Trojaner von SDFix gefunden in Temp\tmp8.tmp und Temp\tmpBD.tmp

#1 Hallo

Gestern wurden beim Scan mit SDFix folgende Trojaner gemeldet und angeblich gelöscht.

Könnte bitte mal jemand beurteilen, ob mein System jetzt sauber ist?

Ich habe nach dem Fund folgendes gemacht:

1.CCleaner ausgeführt
2.Malewarebites gescannt: Kein Fund
3.Kaspersky gescannt: Kein Fund
4.HijackThis logfile
5.A-squared gescannt: Fund: Riskware.RiskTool.Win32.Reboot.f!A2 - ist angeblich nichts Gefährliches (gegoogegt). Wird oft ausschließlich von a-quered gefunden

Ich sag mal gleich vorweg, dass ich leider nicht besonders viel Ahnung habe. Und falls mir (hoffentlich) jemand hilft, bitte Geduld mit mir haben sollte, wenn ich die Anweisungen nicht gleich kapiere.

Und hier die Protokolle:

SDFix: Version 1.240
Run by XXXX on 23.07.2009 at 14:11

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\DOKUME~1\XXXX\LOKALE~1\Temp\tmp8.tmp - Deleted
C:\DOKUME~1\XXXXX\LOKALE~1\Temp\tmpBD.tmp - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 14:35:56
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2010 9.0.0.459\\German\\setup.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2010 9.0.0.459\\German\\setup.exe:*:Enabled:setup"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Mon 13 Oct 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 19 Jul 2009 24,064 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0003.tmp"
Sun 19 Jul 2009 828,416 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0067.tmp"
Sun 19 Jul 2009 1,186,304 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0070.tmp"
Sun 19 Jul 2009 774,144 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0397.tmp"
Sun 19 Jul 2009 43,520 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0770.tmp"
Sun 19 Jul 2009 163,328 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0813.tmp"
Mon 20 Jul 2009 747,520 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0917.tmp"
Sun 19 Jul 2009 643,072 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL0923.tmp"
Sun 19 Jul 2009 1,014,272 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1290.tmp"
Mon 20 Jul 2009 1,073,152 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1293.tmp"
Mon 20 Jul 2009 710,656 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1618.tmp"
Sun 19 Jul 2009 528,384 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL1636.tmp"
Sun 19 Jul 2009 1,353,728 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2031.tmp"
Mon 20 Jul 2009 1,261,568 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2267.tmp"
Mon 20 Jul 2009 1,000,960 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2450.tmp"
Sun 19 Jul 2009 891,904 ...H. --- "C:\Dokumente und Einstellungen\xxxx\Desktop\~WRL2567.tmp"
Mon 20 Jul 2009 926,720 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL2672.tmp"
Sun 19 Jul 2009 534,016 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3120.tmp"
Sun 19 Jul 2009 274,432 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3248.tmp"
Sun 19 Jul 2009 802,816 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3250.tmp"
Sun 19 Jul 2009 423,424 ...H. --- "C:\Dokumente und Einstellungen\\Desktop\~WRL3327.tmp"
Mon 20 Jul 2009 677,376 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3379.tmp"
Mon 20 Jul 2009 1,368,576 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3618.tmp"
Sun 19 Jul 2009 692,736 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3654.tmp"
Sun 19 Jul 2009 1,278,976 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3910.tmp"
Mon 20 Jul 2009 860,160 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3954.tmp"
Mon 13 Oct 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 23 Jul 2009 96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Wed 4 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Tue 10 Jul 2007 182,784 ...H. --- "C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Vorlagen\~WRL0575.tmp"
Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Word\~WRL2634.tmp"
Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Microsoft\Word\~WRL3577.tmp"
Tue 21 Jul 2009 13,278,194 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av2DFA.tmp"
Sat 18 Jul 2009 12,138,798 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av53.tmp"
Thu 23 Jul 2009 0 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Bases\Cache\av6.tmp"
Sat 9 May 2009 147,968 A..H. --- "C:\Dokumente und Einstellungen\XXXX\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0002.tmp"
Mon 11 May 2009 148,992 A..H. --- "C:\Dokumente und Einstellungen\XXXX\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0004.tmp"
Sat 11 Oct 2008 24,064 A..H. --- "C:\Dokumente und Einstellungen\XXXX\Eigene Dateien\111AAADESKTOP ZUSAMMEN\DESK10000\POLITIK\RFID\~WRL0299.tmp"

Finished!

#2 Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2488
Windows 5.1.2600 Service Pack 3

23.07.2009 20:49:43
mbam-log-2009-07-23 (20-49-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 0
Laufzeit: 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:53:35, on 23.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241986112715&h=b1fcbcd1c1c52c347077acb7ea1248cf/&filename=jinstall-6u13-windows-i586-jc.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.0.43.65 217.0.43.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.0.43.65 217.0.43.81
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Google Update Service (gupdate1c9f7318ebdcc52) (gupdate1c9f7318ebdcc52) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - Unknown owner - C:\Programme\Sandboxie\SbieSvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/j/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/j/LOKALE~1/Temp/msohtml1/02/clip_image002.jpg

--
End of file - 6540 bytes

#3 Hier noch ein frisches Ergebnis Ergebnis von RSit (nach Cleaner!)

Logfile of random's system information tool 1.06 (written by random/random)
Run by jutta at 2009-07-24 21:42:29
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 40 GB (53%) free of 76 GB
Total RAM: 511 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:44, on 24.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\PC PROGRAMME\RSIT.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\XXXX.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241986112715&h=b1fcbcd1c1c52c347077acb7ea1248cf/&filename=jinstall-6u13-windows-i586-jc.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Google Update Service (gupdate1c9f7318ebdcc52) (gupdate1c9f7318ebdcc52) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - Unknown owner - C:\Programme\Sandboxie\SbieSvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/XXX/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/XXX/LOKALE~1/Temp/msohtml1/02/clip_image002.jpg

--
End of file - 6664 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-29 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll [2009-05-25 68112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-05-10 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll [2009-05-25 264720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-05-10 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [2002-07-24 28672]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-05-10 148888]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-04-29 198160]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376]
"USSShReg"=C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe [1997-11-23 20992]
"PCMService"=C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe [2003-02-17 57344]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2009-05-25 219664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2006-06-19 702768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"DontSetAutoplayCheckbox"=1
"NoAutorun"=1
"HonorAutorunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveTypeAutoRun"=
"DontSetAutoplayCheckbox"=
"NoAutorun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.459\German\setup.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.459\German\setup.exe:*:Enabled:setup"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2009-07-22 01:27:18 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\WinRAR
2009-07-22 01:26:26 ----D---- C:\Programme\WinRAR
2009-07-22 00:01:51 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\dvdcss
2009-07-18 23:06:35 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\vlc
2009-07-18 23:02:22 ----D---- C:\Programme\VideoLAN
2009-07-18 21:54:40 ----D---- C:\Programme\7-Zip
2009-07-18 21:47:20 ----SHD---- C:\Config.Msi
2009-07-18 15:44:17 ----D---- C:\Programme\Kaspersky Lab
2009-07-18 15:44:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-07-18 15:32:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-07-16 21:43:08 ----A---- C:\WINDOWS\system32\KDSInterface.txt
2009-07-16 21:36:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters
2009-07-16 21:34:15 ----A---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\install.txt
2009-07-07 01:14:17 ----D---- C:\Programme\a-squared Free
2009-07-06 17:55:50 ----A---- C:\WINDOWS\system32\tmp.txt
2009-07-06 16:51:56 ----D---- C:\SDFix
2009-07-06 16:29:45 ----D---- C:\WINDOWS\ERUNT
2009-07-05 16:02:37 ----D---- C:\rsit
2009-07-03 16:02:46 ----D---- C:\Programme\Spybot - Search & Destroy
2009-06-27 16:13:10 ----D---- C:\Programme\Google

