MBAM hat heute folgendes gefunden...

#1 hallo zusammen,

kann mir bitte jemand von euch sagen, ob das folgende hier, was in der Quarantäne ist, löschen soll/kann..

Rogue.RegTool.exe

oder nochmal scannen und den scanbericht posten?

#2 um welche dagtei handelt es sich, pfad bitte...

#3 avira hat jetzt folgendes gefunden:

In der Datei 'C:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP126\A0015990.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Killav.28714' [trojan] gefunden.

#4 aha, was ist mit meiner Frage?

#5 ich arbeite den thread von sabina ab..bin gleich soweit

#6 ein neues log wird nicht meine frage beantworten, dass file wurde ja schon gelöscht.

#7 wo finde ich bitte den pfad?

hier mal das von sabina:

22.04.2009 20:14:06
mbam-log-2009-04-22 (20-14-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 95656
Laufzeit: 26 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe (Rogue.RegTool) -> Quarantined and deleted successfully.

ComboFix 09-04-23.02 - gero 22.04.2009 19:51.8 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\gero\Eigene Dateien\Eigene Videos\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-23 bis 2009-04-23 ))))))))))))))))))))))))))))))
.

2009-04-15 13:04 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 13:04 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 13:04 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 13:04 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 13:04 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 13:04 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 13:04 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 13:04 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 13:04 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 16:12 . 2008-06-17 13:23 -------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\Skype
2009-04-22 14:30 . 2008-06-17 13:27 -------- d-----w c:\dokumente und einstellungen\gero\Anwendungsdaten\skypePM
2009-04-07 16:06 . 2009-02-20 16:04 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-06 13:32 . 2009-02-20 16:04 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-02-20 16:04 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-29 18:03 . 2008-06-22 16:44 -------- d-----w c:\programme\Java
2009-03-29 18:03 . 2006-02-28 12:00 72886 ----a-w c:\windows\system32\perfc007.dat
2009-03-29 18:03 . 2006-02-28 12:00 411840 ----a-w c:\windows\system32\perfh007.dat
2009-03-23 13:41 . 2009-03-23 13:41 -------- d-----w c:\programme\Avira
2009-03-23 13:41 . 2009-03-23 13:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-12 20:56 . 2009-03-12 20:56 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-03-12 20:56 . 2008-06-17 13:22 -------- d-----w c:\programme\Skype
2009-03-12 20:56 . 2008-06-17 13:22 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-09 03:19 . 2009-02-27 02:34 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 03:34 . 2006-02-28 12:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 . 2006-02-28 12:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 . 2006-02-28 12:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:33 . 2006-02-28 12:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:32 . 2006-02-28 12:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 . 2006-02-28 12:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 . 2006-02-28 12:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:31 . 2006-02-28 12:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 . 2006-02-28 12:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:22 . 2006-02-28 12:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-01 15:43 . 2009-03-01 15:43 -------- d-----w c:\programme\xp-AntiSpy
2009-02-27 01:53 . 2009-02-27 01:53 -------- d-----w c:\programme\CCleaner
2009-02-27 01:45 . 2009-02-27 01:45 -------- d-----w c:\programme\firetune
2009-02-09 20:17 . 2007-08-16 20:10 29920 ----a-w c:\dokumente und einstellungen\gero\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-09 14:04 . 2006-02-28 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 13:55 . 2009-02-09 13:55 150 ----a-w C:\YServer.txt
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2006-02-28 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2006-02-28 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2006-02-28 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2006-02-28 12:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2006-02-28 12:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2006-02-28 12:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2006-02-28 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2006-02-28 12:00 56832 ----a-w c:\windows\system32\secur32.dll
2006-12-12 09:13 . 2006-12-12 09:13 32768 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\EBLib.dll
2006-07-28 14:25 . 2006-07-28 14:25 19456 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\LPCFilter.sys
2003-12-30 21:00 . 2008-08-06 17:40 69632 ----a-w c:\dokumente und einstellungen\gero\setup.exe
2003-12-30 21:00 . 2008-08-06 17:40 1505032 ----a-w c:\dokumente und einstellungen\gero\InstMsiW.exe
2003-12-30 21:00 . 2008-08-06 17:40 1494280 ----a-w c:\dokumente und einstellungen\gero\InstMsi.exe
2008-05-06 19:06 . 2008-05-06 19:06 32768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat
.

------- Sigcheck -------

[-] 2009-01-08 06:47 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-01-08 06:47 24064 C3A2915C71AE6F225EB906C25CCD29B5 c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-07-25 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-07-25 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-07-25 118784]
"HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-04-16 372825]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2006-10-19 237568]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-07-25 16377344]
"NDSTray.exe"="NDSTray.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-08 24064]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^gero^Startmenü^Programme^Autostart^Check for TWS Updates.lnk]
path=c:\dokumente und einstellungen\gero\Startmenü\Programme\Autostart\Check for TWS Updates.lnk
backup=c:\windows\pss\Check for TWS Updates.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\j2re1.4.2_17\\bin\\java.exe"=
"c:\\Programme\\Java\\j2re1.4.2_17\\bin\\javaw.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]
S0 VOBID;VOBID;c:\windows\system32\DRIVERS\vobid.sys [2003-08-01 29239]
S1 vobiw;vobiw; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe [2006-10-19 233472]
S2 MtxIic;MtxIic;c:\windows\system32\drivers\MtxIicKrnlNT.sys [2005-10-03 20992]
S3 cdrdrv;cdrdrv;c:\windows\system32\Drivers\Cdrdrv.sys [2004-08-03 62976]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-04-06 38496]
S3 WSIMD;wsimd Service;c:\windows\system32\DRIVERS\wsimd.sys [2007-03-28 57024]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBAMSWISSARMY

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b9818ca-85a1-11dd-98f4-001b9e257e70}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-03-20 c:\windows\Tasks\User_Feed_Synchronization-{FB36249F-939E-4AB1-8FD7-8DF066F9EEA1}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} - hxxp://www.tradesignalonline.com/gallery/components/axts5we.cab
FF - ProfilePath - c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.traderzlounge.de/Forum/index.php
FF - component: c:\dokumente und einstellungen\gero\Anwendungsdaten\Mozilla\Firefox\Profiles\oi7sp5sf.default\extensions\support@lastpass.com\platform\WINNT_x86-msvc\components\lpxpcom.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-22 19:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(460)
c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Hooks.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\msls31.dll
.
Zeit der Fertigstellung: 2009-04-22 19:56
ComboFix-quarantined-files.txt 2009-04-22 17:56

Vor Suchlauf: 10 Verzeichnis(se), 50.489.049.088 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 50.480.734.208 Bytes frei

158 --- E O F --- 2009-04-15 16:09


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:29, on 22.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - http://www.tradesignalonline.com/gallery/components/axts5we.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Matrox Centering Service - Unknown owner - C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk.Services.exe

--
End of file - 4519 bytes



Adobe Flash Player 10 Plugin
Atheros Client Utility
Atheros Driver Installation Program
Avira AntiVir Personal - Free Antivirus
Canon iP2500 series
Canon iP2500 series Benutzerregistrierung
Canon Utilities Easy-PrintToolBox
CCleaner (remove only)
FastStone Capture 5.3
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Java 2 Runtime Environment, SE v1.4.2_17
Java(TM) 6 Update 13
Malwarebytes' Anti-Malware
Matrox DualHead2Go
Matrox PowerDesk-SE
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office 2000 Premium
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
OpenOffice.org Installer 1.0
Pinnacle InstantCD/DVD Suite
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Skype™ 3.8
soft Xpansion PDF Quick Reader 5
TOSHIBA Accessibility
TOSHIBA ConfigFree
TOSHIBA Hardware Setup
TOSHIBA PC-Diagnose-Tool
TOSHIBA Software Modem
Trader Workstation 4.0
tradesignal web edition
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows Internet Explorer 8
xp-AntiSpy 3.97-2

#8 Hi,
geh mal in die quarantäne von mbm stelle das wieder her:
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
dann geh auf:
http://www.virustotal.com/en/indexf.html
und prüfe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
poste das ergebniss. wenn steht datei bereits analysiert, klicke erneut analysieren.

#9 File RegTool.exe received on 04.22.2009 20:30:35 (CET)
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.04.22 -
AhnLab-V3 5.0.0.2 2009.04.22 -
AntiVir 7.9.0.148 2009.04.22 -
Antiy-AVL 2.0.3.1 2009.04.22 -
Authentium 5.1.2.4 2009.04.22 -
Avast 4.8.1335.0 2009.04.22 -
AVG 8.5.0.287 2009.04.22 -
BitDefender 7.2 2009.04.22 -
CAT-QuickHeal 10.00 2009.04.22 -
ClamAV 0.94.1 2009.04.22 -
Comodo 1127 2009.04.22 -
DrWeb 4.44.0.09170 2009.04.22 -
eSafe 7.0.17.0 2009.04.21 -
eTrust-Vet 31.6.6440 2009.04.20 -
F-Prot 4.4.4.56 2009.04.22 -
F-Secure 8.0.14470.0 2009.04.22 -
Fortinet 3.117.0.0 2009.04.22 -
GData 19 2009.04.22 -
Ikarus T3.1.1.49.0 2009.04.22 -
K7AntiVirus 7.10.710 2009.04.21 -
Kaspersky 7.0.0.125 2009.04.22 -
McAfee 5592 2009.04.22 -
McAfee+Artemis 5592 2009.04.22 -
McAfee-GW-Edition 6.7.6 2009.04.22 -
Microsoft 1.4602 2009.04.22 -
NOD32 4028 2009.04.22 -
Norman 6.00.06 2009.04.22 -
nProtect 2009.1.8.0 2009.04.22 -
Panda 10.0.0.14 2009.04.22 -
PCTools 4.4.2.0 2009.04.21 -
Prevx1 V2 2009.04.22 -
Rising 21.26.24.00 2009.04.22 -
Sophos 4.40.0 2009.04.22 -
Sunbelt 3.2.1858.2 2009.04.22 -
Symantec 1.4.4.12 2009.04.22 -
TheHacker 6.3.4.0.312 2009.04.22 -
TrendMicro 8.700.0.1004 2009.04.22 -
VBA32 3.12.10.2 2009.04.21 -
ViRobot 2009.4.22.1704 2009.04.22 -
VirusBuster 4.6.5.0 2009.04.22 -
Additional information
File size: 245760 bytes
MD5...: 62d0dd66f197de3ef3caa455e9656ead
SHA1..: 0de17e29dcfc25299e66adb355ca8fd135a26a67
SHA256: 1d9d2367db844fcb0337692a8ebd4c26ed048ac9c65e65a87cfb3ee738e2c4d7
SHA512: 61ea6a98f2e5e34c8b278f9b3410ea01ff67cff76fb7fc955113e6054229f682<br>52a8072f6d8c86e837ce9e4c5ddaeb5ec51493e99baf81c357679b646791d472
ssdeep: 6144:Hoxm3ggtakJWVyfK10nw4urk5ej/JrNl1VSgEu:b3ggf5K10nw4uTj/Jrz1<br>VSg<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (53.1%)<br>Windows Screen Saver (18.4%)<br>Win32 Executable Generic (12.0%)<br>Win32 Dynamic Link Library (generic) (10.6%)<br>Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xfd8f<br>timedatestamp.....: 0x3e3a9bed (Fri Jan 31 15:53:17 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2787a 0x28000 6.57 96154d42bea0ee83c4b31956b8a92024<br>.rdata 0x29000 0xabbe 0xb000 4.95 a08a4abf3ada050877d03b6a573e4167<br>.data 0x34000 0x15934 0x2000 4.57 82222ae4dc18b89ec9d5bf7c964f3ea6<br>.rsrc 0x4a000 0x5198 0x6000 3.04 96779c8477391841c1afba91459c5a10<br><br>( 14 imports ) <br>&gt; SHFOLDER.dll: SHGetFolderPathA<br>&gt; KERNEL32.dll: ExitProcess, TerminateProcess, HeapReAlloc, HeapSize, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCommandLineA, GetSystemTimeAsFileTime, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetTimeZoneInformation, IsBadReadPtr, IsBadCodePtr, VirtualProtect, GetSystemInfo, VirtualQuery, SetStdHandle, SetEnvironmentVariableA, GetStartupInfoA, RaiseException, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, RtlUnwind, HeapFree, HeapAlloc, GetTickCount, FileTimeToLocalFileTime, SetErrorMode, GetOEMCP, GetCPInfo, GetFullPathNameA, GetVolumeInformationA, GetCurrentProcess, DuplicateHandle, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, WritePrivateProfileStringA, GlobalFlags, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, InterlockedIncrement, GlobalGetAtomNameA, GlobalFindAtomA, lstrcatA, lstrcmpW, FreeResource, GlobalAddAtomA, GetCurrentThread, GetCurrentThreadId, GlobalDeleteAtom, lstrcmpA, GetModuleHandleA, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, GetModuleFileNameA, GetLastError, SetLastError, GlobalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, lstrcpynA, GetProcAddress, LocalAlloc, LocalFree, FindFirstFileA, GetFileAttributesA, CreateFileA, GetFileTime, FileTimeToSystemTime, GetFileSize, CloseHandle, GetSystemDirectoryA, FindClose, InterlockedDecrement, SetCurrentDirectoryA, LoadLibraryA, FreeLibrary, GetLocalTime, DeleteFileA, lstrlenA, lstrcmpiA, CompareStringW, CompareStringA, GetVersion, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetCurrentProcessId<br>&gt; USER32.dll: RegisterClipboardFormatA, DestroyMenu, MessageBeep, GetNextDlgGroupItem, InvalidateRgn, InvalidateRect, CopyAcceleratorTableA, SetRect, IsRectEmpty, CharNextA, ReleaseCapture, SetCapture, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ReleaseDC, GetDC, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, WinHelpA, GetCapture, CreateWindowExA, GetClassLongA, GetClassInfoExA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SendDlgItemMessageA, SetFocus, IsChild, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, GetSysColor, AdjustWindowRectEx, CharUpperA, DrawIcon, SendMessageA, IsIconic, GetClientRect, EnableWindow, LoadIconA, GetSystemMetrics, EqualRect, GetClassInfoA, RegisterClassA, UnregisterClassA, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, CopyRect, PtInRect, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetNextDlgTabItem, EndDialog, GetWindow, SetWindowContextHelpId, MapDialogRect, SetWindowPos, GetDlgItem, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PostThreadMessageA, GetWindowTextLengthA, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, LoadBitmapA, GetMenuCheckMarkDimensions, CheckMenuItem, EnableMenuItem, ModifyMenuA, GetParent, GetFocus, SetMenuItemBitmaps, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, MessageBoxA, PostMessageA, wsprintfA, PostQuitMessage, SetCursor, ValidateRect, GetCursorPos, PeekMessageA<br>&gt; GDI32.dll: GetMapMode, GetRgnBox, GetTextColor, GetBkColor, GetStockObject, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, DeleteDC, ExtSelectClipRgn, ScaleWindowExtEx, GetDeviceCaps, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetWindowExtEx, GetViewportExtEx, DeleteObject, SetMapMode, RestoreDC, SaveDC, CreateRectRgnIndirect, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, SetWindowExtEx<br>&gt; comdlg32.dll: GetFileTitleA<br>&gt; WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter<br>&gt; ADVAPI32.dll: RegEnumKeyA, RegOpenKeyExA, FreeSid, RegSetKeySecurity, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, SetEntriesInAclA, AllocateAndInitializeSid, RegCloseKey, RegSetValueExA, RegQueryValueA, RegQueryValueExA, RegDeleteKeyA, RegOpenKeyA, RegCreateKeyExA<br>&gt; SHELL32.dll: ShellExecuteA<br>&gt; COMCTL32.dll: -<br>&gt; SHLWAPI.dll: PathStripToRootA, PathFindFileNameA, PathFindExtensionA, PathIsUNCA<br>&gt; oledlg.dll: -<br>&gt; ole32.dll: StgOpenStorageOnILockBytes, CoGetClassObject, CLSIDFromString, CLSIDFromProgID, CoTaskMemAlloc, StgCreateDocfileOnILockBytes, CoTaskMemFree, CoInitialize, CoCreateInstance, CoUninitialize, CreateILockBytesOnHGlobal, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, CoRevokeClassObject, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard<br>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -<br>&gt; OLEACC.dll: LresultFromObject, CreateStdAccessibleObject<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br><br>( Corel Corporation )<br><br>&gt; Corel WordPerfect Office X3 Home Edition: RegTool.exe.DEB108E3_5BB8_4828_A81B_3F90AA353ECF<br><br>( Pinnacle Systems )<br><br>&gt; Pinnacle Instant Cd/Dvd: RegTool.exe.DEB108E3_5BB8_4828_A81B_3F90AA353ECF<br><br>

#10 Hallo Petermarkus,

Ueberpruefe bitte c:\windows\system32\ctfmon.exe auch noch bei Virustotal und poste das Ergebniss...
__________
MfG Ralf
SEO-Spam Hunter

#11 Fehlalarm, sende die datei an
markusg@paules-pc-forum.de
ich schicke die dann zu malwareBytes.
war das die fehlermeldung wegen derer du hier hergekommen bist?
Wenn net schau in die quarantäne dort müsste es stheen sag bescheid wenn du die datei geschickt hast.
start ausfüren
combofix /u
enter

#12 die von virenfinder? oder welche datei meinst du bitte


erst kam eine fehlermeldung von MBAM und dann von avira später... ich habe beide zur gleichen zeit laufen gelassen

#13 1. nur ein programm auf einmal laufen lassen.
2. raman hat doch geschrieben:
c:\windows\system32\ctfmon.exe
3. sende mir bitte die von mir genannte datei zu also:
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

#14 oh sorry, hatte ich überlesen!


Datei ctfmon.exe empfangen 2009.04.22 20:57:42 (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.22 -
AhnLab-V3 5.0.0.2 2009.04.22 -
AntiVir 7.9.0.148 2009.04.22 -
Antiy-AVL 2.0.3.1 2009.04.22 -
Authentium 5.1.2.4 2009.04.22 -
Avast 4.8.1335.0 2009.04.22 -
AVG 8.5.0.287 2009.04.22 -
BitDefender 7.2 2009.04.22 -
CAT-QuickHeal 10.00 2009.04.22 -
ClamAV 0.94.1 2009.04.22 -
Comodo 1127 2009.04.22 -
DrWeb 4.44.0.09170 2009.04.22 -
eSafe 7.0.17.0 2009.04.21 -
eTrust-Vet 31.6.6440 2009.04.20 -
F-Prot 4.4.4.56 2009.04.22 -
F-Secure 8.0.14470.0 2009.04.22 -
Fortinet 3.117.0.0 2009.04.22 -
GData 19 2009.04.22 -
Ikarus T3.1.1.49.0 2009.04.22 -
K7AntiVirus 7.10.710 2009.04.21 -
Kaspersky 7.0.0.125 2009.04.22 -
McAfee 5592 2009.04.22 -
McAfee+Artemis 5592 2009.04.22 -
McAfee-GW-Edition 6.7.6 2009.04.22 -
Microsoft 1.4602 2009.04.22 -
NOD32 4028 2009.04.22 -
Norman 6.00.06 2009.04.22 -
nProtect 2009.1.8.0 2009.04.22 -
Panda 10.0.0.14 2009.04.22 -
Prevx1 V2 2009.04.22 -
Rising 21.26.24.00 2009.04.22 -
Sophos 4.40.0 2009.04.22 -
Sunbelt 3.2.1858.2 2009.04.22 -
Symantec 1.4.4.12 2009.04.22 -
TheHacker 6.3.4.0.312 2009.04.22 -
TrendMicro 8.700.0.1004 2009.04.22 -
VBA32 3.12.10.2 2009.04.21 -
ViRobot 2009.4.22.1704 2009.04.22 -
VirusBuster 4.6.5.0 2009.04.22 -
weitere Informationen
File size: 24064 bytes
MD5...: c3a2915c71ae6f225eb906c25ccd29b5
SHA1..: 1cf5830c4870e9c898ca2405a9bffd3e262951c8
SHA256: e70818d0dc35a6aaf26c2d48a74f98509f9d0c53cfa1ab604cf47532f044010f
SHA512: c667809ecb3a0af1dce910a2de7d3a2bc6c5d89fd425604263b7f64a680d4254<br>590d8173308f435fbee1fbcc7316a80babfcf80e106c48fdcecc8ad2e17c5382
ssdeep: 384:e8NcccLxxfAA2BwRyb1vL11j9rCzlagxvY1NvJmlTZgO:e8ehLfAjhBT11j9<br>mRaglOslTqO<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1028<br>timedatestamp.....: 0x48353dd4 (Thu May 22 09:33:08 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x3bb8 0x3c00 6.58 59c51a38dacc13381152af9207eb91db<br>.rdata 0x5000 0x121a 0x1400 4.50 01373b9a6d623aded004dd1276f8d82c<br>.data 0x7000 0x858 0x400 2.13 b5d87e54f49741bb78b88012aacb4d30<br>.rsrc 0x8000 0x418 0x600 2.48 b02570ee42377c71d5bca68d75c2ba72<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: GetModuleHandleA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
CWSandbox info: &lt;a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c3a2915c71ae6f225eb906c25ccd29b5' target='_blank'&gt;http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c3a2915c71ae6f225eb906c25ccd29b5&lt;/a&gt;

#15 wie bitte soll ich das zusenden?

"3. sende mir bitte die von mir genannte datei zu also:
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe"

ich bin nur Laie und weiss nicht, was du genau haben willst.wo soll ich das hernehmen bitte?


ich habe nochmal MBAM durchlaufen lassen... der scan wurde gestoppt und dann kommt von Avira folgende Meldung:

"In der Datei 'C:\System Volume Information\_restore{8F03C794-54C4-4072-AB39-2063B82419B9}\RP126\A0015990.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Killav.28714' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

was soll ich jetzt bitte tun?