Virenscan findet ein verstecktes Objekt

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.08.2009, 09:57
Member

Themenstarter

Beiträge: 22
#31 Guten Morgen Swiss,

hier das Log vom cfscript genau mit Deinen Einstellungen ohne Leerzeichen oder CR.

ComboFix 09-08-02.04 - Klaus 09.08.2009 9:08.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.598 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Klaus\Desktop\cf.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Klaus\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\eeadafb_z.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-09 bis 2009-08-09 ))))))))))))))))))))))))))))))
.

2009-08-08 07:46 . 2009-08-08 07:46 -------- d-----w- c:\programme\EasyMailBackupWizard
2009-08-08 06:49 . 2009-08-08 06:49 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\vlc
2009-08-08 06:39 . 2009-08-08 06:39 -------- d-----w- c:\programme\AskBarDis
2009-08-08 06:38 . 2009-08-08 06:38 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\Foxit
2009-08-08 06:30 . 2009-08-08 07:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-08-08 06:30 . 2009-08-08 07:44 -------- d-----w- c:\programme\NOS
2009-08-08 06:25 . 2009-08-08 06:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-08-08 06:16 . 2009-08-08 06:16 -------- d-----w- c:\programme\Secunia
2009-08-05 06:26 . 2009-08-05 06:26 152576 ----a-w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-03 16:31 . 2009-08-03 16:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-08-03 11:13 . 2009-08-03 11:13 580096 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-08-03 11:10 . 2009-08-03 11:10 -------- d-----w- c:\windows\ERUNT
2009-08-03 10:44 . 2009-08-03 10:44 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-08-02 12:26 . 2009-08-02 12:26 -------- d-sh--w- c:\dokumente und einstellungen\Klaus\PrivacIE
2009-08-02 12:26 . 2009-08-02 12:26 -------- d-sh--w- c:\dokumente und einstellungen\Klaus\IECompatCache
2009-08-02 12:17 . 2009-08-02 12:17 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-08-02 12:16 . 2009-08-02 12:16 -------- d-sh--w- c:\dokumente und einstellungen\Klaus\IETldCache
2009-08-02 12:06 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-02 12:06 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-08-02 12:06 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-08-02 12:06 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-08-02 12:06 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-02 12:06 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-08-02 12:06 . 2009-08-02 12:06 -------- d-----w- c:\windows\ie8updates
2009-08-02 12:05 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-02 12:02 . 2009-08-02 12:04 -------- dc-h--w- c:\windows\ie8
2009-07-27 21:05 . 2009-07-28 05:50 -------- d-----w- c:\dokumente und einstellungen\Klaus\DoctorWeb
2009-07-19 15:10 . 2009-07-19 15:24 -------- d-----w- C:\Gmer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-09 07:23 . 2005-05-24 10:40 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\Skype
2009-08-09 06:28 . 2007-04-03 15:37 -------- d-----w- c:\programme\dialwin
2009-08-09 06:15 . 2008-03-13 07:24 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\skypePM
2009-08-08 05:44 . 2009-06-21 00:22 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-06 12:05 . 2007-02-18 14:12 -------- d-----w- c:\programme\Wertpapieranalyse_2006
2009-08-05 06:28 . 2004-01-27 07:02 -------- d-----w- c:\programme\Java
2009-08-03 16:32 . 2005-03-02 09:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-07-30 19:15 . 2007-09-17 18:29 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\DVD Profiler
2009-07-28 05:25 . 2004-01-27 06:22 82238 ----a-w- c:\windows\system32\perfc007.dat
2009-07-28 05:25 . 2004-01-27 06:22 452612 ----a-w- c:\windows\system32\perfh007.dat
2009-07-26 09:21 . 2009-01-13 23:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-25 14:19 . 2009-01-14 22:49 3775175 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-25 08:47 . 2009-01-15 08:58 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\SUPERAntiSpyware.com
2009-07-25 08:47 . 2007-04-03 15:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-25 08:47 . 2009-01-15 08:58 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-07-25 03:23 . 2009-01-19 12:32 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-19 16:50 . 2008-03-04 20:43 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-19 16:46 . 2005-07-20 17:36 -------- d-----w- c:\programme\palmOne
2009-07-19 16:24 . 2006-01-06 19:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-13 11:36 . 2009-01-13 23:50 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 11:36 . 2009-01-13 23:50 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-05 13:13 . 2009-06-07 12:30 -------- d-----w- c:\programme\Gigaset DECT
2009-07-03 16:55 . 2004-12-07 18:16 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2009-06-26 16:49 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-21 20:51 . 2008-10-04 16:24 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\dvdcss
2009-06-21 00:22 . 2009-06-21 00:22 -------- d-----w- c:\programme\Avira
2009-06-21 00:22 . 2009-06-21 00:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-06-16 14:36 . 2004-01-27 06:21 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2004-01-27 06:21 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:09 . 2003-05-30 08:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-08-08 06:56 . 2009-07-19 14:30 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll
2009-01-14 12:00 . 2009-01-14 12:36 23 -csha-w- c:\windows\system32\Kopie von eeadafb_z.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-03_17.14.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-09 07:18 . 2009-08-09 07:18 16384 c:\windows\temp\Perflib_Perfdata_784.dat
+ 2008-07-06 07:05 . 2009-08-08 06:34 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2008-03-13 07:26 . 2009-08-08 06:30 88589 c:\windows\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-10-27 08:04 . 2008-10-27 08:04 7808 c:\windows\system32\drivers\psi_mf.sys
+ 2009-07-18 03:21 . 2009-07-18 03:21 257440 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2009-07-18 03:12 . 2009-07-18 03:12 257440 c:\windows\system32\Macromed\Flash\FlashUtil10c.exe
+ 2009-08-05 06:29 . 2009-07-25 03:23 149280 c:\windows\system32\javaws.exe
+ 2009-08-05 06:29 . 2009-07-25 03:23 145184 c:\windows\system32\javaw.exe
+ 2009-08-05 06:29 . 2009-07-25 03:23 145184 c:\windows\system32\java.exe
+ 2009-07-18 03:21 . 2009-07-18 03:21 3883424 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 10:58 333192 ----a-w- c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-08-11 21741864]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"NVIEW"="nview.dll" - c:\windows\system32\nview.dll [2004-04-15 856135]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"00THotkey"="c:\windows\System32\00THotkey.exe" [2003-12-18 253952]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-15 4866048]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-12-22 155648]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2004-01-09 126976]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2003-10-29 81920]
"TMESBS.EXE"="c:\programme\TOSHIBA\TME3\TMESBS32.EXE" [2003-10-29 77824]
"TAudEffect"="c:\programme\Toshiba\TAudEffect\TAudEff.exe" [2004-01-13 209000]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 145920]
"NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2004-04-15 49152]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-01 802816]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-01 696320]
"PhiBtn"="c:\windows\System32\drivers\PhiBtn.exe" [2005-08-25 155648]
"Traymin900"="c:\windows\System32\drivers\Tray900.exe" [2005-08-25 266240]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"StarMoneyRunEntry"="c:\programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe" [2008-10-08 58120]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-01-19 118784]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-09-09 49152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"000StTHK"="000StTHK.exe" - c:\windows\system32\000StTHK.exe [2001-06-23 24576]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-04-15 323584]
"LTSMMSG"="LTSMMSG.exe" - c:\windows\ltsmmsg.exe [2003-04-18 32768]
"TFNF5"="TFNF5.exe" - c:\windows\system32\TFNF5.exe [2003-11-17 73728]
"TFncKy"="TFncKy.exe" [BU]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"TPSMain"="TPSMain.exe" - c:\windows\system32\TPSMain.exe [2004-06-28 266240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Klaus\Startmen\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\treiber\yakumo-blue\BTTray.exe [2004-10-1 565309]
Quicken 2007 Zahlungserinnerung.lnk - c:\alt-prog\Intuit\Qiucken14\billmind.exe [2006-11-28 49152]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk
backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TPSMain"=TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFSServB.exe"=
"c:\\Programme\\WebCallDirect.com\\WebCallDirect\\WebCallDirect.exe"=
"c:\\Demo\\totalcmd\\TOTALCMD.EXE"=
"c:\\Dreambox\\DCC\\DCC.exe"=
"c:\\Programme\\FRITZ!fax\\FriFax32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [02.04.2005 15:30 3026]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [27.01.2004 11:21 5760]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.06.2009 02:22 108289]
R2 Tmesbs;Tmesbs32;c:\programme\Toshiba\TME3\TMESBS32.EXE [27.01.2004 11:21 77824]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [27.01.2004 11:21 126976]
R3 fhlppppoe;PPPOE/ADSL miniport;c:\windows\system32\drivers\fhlpppoe.sys [29.10.2006 10:27 49200]
R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [27.01.2004 11:30 28416]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 CAMTOOLS;Camtools;c:\windows\system32\drivers\CAMTOOLS.sys [06.01.2006 13:10 9856]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [26.03.2005 14:28 223232]
S3 camvid40;Philips SPC 900NC PC Camera;c:\windows\system32\drivers\camdrv41.sys [16.11.2006 16:43 1240576]
S3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448]
S3 DVBCAM;DVB CA Module;c:\windows\system32\drivers\dvbcamd.sys [30.08.2002 17:07 6207]
S3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [22.05.2007 10:39 53632]
S3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [22.05.2007 11:14 263751]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [22.05.2007 10:39 50759]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [27.10.2008 10:04 7808]
S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [22.05.2007 10:39 113408]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: add to &BOM - c:\\Demos\\BIET-O~1\\\\AddToBOM.hta
IE: Senden an &Bluetooth - c:\treiber\yakumo-blue\btsendto_ie_ctx.htm
IE: {{B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\lotus\org6\organize\bandobjs.dll
Trusted Zone: microsoft.com\windowsupdate
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\dokumente und einstellungen\Klaus\Anwendungsdaten\Mozilla\Firefox\Profiles\sr3lxp7w.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\programme\Mozilla Firefox\plugins\npMDView3D.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-09 09:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paolimbkpgcgekmbekhmbnjiaehjakaa"=hex:61,62,6a,61,6a,69,6b,6c,6d,69,66,6e,6c,
6f,69,6c,69,63,67,70,6e,69,70,61,63,64,63,61,6c,61,62,6f,6a,64,00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(372)
c:\windows\system32\nView.dll
c:\windows\system32\NVWRSDE.DLL
c:\programme\TOSHIBA\TME3\TMEEJMD.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\treiber\yakumo-blue\bin\btwdins.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Toshiba\TOSHIBA Controls\TFncKy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\TPSBattM.exe
c:\programme\Apoint2K\ApntEx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-09 9:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-09 07:29
ComboFix2.txt 2009-08-04 15:15
ComboFix3.txt 2009-08-03 17:22

Vor Suchlauf: 33 Verzeichnis(se), 11.620.343.808 Bytes frei
Nach Suchlauf: 33 Verzeichnis(se), 11.572.817.920 Bytes frei

284







Leider ist das Objekt nicht gekillt.
Nach Neustart des Rechners machte ich diesen Log:


Beginn des Suchlaufs: Sonntag, 9. August 2009 09:46

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}\paolimbkpgcgekmbekhmbnjiaehjakaa
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '542998' Objekte überprüft, '1' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Sonntag, 9. August 2009 09:53
Benötigte Zeit: 06:43 Minute(n)


Ach ja.
Secunia hat mich zu einigen Updates "überredet" Hatte noch einen alten Winzip den habe ich daraufhin gelöscht.
Dieser Beitrag wurde am 09.08.2009 um 10:22 Uhr von mist editiert.
Seitenanfang Seitenende
10.08.2009, 16:57
Moderator

Beiträge: 5694
#32 NeuesScript ;)
So sollte es wirklich weg sein:

Zitat

KILLALL::

REGNULL::
[HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}*]
Gruss Swiss
Seitenanfang Seitenende
11.08.2009, 11:47
Member

Themenstarter

Beiträge: 22
#33 hi Swiss

das CF war nun veraltet deswegen ich ein neues heruntergeladen habe.
Dieses installierte dann auch dei Wiederherstellungslonsole.
Aber der Script mit dem
Befehl REGNULL:: brachte auch nichts.
Dann hatte ich noch den vorherigen Script mit dem
Befehl reglockdel:: und einem * vor dem letzten] setzte , hat auch nichts gebracht. Das Objekt ist nicht weg zubekommen.

Grüße
Klaus
Seitenanfang Seitenende
11.08.2009, 12:36
Moderator

Beiträge: 5694
#34 Hab das obere Script nochmals angepasst ;) Irgendwie habe ich ein Blackout ;)

Gruss Swis
Seitenanfang Seitenende
11.08.2009, 14:18
Member

Themenstarter

Beiträge: 22
#35 Hi Swiss
in Beitrag 31 die Zeilen angepasst?
Seitenanfang Seitenende
11.08.2009, 14:19
Moderator

Beiträge: 5694
#36 Ja genau ;)

Gruss Swiss
Seitenanfang Seitenende
11.08.2009, 17:26
Member

Themenstarter

Beiträge: 22
#37 lieber Swiss,

danke daß Du mich solange "geführt" hast. Das Objekt ist jetzt weg.
Wo es herkam weiß nun aber keiner. Doch die verschiedenen Test mit den unterschiedlichsten Scannern, sagen mir eigentlich, daß ich nichts gefährliches drauf habe.

Grüße
Klaus
Seitenanfang Seitenende
11.08.2009, 17:29
Moderator

Beiträge: 5694
#38 Das ist so. Das war ein blockiertet gesperrter Reg Eintrag ;)

Na dann happy Surfing ;)

Gruss Swiss
Seitenanfang Seitenende
11.08.2009, 19:22
Member

Themenstarter

Beiträge: 22
#39 OK Swiss,

das werde ich machen.
Nochmals Dank
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: