24.11.2008 21:15 4.427 Ordner Haury 2008-11-24 21-15.srf
24.11.2008 21:14 816 Ordner Home 2008-11-24 21-13.srf
19.11.2008 11:28 3.125 Noten M14 2008-11-19 11-28.srf
19.11.2008 10:50 1.568.133 Backup Stabaserver 2008-11-19 09-37.srf
14.11.2008 13:58 66.563 Ordner Haury 2008-11-14 13-55.srf
14.11.2008 13:54 4.869 Ordner Home 2008-11-14 13-50.srf
03.11.2008 18:23 1.298 Steuer 2008-11-03 18-22.srf
03.11.2008 18:21 806 Ordner Haury 2008-11-03 18-20.srf
03.11.2008 18:20 268 Ordner Home 2008-11-03 18-19.srf
31.10.2008 21:56 77 DVDPATH.TXT
30.10.2008 22:27 4.349 Steuer 2008-10-30 22-27.srf
30.10.2008 22:25 91.011 Ordner Haury 2008-10-30 22-21.srf
30.10.2008 22:21 257 Ordner Home 2008-10-30 22-21.srf

Verzeichnis von C:\WINDOWS\system32

29.01.2009 12:46 2.206 wpa.dbl
29.01.2009 12:21 395.534 perfh009.dat
29.01.2009 12:21 59.774 perfc009.dat
29.01.2009 12:21 409.192 perfh007.dat
29.01.2009 12:21 71.994 perfc007.dat
29.01.2009 12:21 946.822 PerfStringBackup.INI
27.01.2009 12:46 2.190.800 FNTCACHE.DAT
21.01.2009 11:34 249 spupdwxp.log
21.01.2009 09:29 127 MRT.INI
19.01.2009 08:56 144.792 javaw.exe
19.01.2009 08:56 148.888 javaws.exe
19.01.2009 08:56 144.792 java.exe
19.01.2009 08:56 73.728 javacpl.cpl
19.01.2009 08:56 410.984 deploytk.dll
10.01.2009 02:35 20.853.704 MRT.exe
17.12.2008 17:49 587.548 TZLog.log
13.12.2008 07:36 3.593.216 mshtml.dll
09.11.2008 18:18 6.944 jupdate-1.6.0_07-b06.log
04.11.2008 10:30 90.112 QuickTimeVR.qtx
04.11.2008 10:30 57.344 QuickTime.qts


Verzeichnis von C:\WINDOWS

29.01.2009 12:47 1.180.645 WindowsUpdate.log
29.01.2009 12:45 159 wiadebug.log
29.01.2009 12:45 50 wiaservc.log
29.01.2009 12:45 2.048 bootstat.dat
29.01.2009 12:43 32.572 SchedLgU.Txt
27.01.2009 12:50 227 system.ini
25.01.2009 19:48 250 gmer.ini
22.01.2009 19:13 80 gmer_uninstall.cmd
22.01.2009 19:13 819.200 gmer.dll
21.01.2009 11:43 316.640 WMSysPr9.prx
18.01.2009 15:03 512 randseed.rnd
17.12.2008 17:48 573 win.ini
02.12.2008 17:10 34.236 FontData.fdb
17.11.2008 17:55 69 NeroDigital.ini
03.11.2008 12:09 30 SSEKonf.ini
30.10.2008 19:08 24 S6AB1CDFF.tmp
23.10.2008 12:51 400 ODBC.INI


Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

29.01.2009 12:54 192 WcesView.log
29.01.2009 12:50 580 jusched.log
29.01.2009 12:47 270 AUInst.log
29.01.2009 12:46 0 ~ROMFN_000009C8


>>

Gruß und vielen Dank!

Beff
Dieser Beitrag wurde am 29.01.2009 um 13:04 Uhr von Beff editiert.
Seitenanfang Seitenende
29.01.2009, 18:55
Moderator

Beiträge: 5694
#12 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

Das muss noch raus:

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:


Zitat

Registry Keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Grus Swiss
Seitenanfang Seitenende
30.01.2009, 13:22
...neu hier

Themenstarter

Beiträge: 8
#13 Hallo,

Avenger-log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

>>

Das Log von eset:

# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3812 (20090130)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=f575e8a97af14f4daecaf2df5ddfd05b
# end=finished
# remove_checked=false
# unwanted_checked=true
# utc_time=2009-01-30 02:40:29
# local_time=2009-01-30 03:40:29 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# osver=5.1.2600 NT Service Pack 3
# scanned=594549
# found=0
# scan_time=7622

>>

Gruß und mit großem Dank

beff
Dieser Beitrag wurde am 30.01.2009 um 15:50 Uhr von Beff editiert.
Seitenanfang Seitenende
30.01.2009, 18:42
Moderator

Beiträge: 5694
#14 >>
OTMoveIt3.exe
bleepingcomputer.com
->OTMoveIt3.exe auf dem Desktop speichern

OTMoveIt.exe klicken

1. klicken: CleanUp! button
2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTMoveIt3 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

>>
Dann sollte alles wieder i.O. sein, oder hast du noch Probleme?

Guss Swiss
Seitenanfang Seitenende
03.02.2009, 11:52
...neu hier

Themenstarter

Beiträge: 8
#15 Hallo Swiss,

der Rechner läuft dank deiner Hilfe wieder wie geschmiert.

Frage:

Ich habe auf meinem Rechner natürlich auch ein Standard-Viren-Programm laufen, nämlich McAfee VirusScan. Hat das Programm OTMoveIt irgendwelche Auswirkungen auf das Programm? Welche Tools werden denn von dem Programm entfernt?

Vielen Dank für diese letzte kleine Frage.

Gruß

Beff
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: