Home » Viren, Trojaner & Malware Forum » "protection system" eingefangen, ständig "security center alert" » Themenansicht
"protection system" eingefangen, ständig "security center alert" |
||
|---|---|---|
| #0
| ||
|
22.07.2009, 13:25
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
22.07.2009, 15:11
Moderator
Beiträge: 5694 |
#2
>>
Versteckte Dateien sichtbar machen: 1. Klicke unter Start auf Arbeitsplatz. 2. Klicke im Menü Extras auf Ordneroptionen. 3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen 4. Geschützte und Systemdateien ausblenden --> Haken entfernen 5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen. Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. http://virus-protect.org/invisible.html >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\WINDOWS\system32\wscsvc32.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O2 - BHO: BhoApp - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\wingenocx.dll (file missing)und wähle fix checked. Starte den Rechner neu. >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Dieser Server Name trifft zu? Zitat 129.27.2.3Gruss Swiss |
|
|
|
|
|
|
22.07.2009, 15:53
...neu hier
Themenstarter Beiträge: 7 |
#3
Danke für deine antwort!
Zitat Swisstreasure postetegemacht Zitat Swisstreasure posteteergebnis: Die Datei wurde bereits analysiert: MD5: 03db01b1e823429eaee2061581ca2b1b First received: 2009.07.16 23:43:08 UTC Datum 2009.07.21 18:56:23 UTC [<1D] Ergebnisse 19/39 Permalink: analisis/69eaa86fc8582b3f32191fbd911be58018310d8a15cafe3dd82b20c38c007a33-1248202583 Einfügen Datei wscsvc32.exe empfangen 2009.07.21 18:56:23 (UTC) Status: Beendet Ergebnis: 19/39 (48.72%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.21 Trojan.Win32.FakeCog!IK AhnLab-V3 5.0.0.2 2009.07.21 - AntiVir 7.9.0.222 2009.07.21 - Antiy-AVL 2.0.3.7 2009.07.17 - Authentium 5.1.2.4 2009.07.21 W32/Agent.HQE Avast 4.8.1335.0 2009.07.21 Win32:Fasec AVG 8.5.0.387 2009.07.21 Downloader.Agent2.GCT BitDefender 7.2 2009.07.21 Trojan.Generic.2162089 CAT-QuickHeal 10.00 2009.07.21 - ClamAV 0.94.1 2009.07.21 - Comodo 1729 2009.07.21 - DrWeb 5.0.0.12182 2009.07.21 - eTrust-Vet 31.6.6631 2009.07.21 - F-Prot 4.4.4.56 2009.07.21 W32/Agent.HQE F-Secure 8.0.14470.0 2009.07.21 - Fortinet 3.120.0.0 2009.07.21 PossibleThreat GData 19 2009.07.21 Trojan.Generic.2162089 Ikarus T3.1.1.64.0 2009.07.21 Trojan.Win32.FakeCog Jiangmin 11.0.800 2009.07.21 - K7AntiVirus 7.10.798 2009.07.21 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.07.21 - McAfee 5683 2009.07.21 FakeAlert-FN McAfee+Artemis 5683 2009.07.21 FakeAlert-FN Microsoft 1.4803 2009.07.21 Trojan:Win32/FakeCog NOD32 4264 2009.07.21 - Norman 6.01.09 2009.07.20 W32/Renos.NTV nProtect 2009.1.8.0 2009.07.21 - Panda 10.0.0.14 2009.07.21 Generic Trojan PCTools 4.4.2.0 2009.07.21 - Prevx 3.0 2009.07.21 Medium Risk Malware Rising 21.39.10.00 2009.07.21 - Sophos 4.43.0 2009.07.21 Mal/Generic-A Sunbelt 3.2.1858.2 2009.07.21 - Symantec 1.4.4.12 2009.07.21 Trojan.Fakeavalert TheHacker 6.3.4.3.372 2009.07.21 - TrendMicro 8.950.0.1094 2009.07.21 TROJ_FAKECOG.AI VBA32 3.12.10.8 2009.07.21 - ViRobot 2009.7.21.1845 2009.07.21 - VirusBuster 4.6.5.0 2009.07.21 - weitere Informationen File size: 720384 bytes MD5 : 03db01b1e823429eaee2061581ca2b1b SHA1 : 4d3a1a9836e0383d24a1e1683bff2aef5bb66dd8 SHA256: 69eaa86fc8582b3f32191fbd911be58018310d8a15cafe3dd82b20c38c007a33 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x7B36 timedatestamp.....: 0x4A5E0F93 (Wed Jul 15 19:19:15 2009) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7464 0x7600 6.25 c1e4aaa8610d050027819f734a1e792f .rdata 0x9000 0x31F6 0x3200 5.67 1558643910be92e4bfb8860c3b3cb3e7 .data 0xD000 0x2AE8 0x2A00 3.99 6db4450fcea15a244d2bd2cb2aac4319 .rsrc 0x10000 0xA2650 0xA2800 7.88 1cb5826bb6369f4670bbfce8c589e704 ( 12 imports ) > advapi32.dll: RegOpenKeyW, AdjustTokenPrivileges, SetFileSecurityA, RegOpenKeyExA, RegQueryValueExA, InitiateSystemShutdownW, RegCreateKeyW, RegQueryValueExW, RegSetValueExW, RegCloseKey, OpenProcessToken, LookupPrivilegeValueW > comctl32.dll: ImageList_AddMasked, ImageList_Draw > gdi32.dll: GetObjectW, CreateCompatibleDC, SelectObject, BitBlt, CreatePen, CreateFontW > gdiplus.dll: GdiplusStartup, GdipCreateHBITMAPFromBitmap, GdipCreateBitmapFromStreamICM, GdipAlloc, GdipCloneImage, GdipFree, GdiplusShutdown, GdipCreateBitmapFromStream, GdipDisposeImage > kernel32.dll: LoadLibraryW, GetProcAddress, FreeLibrary, GetModuleFileNameW, GetModuleHandleW, GetShortPathNameW, lstrlenW, InitializeCriticalSection, GetCurrentThreadId, GetCommandLineW, lstrcmpiW, DeleteCriticalSection, HeapDestroy, GetTempPathW, InterlockedDecrement, InterlockedIncrement, lstrcpyW, MultiByteToWideChar, FindResourceW, LoadResource, LockResource, SizeofResource, GlobalAlloc, GlobalLock, GlobalUnlock, lstrcatA, InterlockedExchange, FindResourceA, GetTempPathA, GetVolumeInformationA, GetComputerNameA, GetStartupInfoW, lstrcatW, CreateThread, GetVersion, lstrcpynW, CloseHandle, GetVersionExW, CreateFileW, GetLastError, GetCurrentProcess, Sleep, WaitForSingleObject, CreateMutexW, WriteFile, Process32NextW, GetCurrentProcessId, OpenProcess, Process32FirstW, CreateToolhelp32Snapshot, CreateProcessW, lstrlenA, GetFileAttributesA > mfc42u.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > msvcp60.dll: _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z, __1Init@ios_base@std@@QAE@XZ, __0_Winit@std@@QAE@XZ, __1_Winit@std@@QAE@XZ, __Copy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __Xlen@std@@YAXXZ, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __Split@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXXZ, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, _assign@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@ABV12@II@Z, __Tidy@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEX_N@Z, __Grow@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAE_NI_N@Z, __Eos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXI@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, __C@_1___Nullstr@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@CAPBGXZ@4GB, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ, _erase@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@II@Z, __0Init@ios_base@std@@QAE@XZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, __Freeze@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, __Xran@std@@YAXXZ, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z > msvcrt.dll: __set_app_type, _except_handler3, _onexit, __1type_info@@UAE@XZ, _controlfp, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __wgetmainargs, _wcmdln, _XcptFilter, _exit, sprintf, atol, strstr, atoi, wcslen, _ftol, wcscpy, wcscmp, exit, isalnum, memchr, rand, __CxxFrameHandler, srand, time, __dllonexit > ole32.dll: CoRevokeClassObject, CoUninitialize, CoRegisterClassObject, CreateStreamOnHGlobal, CoInitialize, CoCreateInstance > oleaut32.dll: -, -, -, - > shell32.dll: SHGetSpecialFolderPathW, SHGetSpecialFolderPathA, Shell_NotifyIconW > user32.dll: GetClientRect, LoadIconW, EnableWindow, GetSystemMetrics, FindWindowW, GetWindowTextA, GetWindowThreadProcessId, EnumWindows, SetForegroundWindow, GetMenuItemID, GetCursorPos, TrackPopupMenu, PostMessageW, LoadMenuW, GetSubMenu, SetMenuDefaultItem, KillTimer, IsWindowVisible, IsWindowEnabled, GetWindowRect, SetActiveWindow, LoadImageW, CharNextW, IsIconic, GetActiveWindow, DrawIcon, GetSysColor, SendMessageW ( 0 exports ) TrID : File type identification Win32 Executable MS Visual C++ (generic) (75.0%) Win32 Executable Generic (16.9%) Generic Win/DOS Executable (3.9%) DOS Executable Generic (3.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 12288:Kba7HzFRs1yzQkubyYTt1C/W5Iyv6xHSUzvzJW+kXjO7OHKy8kXYp:Sa7s0kkubyKz2HyvGzlkXjlHo3 Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=381D5BBE007D35B4FEC40A546ABE3200C7066BB6 PEiD : Armadillo v1.71 RDS : NSRL Reference Data Set Zitat Swisstreasure posteteDatei nicht mehr vorhanden, kein neustart Zitat Swisstreasure posteteCombofix startet nicht Wie weiter vorgehen? Zitat Swisstreasure posteteja, der trifft zu. Danke inzwischen! coralinde |
|
|
|
|
|
|
22.07.2009, 17:39
Moderator
Beiträge: 5694 |
#4
>>
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Benenne Combofix um und versuche es erneut: http://www.virus-protect.org/artikel/tools/combofix3.html Gruss Swiss |
|
|
|
|
|
|
23.07.2009, 09:04
...neu hier
Themenstarter Beiträge: 7 |
#5
Zitat Swisstreasure postetehabe so irgendwie da keinen link gesehen, wo ich den avenger runterladen oder ausführen könnte. nur auf der zweiten seite (http://virus-protect.org/artikel/tools/avenger2.html) stand: "2. lade die avenger.txt, welche von einem Moderator im Sicherheitsforum erstellt wurde (Link zur avenger.txt befindest sich im jeweiligen Sicherheits-Thread)" hmmm, was überseh ich? danke & mfg coralinde |
|
|
|
|
|
|
23.07.2009, 09:42
Ehrenmitglied
 Beiträge: 6028 |
#6
Klicke geekstogo.com/avenger2
http://virus-protect.org/artikel/tools/avenger2.html __________ MfG Argus |
|
|
|
|
|
|
23.07.2009, 10:46
...neu hier
Themenstarter Beiträge: 7 |
#7
Wieder mal danke für sämtliche hilfen :-)
Zitat Argus postete*grrrr* ich hatte den link für eine der dabeistehenden google anzeigen gehalten! danke für hinweis! Zitat Swisstreasure posteteLogfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\wscsvc32.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. Zitat Swisstreasure postetekein backup.zip gefunden Zitat Swisstreasure postetehat jetzt funktioniert. log siehe gleich unten. lg coralinde ComboFix 09-07-22.05 - FSC 23.07.2009 10:29.2.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.567 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\FSC\Desktop\CF.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} * Im Speicher befindliches AV aktiv. . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\cleanup.exe c:\windows\system32\drivers\UACtoqbpjpiex.sys c:\windows\system32\resdll.dll c:\windows\system32\UACfvpvipbccc.dll c:\windows\system32\UAChwnswwxirh.db c:\windows\system32\uacinit.dll c:\windows\system32\UACkuldfqkdsl.dll c:\windows\system32\UACmvgrlksruj.dll c:\windows\system32\UACnqwbdnoifi.dll c:\windows\system32\UACoyqivgqusq.dat c:\windows\system32\UACvamtkmarxr.dll c:\windows\system32\UACvukmpfmpiq.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_UACd.sys ((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 )))))))))))))))))))))))))))))) . 2009-07-23 07:52 . 2009-07-23 07:52 574 ----a-w- C:\cleanup.bat 2009-07-23 07:52 . 2009-07-23 07:52 135168 ----a-w- C:\zip.exe 2009-07-23 07:21 . 2009-07-23 08:33 31232 ----a-w- c:\windows\system32\wingenocx.dll 2009-07-22 11:09 . 2009-07-23 07:22 -------- d-----w- c:\programme\Protection System 2009-07-22 11:03 . 2009-07-22 11:03 -------- d-----w- c:\programme\Trend Micro 2009-07-21 17:20 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-21 17:20 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-21 11:00 . 2009-07-23 08:38 5734432 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-07-21 11:00 . 2009-07-23 08:38 5664 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-07-21 10:58 . 2009-07-21 11:10 94643 ----a-w- c:\windows\system32\drivers\klick.dat 2009-07-21 10:58 . 2009-07-21 11:10 105395 ----a-w- c:\windows\system32\drivers\klin.dat 2009-07-21 10:58 . 2009-07-23 07:54 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Kaspersky Lab 2009-07-21 10:58 . 2009-07-21 10:58 -------- d-----w- c:\programme\Kaspersky Lab 2009-07-21 10:56 . 2009-07-21 10:56 -------- d-----w- C:\KAV 2009-07-20 15:59 . 2009-07-20 16:15 -------- d-----w- c:\programme\hi 2009-06-30 13:06 . 2009-06-30 13:06 -------- d-----w- c:\dokumente und einstellungen\FSC\Anwendungsdaten\Oracle 2009-06-30 13:05 . 2009-06-30 13:05 -------- d-----w- c:\programme\Oracle . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-23 08:36 . 2009-07-21 11:00 77804 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-07-23 08:36 . 2009-07-21 11:00 1484 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-07-23 08:32 . 2004-08-04 12:00 64994 ----a-w- c:\windows\system32\perfc007.dat 2009-07-23 08:32 . 2004-08-04 12:00 395074 ----a-w- c:\windows\system32\perfh007.dat 2009-07-23 08:22 . 2008-09-01 11:11 -------- d-----w- c:\dokumente und einstellungen\FSC\Anwendungsdaten\Skype 2009-07-23 06:51 . 2008-09-01 11:13 -------- d-----w- c:\dokumente und einstellungen\FSC\Anwendungsdaten\skypePM 2009-07-21 17:20 . 2008-07-24 10:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-21 11:10 . 2007-07-18 12:39 112144 ----a-w- c:\windows\system32\drivers\kl1.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-12 68856] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-08-11 21741864] "Protection System"="c:\programme\Protection System\psystem.exe" [2009-07-23 2519040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217] "InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-05-11 93640] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792] "iPrint Tray"="c:\windows\system32\iprntctl.exe" [2005-10-24 40960] "Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-09-16 274432] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-02-16 155648] "CorelDRAW Graphics Suite 11b"="c:\programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe" [2003-11-27 733184] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-03-10 90112] "AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2005-03-10 2803712] "NWTRAY"="NWTRAY.EXE" - c:\windows\system32\nwtray.exe [2001-12-18 28672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2007-11-13 25214] ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers\nipplpt.sys [13.11.2007 12:46 34671] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 17:49 24344] R3 Slazldrv;SmartLink AMR_PCI Driver;c:\windows\system32\drivers\SLDRV\slazldrv.sys [29.10.2007 17:10 230448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.at/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html TCP: {C356ED04-BD09-46A6-AAC0-70A00ED26DE3} = 129.27.2.3,129.27.3.3 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-23 10:38 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1380) c:\windows\system32\Ati2evxx.dll c:\windows\system32\klogon.dll - - - - - - - > 'Explorer.exe'(3928) c:\windows\system32\msi.dll c:\windows\system32\NOVNPNT.DLL c:\windows\system32\MAPBASE.dll c:\windows\system32\NWSHLXNT.dll c:\windows\system32\NLS\ENGLISH\NWSHLXNR.DLL c:\windows\system32\NLS\ENGLISH\NOVNPNTR.DLL . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe c:\matlab6p1\webserver\bin\win32\matlabserver.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\matlab6p1\bin\win32\matlab.exe c:\windows\system32\slserv.exe c:\windows\system32\ati2evxx.exe c:\programme\iPod\bin\iPodService.exe c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe c:\windows\system32\net.exe c:\windows\system32\net1.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-07-23 10:42 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-07-23 08:42 ComboFix2.txt 2008-07-24 12:20 Vor Suchlauf: 8.525.451.264 Bytes frei Nach Suchlauf: 9.034.964.992 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 174 |
|
|
|
|
|
|
23.07.2009, 22:34
Moderator
Beiträge: 5694 |
#8
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen (siehe Anhang) danach: Combofix noch einmal anwenden >> poste das Neue Log von Combofix >> Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) Protection System in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> Scanne ernsut mit MAlwarebytes und poste das Log (vorher updaten). >> Erstelle ein neues HJT Log. Gruss Swiss[/img] Anhang: cfscript.gif
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
nachdem ich schon einmal von euch super hilfe bekommen hab (weiß alten usernamen aber nimmer), wende ich mich heute wieder an euch.
was ist los:
nach windows start kommt gleich die meldung "Your MBR has been modified, reactivate PCM?" woher kommt das? was tun?
des weiteren meldet sich ständig ein "protection system" mit virenmeldungen, kaufauforderungen etc. auch die ständigen "security center alert" gehen mir auf den wecker. so ein paar nette xxx links habe ich auch plötzlich auf dem desktop.
system geht ev. etwas langsamer.
ich hab jetzt
- alle temporären dateien aufgeräumt
- kaspersky laufen lassen (der hat folgendes gefunden:
21.07.2009 18:55:34 Datei C:\WINDOWS\system32\wingenocx.dll, gefunden: trojanisches Programm 'Trojan.Win32.Tdss.ajeo'.
- malwarebytes laufen gelassen (insgesamt 3x, er findet aber immer wieder was an) log siehe unten
- hijackthis laufen lassen (log siehe unten)
- uninstall-list mit hijackthis erstellt (siehe unten)
danke für sämtliche hilfe im voraus!
lg
coralinde
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2
22.07.2009 10:12:20
mbam-log-2009-07-22 (10-12-20).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 261216
Laufzeit: 42 minute(s), 6 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 19
Infizierte Speicherprozesse:
C:\Programme\Protection System\psystem.exe (Rogue.ProtectionSystem) -> Unloaded process successfully.
Infizierte Speichermodule:
C:\WINDOWS\system32\wingenocx.dll (Trojan.FakeAlert) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0cb66ba8-5e1f-4963-93d1-e1d6b78fe9a2} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5e2121ee-0300-11d4-8d3b-444553540000} (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CoreGuard (Rogue.CoreGuard2009) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5e2121ee-0300-11d4-8d3b-444553540000} (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\protection system (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
c:\dokumente und einstellungen\all users\startmenü\programme\Antivirus XP 2008 (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
C:\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\WINDOWS\system32\wingenocx.dll (Trojan.FakeAlert) -> Delete on reboot.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\Antivirus XP 2008.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\How to Register Antivirus XP 2008.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\License Agreement.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\Register Antivirus XP 2008.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\Uninstall.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\programme\protection system\blacklist.cga (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\core.cga (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\coreext.dll (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\firewall.dll (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\help.ico (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\psystem.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\uninstall.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\protection system\Protection System Support.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\protection system\Protection System.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\protection system\Uninstall Protection System.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\Antivirus XP 2008.lnk (Rogue.AntiVirusXP) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Desktop\Protection System.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:56, on 22.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscsvc32.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BhoApp - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\wingenocx.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072409 serial=DR12WCX-1301988-XPZ lang=DE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/29.22/uploader2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C356ED04-BD09-46A6-AAC0-70A00ED26DE3}: NameServer = 129.27.2.3,129.27.3.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 10125 bytes
ACE Mega CoDecS Pack
Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.1
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Canon CanoScan Toolbox 4.1
CD Audio Reader Filter (remove only)
CorelDRAW Graphics Suite 12
DC-Bass Source 1.1.1
DirectVobSub (remove only)
DScaler 5 Mpeg Decoders
ffdshow [rev 1685] [2007-12-06]
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Haali Media Splitter
HijackThis 2.0.2
IKEA Home Planner
iTunes
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 3
Kaspersky Anti-Virus 6.0 for Windows Workstations
Kaspersky Anti-Virus 6.0 for Windows Workstations
Malwarebytes' Anti-Malware
Manual CanoScan LiDE 50
MATLAB 6.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft Office Professional Edition 2003
Nero Suite
Novell iPrint Client v04.15.00
OpenSource Flash Video Splitter (remove only)
Oracle Calendar
PowerCinema Linux 4.0
QuickTime
RealMedia (remove only)
Realtek High Definition Audio Driver
Skype™ 3.8
Smart Link 56K Voice Modem
Synaptics Pointing Device Driver
tele.ring Mobile Internet
WinRAR
Zoom Player (remove only)
lg coralinde