======List of files/folders modified in the last 1 months======

2009-07-24 21:42:13 ----D---- C:\WINDOWS\Prefetch
2009-07-24 21:36:42 ----D---- C:\WINDOWS\Temp
2009-07-24 21:35:12 ----D---- C:\WINDOWS
2009-07-24 02:26:26 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-24 00:28:38 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-23 13:55:39 ----RASH---- C:\boot.ini
2009-07-23 13:55:39 ----A---- C:\WINDOWS\win.ini
2009-07-23 13:55:39 ----A---- C:\WINDOWS\system.ini
2009-07-23 13:17:23 ----RD---- C:\Programme
2009-07-23 13:17:13 ----D---- C:\WINDOWS\ShellNew
2009-07-23 13:16:46 ----D---- C:\WINDOWS\system32
2009-07-18 21:50:19 ----D---- C:\Programme\WinZip
2009-07-18 21:47:31 ----SHD---- C:\WINDOWS\Installer
2009-07-18 21:47:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2009-07-18 21:39:25 ----D---- C:\WINDOWS\Help
2009-07-18 16:04:58 ----D---- C:\WINDOWS\system32\drivers
2009-07-18 15:45:59 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-18 15:45:36 ----HD---- C:\WINDOWS\inf
2009-07-18 15:41:11 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-18 15:41:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-07-18 15:39:54 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp
2009-07-17 22:50:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-07-17 19:32:21 ----SHD---- C:\System Volume Information
2009-07-17 19:32:21 ----D---- C:\WINDOWS\system32\Restore
2009-07-17 00:31:01 ----D---- C:\WINDOWS\network diagnostic
2009-07-16 17:07:31 ----D---- C:\WINDOWS\Debug
2009-07-16 13:55:03 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-16 13:54:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-07 14:31:41 ----D---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\S.A.D
2009-07-07 14:20:01 ----D---- C:\WEKA
2009-07-07 14:14:23 ----D---- C:\WINDOWS\WinSxS
2009-07-07 14:11:36 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-07 14:10:04 ----SD---- C:\Dokumente und Einstellungen\jutta\Anwendungsdaten\Microsoft
2009-07-07 14:05:28 ----RSD---- C:\WINDOWS\assembly
2009-07-07 14:00:59 ----AC---- C:\WINDOWS\Ulead32.ini
2009-07-05 21:06:08 ----D---- C:\WINDOWS\ULEAD.DAT
2009-07-05 16:50:53 ----D---- C:\WINDOWS\system32\LogFiles
2009-07-05 14:57:05 ----D---- C:\WINDOWS\system32\config
2009-07-05 14:55:33 ----D---- C:\WINDOWS\system32\wbem
2009-07-05 14:55:29 ----D---- C:\WINDOWS\Registration
2009-07-01 14:29:55 ----SD---- C:\WINDOWS\Tasks
2009-06-27 04:49:32 ----D---- C:\Programme\No23 Recorder
2009-06-26 01:40:24 ----A---- C:\WINDOWS\cdplayer.ini
2009-06-25 14:40:27 ----D---- C:\WINDOWS\Microsoft.NET

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-07-18 296976]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2002-10-28 947884]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 asapiW2k;ASAPIW2K; C:\WINDOWS\System32\Drivers\ASAPIW2K.sys [2002-04-17 11264]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2003-01-19 546688]
R3 Cap7134;MEDION (7134) WDM Video Capture; C:\WINDOWS\System32\DRIVERS\Cap7134.sys [2002-11-04 422976]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 Intels51;Creatix V.9X DSP Data Fax Modem; C:\WINDOWS\System32\DRIVERS\ctxs51.sys [2002-07-01 638366]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 MxlW2k;MxlW2k; C:\WINDOWS\system32\drivers\MxlW2k.sys [2003-02-09 28164]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-04-19 13780]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3; C:\WINDOWS\System32\DRIVERS\PhTVTune.sys [2002-11-04 27520]
R3 SISNIC;SiS PCI Fast Ethernet Adapter Driver; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2002-07-10 32256]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 ATWPKT;ATWPKT; \??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS []
S3 catchme;catchme; \??\C:\DOKUME~1\jutta\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\dsltestSp5.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 PSI;PSI; C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2009-03-24 7808]
S3 SbieDrv;SbieDrv; \??\C:\Programme\Sandboxie\SbieDrv.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 TSMPacket;DSL-Manager Service; C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\System32\DRIVERS\wanatw4.sys []
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 X10UIF;%DESCRIPTION%; C:\WINDOWS\System32\Drivers\x10uif.sys [2001-11-14 10761]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 a2free;a-squared Free Service; C:\Programme\a-squared Free\a2service.exe [2009-07-17 719392]
R2 AVP;Kaspersky Internet Security; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe [2009-05-25 303376]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-05-10 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe [2001-02-23 270336]
R3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
S2 gupdate1c9f7318ebdcc52;Google Update Service (gupdate1c9f7318ebdcc52); C:\Programme\Google\Update\GoogleUpdate.exe [2009-06-27 133104]
S2 SbieSvc;Sandboxie Service; C:\Programme\Sandboxie\SbieSvc.exe []
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]


Ich merke übrigens keinerlei Auswirkungen eines Schädlings, aber das muss ja nichts heißen.
Hoffentlich kann jemand damit was anfangen

Liebe Grüße Jule

#4 Entferne C:\SDFix\backups

Anscheinend hast du hin und wider probleme mit MS Office?
__________
MfG Argus

#5 Hallo

vielen Dank, dass du dich gemeldet hast

den Backup-Ordner hatte ich schon gelöscht

Mit dem MS Office hatte ich noch keine Probleme bemerkt

Ist denn gar nichts zu finden?
Nicht, dass ich mir das wünsche, aber da ich häufiger Trojanerfunde habe (gelöscht) wurde mir schon etwas mulmig.

was ist von diesem Fund zu halten? Ist das was Schlimmes????
am 6.7. von SDFix:

"Trojan Files Fund in C:\windows\system32\TFTP1960" deleted

dies war der Bericht dazu:



SDFix: Version 1.240
Run by j on 06.07.2009 at 17:09

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\TFTP1960 - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-06 17:22:02
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Mon 13 Oct 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 8 Aug 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0001.tmp"
Thu 24 Apr 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0003.tmp"
Mon 21 Jul 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0004.tmp"
Mon 20 Apr 2009 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0005.tmp"
Thu 24 Apr 2008 24,576 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0245.tmp"
Tue 2 Dec 2008 24,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0671.tmp"
Tue 10 Jul 2007 140,800 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL0706.tmp"
Tue 10 Jul 2007 150,016 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1661.tmp"
Sat 9 Jun 2007 25,088 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1681.tmp"
Tue 10 Jul 2007 152,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1698.tmp"
Tue 10 Jul 2007 153,088 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1714.tmp"
Tue 10 Jul 2007 152,064 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1760.tmp"
Tue 10 Jul 2007 138,240 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL1899.tmp"
Mon 20 Apr 2009 33,280 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2174.tmp"
Tue 10 Jul 2007 152,576 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2448.tmp"
Tue 10 Jul 2007 185,856 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2613.tmp"
Mon 20 Apr 2009 27,136 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL2762.tmp"
Mon 20 Apr 2009 28,160 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3293.tmp"
Thu 21 Jun 2007 27,136 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3693.tmp"
Tue 10 Jul 2007 150,016 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL3740.tmp"
Tue 10 Jul 2007 143,872 ...H. --- "C:\Dokumente und Einstellungen\j\Desktop\~WRL4064.tmp"
Mon 13 Oct 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Sun 5 Jul 2009 96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Wed 4 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Tue 10 Jul 2007 182,784 ...H. --- "C:\Dokumente und Einstellungen\j\Anwendungsdaten\Microsoft\Vorlagen\~WRL0575.tmp"
Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\j\Anwendungsdaten\Microsoft\Word\~WRL2634.tmp"
Wed 11 Jul 2007 189,952 ...H. --- "C:\Dokumente und Einstellungen\j\Anwendungsdaten\Microsoft\Word\~WRL3577.tmp"
Sat 9 May 2009 147,968 A..H. --- "C:\Dokumente und Einstellungen\j\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0002.tmp"
Mon 11 May 2009 148,992 A..H. --- "C:\Dokumente und Einstellungen\j\Desktop\DESK1\20.5.2009\CHANNELING\ESU\~WRL0004.tmp"
Sat 11 Oct 2008 24,064 A..H. --- "C:\Dokumente und Einstellungen\j\Eigene Dateien\111AAADESKTOP ZUSAMMEN\DESK10000\POLITIK\RFID\~WRL0299.tmp"

#6 Ein sehr guter scanner gegen Trojaner

Download Trojan Remover v.6.7.9
Nur fuer Windows 98/ME/2000/XP/Vista,nicht fuer 64bit versionen von Windows
akzeptiere den Lizenzvertrag und installiere T&R
Update T&R
Wenn eine Meldung kommt das es keine Internetz verbindung gibt waehle ein anderen Server(Server2)
Starte T&R und klicke “Contenue”
Klicke>>File und waehle “Scan for Active Malware”
Wenn eine warnung kommt ueber ein Guard,deaktiviere sie

30Tage Version
__________
MfG Argus

#7 Hallo Argus,
Danke für deine Antwort. Ich habe schon für eine 14Tage Testversion Kaspersky mein Avia Premium deinstalliert. jetzt möchte ich dieses ungern wiederum gegen eine andere Testversion austauschen. Das dauernde Scannen hilft mir ja auch nicht weiter bei der Beurteilung, wie gefährlich die von SDFix gefundenen Bedrohungen sind/waren.

Ist es denn unmöglich einzuschätzen, was der Fund

C:\WINDOWS\system32\TFTP1960 - Deleted bedeutet???

Ein Freund meinte, es könne ein Backdoor Spybot sein und mein System sei möglicherweise kompromittiert.

das wäre natürlich ein Hammer und ich sollte so schnell wie möglich raus bekommen, ob das stimmt. Dass das Ding gelöscht ist, könnte somit eine trügerische Sicherheit sein.

Bitte schreib mir doch deine Meinung dazu.

Wie schon geschrieben, merke ich nichts von einem Virus. Außer, dass meine CPU oft bis 100% ausgelastet ist. Aber es läuft immer ein erklärlicher Prozess. Und ich habe nur 512 MB Speicher.
Im Taskmanager befindet sich 2 X "iexplorer.exe" und 5 X "svchost.exe"

Scheint aber nichts Ungewöhnliches zu sein. Ich beobachte das Geschehen dort ständig. Ob unter DIENSTE alles normal ist, kann ich nicht beurteilen

LG Jule

#8 Ich glaub nicht das es ein Trojaner ist

Zitat

Trojan Files Found

Wass waehre wenn man Vista benutzt,SDFix arbeitet ja nur mit XP
Es gibt nur wenig scanner die diese TFTP* files finden(AVG 8.5 und PandaActivescan)

Trojan Remover ist kein Virenscanner im Sinne von KAV und Avira(realtime)
__________
MfG Argus

#9 ich wollte gerade den AVG 8.5 installieren. Habe dafür den Kaspersky deaktiviert. das scheint aber nicht zu reichen, denn es wurde ein error beim Installieren angezeigt bei der Registratur.

Keine Ahnung, was ich jetzt machen soll.
Soll ich Kaspersky runterschmeißen? Ist der AVG 8.5 besser?
So viele Fragen und Unsicherheiten......

(Ich hatte vorhin nochmal mit SDFix gescannt. Kein Fund)

LG Jule

#10 Nein

Zitat

Soll ich Kaspersky runterschmeißen

Es gibt ein ein unterschied zwischen ein Free und eine kauf version
Auch bei AVG selber
http://www.avg.com/upgrade-free?cmpid=fs022
http://www.kaspersky.com/de/compare

Selber benutze ich Avira Premium Security Suite

In der Heutigen Zeit braucht man ein guten scanner !
Auch wenn man ein guten scanner hat solte man hin und wieder mal ein onlinescan machen
Onlinescanner
NOD32
F-Secure mit Rootkitscanner
Bitdefender
Housecall
CA Antivirus
Panda Active Scan

Dabei steckt in SDFix in Normal Modus nochmal 4 Scanner
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
MfG Argus

#11 ich hatte ja ursprünglich auch Avira Premium. Das hatte ich zugunsten Kaspersky Testversion runtergeschmissen, weil mir das jemand empfohlen hatte zu tun.. Aber ich habe noch die Avira Lizenz bis Januar 2010.
Zusätzlich scanne ich immer mal wieder mit Malwarebites, Spybot oder free a-square.

das ganze Theater fing eigentlich an, als ich mir Spywaredoctor runtergeladen hatte. Der fand einige tracking cookies und ADVARE.CONDUCENT.TIMESINK
in C:\Windows\system32\Addon2VB.dll

ich hatte mich nicht getraut, diese dll einfach zu löschen und hatte sie mir deshalb neu runtergeladen und ersetzt.
Am nächsten Tag hieß der Timesink plötzlich BACKDOOR.TSADBOT in derselben dll.
Durch googlen bekam ich den Verdacht, dass diese Warnung dafür ist, dass man den Spywaredoctor kauft, um den Schädling loszuwerden.

Trotzdem wurde ich irgendwie hysterisch und ließ alle möglichen scanner durchlaufen, bis SDFix "endlich" diesen Fund C:\WINDOWS\system32\TFTP1960 anzeigte. Der wurde in einem anderen Forum als W32/Sdbot bezeichnet und mein System als kompromittiert angesehen.
Weder Avira noch Malewarebites noch Kaspersky meldeten aber einen solchen Fund, obwohl ihnen der Wurm bekannt ist.
Deshalb habe ich mein System bislang noch nicht neu aufgesetzt, was ich sowieso nicht selber kann.

Avira hatte allerdings im Laufe von 2-3 Wochen einige Trojaner angezeigt, die aber fast alle angeblich Fehlalarme waren.z.B.

TR/Dldr. Bandload.aetm in C:\system Volume Information\restore\....\A0075827.exe

später auch dort in ....A0085323.exr den APPL/PrcView.E (Fehlalarm?)
und einen Trojaner in einer e-mail.
Alles wurde gelöscht

Früher hatte ich nie einen Trojaner. Erst als ich mir mit eMule eine Serie runtergeladen hatte, fing es an. Kann aber auch Zufall sein.

So, jetzt kennst du meine gesamte "Krankheitsgeschichte". Bitte entschuldige, dass ich dich mit diesem langen Roman belästige. Aber vielleicht wird dadurch einiges klarer.

Ich werde jetzt erstmal Kaspersky wieder durch mein Avira Premium austauschen

Liebe Grüße Jule

#12

Zitat

C:\system Volume Information\restore\

Das ist die Systemwiederherstellung
Systemwiederherstellung (de)aktivieren
__________
MfG Argus

#13 ja, ich weiß.

ich habe beim googeln eine Anleitung gefunden, wie man diese datei öffnen kann, um Schädlinge manuell zu löschen. Leider gilt das nur für XP Professionell.Ich habe Home. Aber der Ordner wird bei mir als leer angegeben.
Ich hoffe, das ist ein gutes Zeichen

Jetzt hab ich wieder AVIRA Premium.
Ich werde erstmal nichts weiter unternehmen, sondern abwarten, ob sich wass Verdächtiges tut.

Also vielen Dank für deine Hilfe. Ich fühle mich zumindest sicherer jetzt, dass ich keinen Backdoor erwischt habe, bzw er mich.

Machs gut und liebe Grüße von Jule

#14 Hier gebe ich mal ein Vorbild von infizierte Seiten
http://www.google.nl/search?hl=nl&q=17july10.myftpsite.net&btnG=Google+zoeken&meta=&aq=f&oq=

Wuerde man diese Seite 17july10.myftpsite.net gleich anklicken wird man infiziert mit Total Security ein Fake Antiviren program


__________
MfG Argus