XP Firewall (SP3) nicht aktivierbar

#0
29.09.2009, 21:49
...neu hier

Beiträge: 10
#1 Hallo,

ich habe gerade auf dem Laptop eines Freundes entdeckt, dass die Windows Firewall nicht aktivierbar ist. Die Popup-Box, die in den Einstellungen->Windows Firewall hochkommt, ist grau, d.h. inaktiv und ich kann nichts anklicken. Der Radiobutton steht auf "inaktiv".

Ich vermute einen Virus, Trojaner o.ä. und habe daher unten das Log von HijackThis angehängt.

Kann mir jemand von Euch helfen?

Besten Dank und viele Grüße

Bernd
===========================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:30, on 29.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\DOKUME~1\Standard\LOKALE~1\Temp\MegaHost.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe
O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe
O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe
O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe
O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe
O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe
O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe
O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe
O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe
O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.66 85.255.112.61
O20 - Winlogon Notify: instcat - instcat.dll (file missing)
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing)
O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

--
End of file - 5424 bytes
Seitenanfang Seitenende
30.09.2009, 06:20
Member
Avatar TurnRstereO

Beiträge: 1543
#2 Solltest nach http://board.protecus.de/f3.htm oder http://board.protecus.de/f7.htm gehen, daß dir schneller geholfen wird, weiß nicht wann die Experten hier reinschauen.
Der Rechner läuft wohl über Ukraine.

TS
Seitenanfang Seitenende
30.09.2009, 12:17
Moderator

Beiträge: 5694
#3 Dein System wird, wie TurnRstereO bereits geschrieben hat umgeleitet in die Ukraine. Nun kann nicht ausgschlossen werden ob scho irgendwelche unerwünschte Veränderungen an deinem System vorgenommen wurden. Vorallem bei Ebanking und bei heiklen Daten auf dem System ist ein Neuaufsetzen von Vorteil. Falls Du jedoch reinigen willst, dann arbeite den Link in meiner Signatur durch.

Gruss Swiss
Seitenanfang Seitenende
03.10.2009, 13:57
...neu hier

Themenstarter

Beiträge: 10
#4 Hallo noch mal,

danke für Eure ersten Tipps. Ich habe mich entschlossen, das Laptop zu reinigen und keine Neuinstallation durchzuführen. Dafür habe ich die Schritte aus Swiss' Signatur abgearbeitet.

Die MBAM-Datei habe ich angehängt. Alles gefundene wurde erfolgreich gelöscht.

Hier ist das GMER-Log:
==========================================================
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-10-01 21:48:56
Windows 5.1.2600 Service Pack 3
Running: xbeyofts.exe; Driver: C:\DOKUME~1\Standard\LOKALE~1\Temp\pwldikoc.sys


---- System - GMER 1.0.15 ----

SSDT FA4D819E ZwCreateKey
SSDT FA4D8194 ZwCreateThread
SSDT FA4D81A3 ZwDeleteKey
SSDT FA4D81AD ZwDeleteValueKey
SSDT FA4D81B2 ZwLoadKey
SSDT FA4D8180 ZwOpenProcess
SSDT FA4D8185 ZwOpenThread
SSDT FA4D81BC ZwReplaceKey
SSDT FA4D81B7 ZwRestoreKey
SSDT FA4D81A8 ZwSetValueKey
SSDT FA4D818F ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
==========================================================

und hier das neueste HijackThis-Log:

==========================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:09, on 03.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe
O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe
O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe
O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe
O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe
O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe
O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe
O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe
O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe
O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing)
O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

--
End of file - 5273 bytes
==========================================================

Ist Aus Eurer Sicht der Rechner noch verseucht?

Die Firewall ist immer noch nicht aktivierbar. Kann es sein, dass ich jetzt noch ein paar Dienste aktivieren muss?

Danke für Eure Hilfe und viele Grüße

Bernd

Seitenanfang Seitenende
03.10.2009, 14:12
Moderator

Beiträge: 5694
#5 >>>
Dienst beenden

Öffne Hijackthis und gehe auf "open the misc tool section" klicken und dann auf "delete an NT Service" und kopiere hinein:

Zitat

Service
--> OK

>>
Fixen mit Hijackthis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe
O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe
O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe
O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe
O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe
O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe
O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe
O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe
O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe
O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing)
O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing)
und wähle fix checked.

Starte den Rechner neu.

>>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\System32\pefqy.exe
C:\WINDOWS\v4.exe
C:\WINDOWS\System32\towsr.exe
C:\WINDOWS\System32\rbuly.exe
C:\WINDOWS\System32\rckwz.exe
C:\WINDOWS\System32\iesniff.exe
C:\WINDOWS\System32\bjpog.exe
C:\WINDOWS\System32\rhgof.exe
C:\WINDOWS\System32\ulmew.exe
C:\WINDOWS\System32\zupoz.exe
C:\WINDOWS\System32\inpwq.exe
C:\WINDOWS\System32\zkzdo.exe
C:\WINDOWS\System32\ert.dll
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
wende bitte RSIT an + poste die zwei Logs
http://virus-protect.org/artikel/tools/random.html

Gruss Swiss
Seitenanfang Seitenende
04.10.2009, 21:38
...neu hier

Themenstarter

Beiträge: 10
#6 Hallo noch mal,

habe die obigen Schritte durchgeführt. Zur Info dazu:

- der erste Schritt mit dem NT-Service ging nicht. Habe daher
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)
mit HijackThis fixen lassen. Danach funktionierte der Step.

- Combofix fand keine Wiederherstellungskonsole und ich konnte auch keine
nachladen, weil das Laptop nicht mit dem Internet verbunden ist. Habe
Combofix daher ohne Wiederherstellungskonsole laufen lassen.

Hier nun die Logs:
===========================================================
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\System32\pefqy.exe" not found!
Deletion of file "C:\WINDOWS\System32\pefqy.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\v4.exe" not found!
Deletion of file "C:\WINDOWS\v4.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\towsr.exe" not found!
Deletion of file "C:\WINDOWS\System32\towsr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\rbuly.exe" not found!
Deletion of file "C:\WINDOWS\System32\rbuly.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\rckwz.exe" not found!
Deletion of file "C:\WINDOWS\System32\rckwz.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\iesniff.exe" not found!
Deletion of file "C:\WINDOWS\System32\iesniff.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\bjpog.exe" not found!
Deletion of file "C:\WINDOWS\System32\bjpog.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\rhgof.exe" not found!
Deletion of file "C:\WINDOWS\System32\rhgof.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\ulmew.exe" not found!
Deletion of file "C:\WINDOWS\System32\ulmew.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\zupoz.exe" not found!
Deletion of file "C:\WINDOWS\System32\zupoz.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\inpwq.exe" not found!
Deletion of file "C:\WINDOWS\System32\inpwq.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\zkzdo.exe" not found!
Deletion of file "C:\WINDOWS\System32\zkzdo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\ert.dll" not found!
Deletion of file "C:\WINDOWS\System32\ert.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
===========================================================
ComboFix 09-10-04.01 - Standard 04.10.2009 20:57.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.223.112 [GMT 2:00]
ausgeführt von:: c:\temp\cfix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {806EE0B3-FFA4-00DA-0D24-347CA8A3377C}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\hwlp.exe
c:\programme\INSTALL.LOG
c:\programme\Need2Find
c:\programme\Need2Find\bar\History\search
c:\recycler\S-1-5-21-1614895754-1383384898-839522115-1003
c:\recycler\S-1-5-21-2068902000-2868191192-4218841531-1003
c:\recycler\S-1-5-21-224621903-3852255402-4189850523-1004
c:\recycler\S-1-5-21-2765917691-3763151125-3848988911-1003
c:\recycler\S-1-5-21-3706318524-1249351268-3596125547-1003
c:\recycler\S-1-5-21-403779809-1920453678-105924602-1003
C:\uniq
c:\windows\Installer\440ca.msp
c:\windows\Installer\a6cdf.msi
c:\windows\system\oeminfo.ini
C:\ywkwl.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://xaqjlyswly.biz
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NTIO256


((((((((((((((((((((((( Dateien erstellt von 2009-09-04 bis 2009-10-04 ))))))))))))))))))))))))))))))
.

2009-10-04 18:35 . 2009-10-04 17:18 781909 ----a-w- c:\temp\RSIT.exe
2009-10-04 18:35 . 2009-10-04 17:17 3325144 ----a-r- c:\temp\cfix.exe
2009-10-04 18:35 . 2009-10-04 17:15 724952 ----a-w- c:\temp\avenger.zip
2009-10-04 18:21 . 2009-10-04 18:31 -------- d-----w- c:\temp\backups
2009-10-01 17:52 . 2009-10-01 17:52 -------- d-----w- c:\dokumente und einstellungen\Standard\Anwendungsdaten\Malwarebytes
2009-10-01 17:52 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-01 17:52 . 2009-10-01 17:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-01 17:52 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-01 17:52 . 2009-10-01 17:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-29 19:20 . 2009-09-29 19:20 401720 ----a-w- c:\temp\HijackThis.exe
2009-09-29 19:20 . 2009-10-04 18:35 -------- d-----w- C:\temp
2009-09-22 19:06 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-22 19:06 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-22 19:06 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-22 19:06 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-22 19:06 . 2009-09-22 19:06 -------- d-----w- c:\programme\Avira
2009-09-22 19:06 . 2009-09-22 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-09-19 13:49 . 2008-04-14 05:52 136192 ------w- c:\windows\system32\aaclient.dll
2009-09-19 13:49 . 2008-04-14 05:52 7168 ------w- c:\windows\system32\bitsprx4.dll
2009-09-19 13:49 . 2008-04-14 05:52 233472 ------w- c:\windows\system32\azroles.dll
2009-09-19 13:47 . 2009-09-19 13:47 -------- d-----w- c:\windows\l2schemas
2009-09-19 13:47 . 2009-09-19 13:47 -------- d-----w- c:\windows\system32\de
2009-09-19 13:24 . 2008-04-13 20:06 144384 ------w- c:\windows\system32\drivers\hdaudbus.sys
2009-09-19 13:24 . 2008-04-13 22:10 10240 ------w- c:\windows\system32\drivers\sffp_mmc.sys
2009-09-19 11:19 . 2009-09-19 11:19 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-09-19 11:17 . 2009-09-29 18:32 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2009-09-19 11:04 . 2008-04-14 05:52 11325 ------w- c:\windows\system32\drivers\vchnt5.dll
2009-09-19 10:56 . 2009-09-19 13:50 -------- d-----w- c:\windows\ServicePackFiles
2009-09-19 10:46 . 2007-08-10 18:44 26488 ----a-w- c:\windows\system32\spupdsvc.exe
2009-09-19 10:39 . 2009-09-19 13:03 -------- d-----w- c:\windows\EHome
2009-09-19 10:29 . 2009-09-19 10:29 -------- d-----w- c:\dokumente und einstellungen\Administrator
2009-09-19 06:01 . 2003-03-18 20:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-09-19 06:01 . 2009-09-19 06:01 -------- d-----w- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-19 14:10 . 2003-04-17 13:31 56588 ----a-w- c:\windows\system32\perfc007.dat
2009-09-19 14:10 . 2003-04-17 13:31 374360 ----a-w- c:\windows\system32\perfh007.dat
2009-09-19 12:30 . 2004-06-22 18:40 -------- d-----w- c:\programme\ICQ
2009-09-19 12:21 . 2004-07-30 17:56 -------- d-----w- c:\programme\Lavasoft
2009-09-19 11:24 . 2004-04-07 09:46 300704 ----a-w- c:\dokumente und einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2002-06-14 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2002-06-14 544768]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 172032]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-04-03 180269]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"PCTVOICE"="pctspk.exe" - c:\windows\system32\pctspk.exe [2002-03-10 163840]
"VTPreset"="VTPreset.exe" - c:\windows\system32\VTPreset.exe [2004-02-24 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 lannui;LAN MSFW adapter;c:\windows\System32\lannui.sys [x]
R1 xdrve9d;IPv6 BT converter;c:\windows\System32\xdrve9d.sys [x]
R2 lanmui;LAN FW adapter;c:\windows\System32\lannui.sys [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-lanmui.sys
SafeBoot-lannui.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-04 21:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet007\Services\ASFWHide]
"ImagePath"="\??\c:\dokume~1\Standard\LOKALE~1\Temp\ASFWHide"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\windows\system32\CTSVCCDA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-04 21:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-04 19:16

Vor Suchlauf: 2.949.705.728 Bytes frei
Nach Suchlauf: 3.400.077.312 Bytes frei

143
===========================================================
info.txt logfile of random's system information tool 1.06 2009-10-04 21:19:27

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDDF96A-BC34-4D72-9ABA-E1FFF0C39977}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
AquaSoft DiaShow XP-->MsiExec.exe /I{FA4324A3-287B-4F77-8641-C1985758A15B}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Cda Product Service - shared component-->C:\WINDOWS\CdaC13BA.EXE /uninstall
CDex extraction audio-->"C:\Programme\CDex_170b2\uninstall.exe"
Creative MediaSource-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{56F3E1FF-54FE-4384-A153-6CCABA097814}\SETUP.EXE" -l0x7 /remove
Defenza-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{21166ACF-FEB8-413D-B517-378D806E303D}\Setup.exe" -l0x9
Fritz for Fun 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8BB317F1-3370-4E50-97F6-B34FC6612EA2}\Setup.exe" -l0x7
Google Earth-->MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar2.dll"
HijackThis 2.0.2-->"C:\temp\HijackThis.exe" /uninstall
HSP56 MR Drivers-->ptuninst.exe
ICQ-->C:\PROGRA~1\ICQ\ICQUninstall.EXE
KRISTAL Audio Engine-->C:\Programme\Kreatives.org\KRISTAL Audio Engine\Uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework (German) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1031)
Microsoft .NET Framework (German)-->MsiExec.exe /X{20F1FFAF-1BFF-450C-A8C7-03D1BE24B950}
Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works 2000-->MsiExec.exe /I{56364334-9530-11D2-BFFC-00C04FA329AA}
Microsoft Works 2000-Setup-Start-->C:\Programme\Microsoft Works Suite 2000\Setup\Launcher.exe E:\
MuVo Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7 /remove
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
OLYMPUS CAMEDIA Master 4.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{30BB4D60-81DB-11D5-BB77-00400536ABAC}\Setup.exe" CAMEDIA Master 4.03
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
Programm zum entfernen des Windows Blaster Wurm-Virus(KB833330)-->C:\WINDOWS\$NtUninstallKB833330$\spuninst\spuninst.exe
ProSavageDDR and Utilities-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\S3Inc\P4M266\P4M266.isu
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
S3Display-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display'
S3Gamma2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2'
S3Info2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2'
S3Overlay-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay'
Synaptics TouchPad-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Trellian Button Fabrik-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Trellian\Trellian Button Fabrik\Uninst.isu"
vanBasco's Karaoke Player-->C:\Programme\vanBasco's Karaoke Player\uninst.exe
VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -f"C:\PROGRA~1\VIATEC~1\VIAAUD~1/Uninst.isu"
WER WIRD MILLIONÄR - 2. EDITION-->MsiExec.exe /I{8FDD2C09-FF76-460B-9442-5E334D36D436}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
Word in Works Suite-Add-In-->MsiExec.exe /I{5DC02603-6642-11D3-80AC-00C04F348408}

=====HijackThis Backups=====

O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing) [2009-10-04]
O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe [2009-10-04]
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe [2009-10-04]
O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe [2009-10-04]
O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe [2009-10-04]
O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe [2009-10-04]
O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe [2009-10-04]
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe [2009-10-04]
O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe [2009-10-04]
O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe [2009-10-04]
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile [2009-10-04]
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) [2009-10-04]
O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe [2009-10-04]
O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe [2009-10-04]
O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe [2009-10-04]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) [2009-10-04]
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing) [2009-10-04]
O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing) [2009-10-04]

======Security center information======

AV: AntiVir Desktop (outdated)
AV: Avira AntiVir PersonalEdition Classic (outdated)

======System event log======

Computer Name: COMPUTERNAME
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 4024
Source Name: Service Control Manager
Time Written: 20070619222842.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTERNAME
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 4023
Source Name: Service Control Manager
Time Written: 20070619222842.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 7036
Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt".

Record Number: 4022
Source Name: Service Control Manager
Time Written: 20070619222842.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 4021
Source Name: Service Control Manager
Time Written: 20070619222842.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTERNAME
Event Code: 7036
Message: Dienst "Netzwerkverbindungen" befindet sich jetzt im Status "Ausgeführt".

Record Number: 4020
Source Name: Service Control Manager
Time Written: 20070619222842.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: COMPUTERNAME
Event Code: 4137
Message: CI wurde für Katalog c:\system volume information\catalog.wci gestartet.

Record Number: 3846
Source Name: Ci
Time Written: 20070217173340.000000+060
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 4113
Message:
Record Number: 3845
Source Name: H+BEDV AntiVir
Time Written: 20070217172721.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTERNAME
Event Code: 4096
Message:
Record Number: 3844
Source Name: H+BEDV AntiVir
Time Written: 20070217172616.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: COMPUTERNAME
Event Code: 105
Message: The service was started.

Record Number: 3843
Source Name: Creative Service for CDROM Access
Time Written: 20070217172609.000000+060
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 4137
Message: CI wurde für Katalog c:\system volume information\catalog.wci gestartet.

Record Number: 3842
Source Name: Ci
Time Written: 20070216151037.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
===========================================================
Logfile of random's system information tool 1.06 (written by random/random)
Run by Standard at 2009-10-04 21:19:15
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 3 GB (27%) free of 12 GB
Total RAM: 223 MB (36% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:23, on 04.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\temp\RSIT.exe
C:\temp\Standard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

--
End of file - 4067 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"=C:\WINDOWS\system32\pctspk.exe [2002-03-10 163840]
"NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe [2001-07-09 155648]
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2002-06-14 126976]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2002-06-14 544768]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe [2003-03-11 172032]
"VTPreset"=C:\WINDOWS\system32\VTPreset.exe [2004-02-24 45056]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2005-04-03 180269]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows auto update]
msblast.exe []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-10-04 21:19:15 ----D---- C:\rsit
2009-10-04 21:16:20 ----D---- C:\WINDOWS\temp
2009-10-04 21:16:15 ----A---- C:\ComboFix.txt
2009-10-04 20:46:38 ----A---- C:\WINDOWS\zip.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\SWSC.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\SWREG.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\sed.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\PEV.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\NIRCMD.exe
2009-10-04 20:46:38 ----A---- C:\WINDOWS\grep.exe
2009-10-04 20:46:34 ----D---- C:\WINDOWS\ERDNT
2009-10-04 20:42:06 ----D---- C:\Qoobox
2009-10-04 20:37:50 ----A---- C:\avenger.txt
2009-10-01 19:52:32 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Malwarebytes
2009-10-01 19:52:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-01 19:52:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-29 21:20:17 ----D---- C:\temp
2009-09-22 21:06:30 ----D---- C:\Programme\Avira
2009-09-22 21:06:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-09-19 16:08:07 ----D---- C:\WINDOWS\Prefetch
2009-09-19 15:50:51 ----N---- C:\WINDOWS\system32\msxml6r.dll
2009-09-19 15:50:48 ----N---- C:\WINDOWS\system32\msxml6.dll
2009-09-19 15:49:07 ----N---- C:\WINDOWS\system32\aaclient.dll
2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\bitsprx4.dll
2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\azroles.dll
2009-09-19 15:48:58 ----N---- C:\WINDOWS\system32\credssp.dll
2009-09-19 15:48:57 ----N---- C:\WINDOWS\system32\dhcpqec.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3gpclnt.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3dlg.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3cfg.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3api.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsroam.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsntfy.dll
2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3ui.dll
2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3svc.dll
2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3msm.dll
2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eappcfg.dll
2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapp3hst.dll
2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapolqec.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapsvc.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapqec.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappprxy.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapphost.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappgnui.dll
2009-09-19 15:48:43 ----N---- C:\WINDOWS\system32\kbdbhc.dll
2009-09-19 15:48:42 ----N---- C:\WINDOWS\system32\kbdiultn.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\l2gpstore.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kmsvc.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdpash.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdnepr.dll
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcperf.exe
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcfxcommon.dll
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcex.dll
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\microsoft.managementconsole.dll
2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\msshavmsg.dll
2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\mssha.dll
2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napstat.exe
2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napmontr.dll
2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napipsec.dll
2009-09-19 15:48:31 ----N---- C:\WINDOWS\system32\onex.dll
2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\qagent.dll
2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\photometadatahandler.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\rasqec.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qutil.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qcliprov.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qagentrt.dll
2009-09-19 15:48:27 ----N---- C:\WINDOWS\system32\rhttpaa.dll
2009-09-19 15:48:26 ----N---- C:\WINDOWS\system32\setupn.exe
2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\xpsp3res.dll
2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tspkg.dll
2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tsgqec.dll
2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\verclsid.exe
2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\tzchange.exe
2009-09-19 15:48:13 ----N---- C:\WINDOWS\system32\windowscodecs.dll
2009-09-19 15:48:12 ----N---- C:\WINDOWS\system32\windowscodecsext.dll
2009-09-19 15:48:11 ----N---- C:\WINDOWS\system32\wlanapi.dll
2009-09-19 15:48:10 ----N---- C:\WINDOWS\system32\wmphoto.dll
2009-09-19 15:48:04 ----N---- C:\WINDOWS\system32\xmllite.dll
2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\de-de
2009-09-19 15:47:38 ----D---- C:\WINDOWS\l2schemas
2009-09-19 15:47:37 ----D---- C:\WINDOWS\system32\de
2009-09-19 15:25:02 ----D---- C:\WINDOWS\network diagnostic
2009-09-19 15:19:49 ----A---- C:\WINDOWS\004950_.tmp
2009-09-19 13:16:32 ----D---- C:\WINDOWS\SoftwareDistribution
2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\proxycfg.exe
2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\logman.exe
2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2dvaa.dll
2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2cqag.dll
2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati3d1ag.dll
2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati2dvag.dll
2009-09-19 13:04:56 ----N---- C:\WINDOWS\system32\ati3duag.dll
2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\auditusr.exe
2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativvaxx.dll
2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativtmxx.dll
2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\btpanui.dll
2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\blastcln.exe
2009-09-19 13:04:53 ----N---- C:\WINDOWS\system32\cmsetacl.dll
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fwcfg.dll
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fsquirt.exe
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltmc.exe
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltlib.dll
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\extmgr.dll
2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\ieencode.dll
2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\httpapi.dll
2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\hsfcisp2.dll
2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_qc.dll
2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_32.dll
2009-09-19 13:04:46 ----N---- C:\WINDOWS\system32\ir50_qcx.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsno.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsfi.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdno1.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt48.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt47.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmaori.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinmal.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinben.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinbe1.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdfi1.dll
2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\mdmxsdk.dll
2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\kbdukx.dll
2009-09-19 13:04:43 ----N---- C:\WINDOWS\system32\msdadiag.dll
2009-09-19 13:04:41 ----N---- C:\WINDOWS\system32\mtxparhd.dll
2009-09-19 13:04:39 ----N---- C:\WINDOWS\system32\nv4_disp.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pnetsh.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgraph.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgasvc.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2p.dll
2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\powercfg.exe
2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\pnrpnsp.dll
2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\p2psvc.dll
2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\slcoinst.dll
2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\sdhcinst.dll
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\smbinst.exe
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slserv.exe
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slrundll.exe
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slgen.dll
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slextspk.dll
2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\w3ssl.dll
2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\twext.dll
2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\strmfilt.dll
2009-09-19 13:04:31 ----N---- C:\WINDOWS\system32\winshfhc.dll
2009-09-19 13:04:25 ----N---- C:\WINDOWS\system32\wscntfy.exe
2009-09-19 13:04:25 ----A---- C:\WINDOWS\system32\wscsvc.dll
2009-09-19 13:04:24 ----N---- C:\WINDOWS\system32\wuapi.dll
2009-09-19 13:04:23 ----N---- C:\WINDOWS\system32\wuauclt1.exe
2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wucltui.dll
2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wuaueng1.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprovi.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprov.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\wuweb.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\slrundll.exe
2009-09-19 13:04:21 ----A---- C:\WINDOWS\system32\wups.dll
2009-09-19 13:04:14 ----D---- C:\WINDOWS\peernet
2009-09-19 13:04:08 ----D---- C:\WINDOWS\provisioning
2009-09-19 12:56:19 ----D---- C:\WINDOWS\ServicePackFiles
2009-09-19 12:46:46 ----A---- C:\WINDOWS\002176_.tmp
2009-09-19 12:46:19 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-09-19 12:39:52 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-09-19 12:39:45 ----D---- C:\WINDOWS\EHome
2009-09-19 08:01:44 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-09-19 08:01:29 ----D---- C:\Programme\Alwil Software

======List of files/folders modified in the last 1 months======

2009-10-04 21:16:21 ----D---- C:\WINDOWS\system32\drivers
2009-10-04 21:16:21 ----D---- C:\WINDOWS\system32
2009-10-04 21:16:20 ----D---- C:\WINDOWS
2009-10-04 21:11:46 ----A---- C:\WINDOWS\system.ini
2009-10-04 21:10:39 ----D---- C:\WINDOWS\system32\CatRoot2
2009-10-04 21:08:36 ----D---- C:\WINDOWS\system32\config
2009-10-04 21:06:47 ----RD---- C:\Programme
2009-10-04 21:06:46 ----SHD---- C:\WINDOWS\Installer
2009-10-04 21:06:46 ----D---- C:\WINDOWS\system
2009-10-04 21:02:24 ----D---- C:\WINDOWS\AppPatch
2009-10-04 21:02:22 ----D---- C:\Programme\Gemeinsame Dateien
2009-10-04 20:52:51 ----SD---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Microsoft
2009-10-04 20:47:05 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-29 20:26:16 ----A---- C:\WINDOWS\ntbtlog.txt
2009-09-22 21:07:19 ----HD---- C:\WINDOWS\inf
2009-09-22 21:04:04 ----D---- C:\WINDOWS\WinSxS
2009-09-22 21:04:02 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-09-19 16:38:41 ----A---- C:\WINDOWS\OEWABLog.txt
2009-09-19 16:37:28 ----A---- C:\WINDOWS\setuplog.txt
2009-09-19 16:10:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-19 16:07:14 ----D---- C:\WINDOWS\system32\Setup
2009-09-19 16:07:12 ----D---- C:\WINDOWS\system32\wbem
2009-09-19 16:07:09 ----RSD---- C:\WINDOWS\Fonts
2009-09-19 16:06:23 ----D---- C:\WINDOWS\security
2009-09-19 16:01:21 ----D---- C:\WINDOWS\system32\CatRoot
2009-09-19 15:51:01 ----D---- C:\Programme\Messenger
2009-09-19 15:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-19 15:50:42 ----D---- C:\Programme\Windows Media Player
2009-09-19 15:50:37 ----D---- C:\WINDOWS\Help
2009-09-19 15:49:31 ----D---- C:\WINDOWS\ime
2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\usmt
2009-09-19 15:47:40 ----D---- C:\Programme\Internet Explorer
2009-09-19 15:47:35 ----D---- C:\WINDOWS\system32\bits
2009-09-19 15:47:34 ----D---- C:\Programme\Movie Maker
2009-09-19 15:34:10 ----D---- C:\WINDOWS\system32\Restore
2009-09-19 15:34:10 ----D---- C:\WINDOWS\system32\npp
2009-09-19 15:34:06 ----D---- C:\WINDOWS\msagent
2009-09-19 15:34:00 ----D---- C:\WINDOWS\srchasst
2009-09-19 15:33:57 ----D---- C:\Programme\NetMeeting
2009-09-19 15:33:52 ----D---- C:\WINDOWS\system32\Com
2009-09-19 15:33:40 ----D---- C:\Programme\Windows NT
2009-09-19 15:33:39 ----D---- C:\Programme\Outlook Express
2009-09-19 15:33:28 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-09-19 15:32:24 ----D---- C:\WINDOWS\system32\oobe
2009-09-19 15:19:27 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-09-19 14:42:27 ----D---- C:\WINDOWS\Debug
2009-09-19 14:30:02 ----D---- C:\Programme\ICQ
2009-09-19 14:27:05 ----D---- C:\WINDOWS\system32\ZoneLabs
2009-09-19 14:27:05 ----D---- C:\WINDOWS\Internet Logs
2009-09-19 14:21:07 ----D---- C:\Programme\Lavasoft
2009-09-19 13:22:18 ----A---- C:\WINDOWS\imsins.BAK
2009-09-19 13:15:26 ----SHD---- C:\System Volume Information
2009-09-19 13:07:26 ----RASH---- C:\boot.ini
2009-09-19 13:05:29 ----D---- C:\WINDOWS\system32\mui
2009-09-19 13:04:08 ----D---- C:\WINDOWS\Media
2009-09-19 12:49:07 ----D---- C:\WINDOWS\system32\1031
2009-09-19 12:49:06 ----RD---- C:\WINDOWS\Web
2009-09-19 12:48:23 ----RASH---- C:\NTDETECT.COM
2009-09-19 12:29:19 ----D---- C:\Dokumente und Einstellungen

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 CdaC15BA;CdaC15BA; \??\C:\WINDOWS\System32\drivers\CDAC15BA.SYS []
R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-14 88192]
R2 PfModNT;PfModNT; \??\C:\WINDOWS\System32\drivers\PfModNT.sys []
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 catchme;catchme; \??\C:\cfix\catchme.sys []
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 Ptserial;W2K Pctel Serial Device Driver; C:\WINDOWS\System32\DRIVERS\ptserial.sys [2002-06-06 136687]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 S3Psddr;S3Psddr; C:\WINDOWS\System32\DRIVERS\s3gnbm.sys [2002-09-12 158464]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 VIAIRDA;VIA Infrared Device Driver; C:\WINDOWS\System32\DRIVERS\viairda.sys [2001-12-06 24244]
R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2002-07-25 59264]
S1 lannui;LAN MSFW adapter; \??\C:\WINDOWS\System32\lannui.sys []
S1 xdrve9d;IPv6 BT converter; \??\C:\WINDOWS\System32\xdrve9d.sys []
S2 lanmui;LAN FW adapter; \??\C:\WINDOWS\System32\lannui.sys []
S3 ASFWHide;ASFWHide; \??\C:\DOKUME~1\Standard\LOKALE~1\Temp\ASFWHide []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-29 12288]
S3 MSIRCOMM;Microsoft IR Communications Driver; C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys [2008-04-14 22016]
S3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\System32\DRIVERS\SynTP.sys [2002-06-15 259376]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-08-24 392824]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\WINDOWS\System32\drivers\CDAC11BA.EXE [2005-01-03 39936]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\System32\CTsvcCDA.EXE [1999-12-13 44032]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
===========================================================

Viele Grüße und vielen Dank für Eure Hilfe

Bernd
Seitenanfang Seitenende
04.10.2009, 22:48
Moderator

Beiträge: 5694
#7

Zitat

- der erste Schritt mit dem NT-Service ging nicht. Habe daher
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)
mit HijackThis fixen lassen. Danach funktionierte der Step.
Bitte arbeite NUR nach Anleitung. Wenn Du das falsche fixt, dann kann unter Umständen nichts mehr gehen.

Zitat

- Combofix fand keine Wiederherstellungskonsole und ich konnte auch keine
nachladen, weil das Laptop nicht mit dem Internet verbunden ist. Habe
Combofix daher ohne Wiederherstellungskonsole laufen lassen.
Wie kein Intrnetvebindung??? Ich dachte nur FW geht nicht??

Du hast hier wirklich was ganz böses drauf und zwar einen Haxdoor Rootkit:
http://www.bleepingcomputer.com/startups/xdrve9d.sys-20838.html
http://www.f-secure.com/v-descs/haxdoor.shtml

Zitat

the backdoor can steal the following info:

• POP3 password
• POP3 server name
• POP3 user name
• IMAP password
• IMAP server name
• IMAP user name
Für die weitere Reinigung:

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Starte Avenger erneut, und verwende folgendes Script:

Zitat

drivers to disable:
xdrve9d
lanmui
lannui

drivers to delete:
xdrve9d
lanmui
lannui

Files to delete:
C:\WINDOWS\System32\xdrve9d.sys
c:\windows\System32\lannui.sys
c:\windows\System32\lannui.sys
>>
Was ist das für eine neue Datei:
C:\temp\Standard.exe


>>
Wende AviraRootkitscanner an:
http://virus-protect.org/artikel/tools/aviraantirootkit.html

>>
Rootkitscan mit RootRepeal
>Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
>Entpacke die Datei auf Deinen Desktop.
>Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
>Klicke auf den Reiter Report und dann auf den Button Scan.
>Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT


• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

>>
Installiere Dir das neue Avira9 und stelle es ein wie beschrieben.
http://www.pctipp.ch/index.cfm?pid=1316&pk=47082
Nun scanne (Rootkitscan ebenfalls anwählen) und poste das Log.

>>
Geht FW wieder?

Gruss Swiss
Seitenanfang Seitenende
05.10.2009, 20:23
...neu hier

Themenstarter

Beiträge: 10
#8

Zitat

Bitte arbeite NUR nach Anleitung. Wenn Du das falsche fixt, dann kann unter Umständen nichts mehr gehen.
Tschuldigung, gelobe Besserung :-)

Zitat

Wie kein Intrnetvebindung???
Ja, ich habe das Laptop physisch nicht am Netz und möchte es aus Sicherheitsgründen (noch) nicht anschließen.

Zitat

Ich dachte nur FW geht nicht??
Korrekt, der Dialog zum FW aktivieren war 'ausgegraut'. Nach der letzten Anleitung (vom 3.10.) war die FW allerdings bereits wieder aktiviert.

Ich mache mich gleich an die von Dir beschriebenen weiteren Schritte und melde mich dann.

Viele Grüße

Bernd
Seitenanfang Seitenende
05.10.2009, 20:26
...neu hier

Themenstarter

Beiträge: 10
#9

Zitat

Was ist das für eine neue Datei:
C:\temp\Standard.exe
Die Datei kenne ich auch nicht. Ich hatte 'C:\temp\ selbst neu angelegt und nur die Viren- und Malwarescanner, sowie die Logs darin. Das muss bei der Reinigungsaktion entstanden sein. Soll ich das Ding jemandem zur Analyse senden? Ach ja, 'Standard' ist der Benutzername, mit dem ich als Admin arbeite.

Die Datei hat das Icon von HijackThis und ist m.E. in dem Zusammenhang entstanden, als RSIT HijackThis aufgerufen hat.

VG

Bernd
Dieser Beitrag wurde am 05.10.2009 um 22:27 Uhr von Bernde editiert.
Seitenanfang Seitenende
06.10.2009, 03:22
Moderator

Beiträge: 5694
#10 Ja dann ist alles klar ;) Kannst Du ignorieren und mal belassen. Arbeite einfach den Rest ab.

Gruss Swiss
Seitenanfang Seitenende
06.10.2009, 06:37
...neu hier

Themenstarter

Beiträge: 10
#11 Guten morgen Swiss,

anbei meine Logs:

===========================================================
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/10/05 22:33
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF74FC000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xFA3F4000 Size: 8192 File Visible: No Signed: -
Status: -

Name: qspsb.sys
Image Path: qspsb.sys
Address: 0xF9EAC000 Size: 61440 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF2AED000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xfa5e9406

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xfa5e93fc

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xfa5e940b

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xfa5e9415

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xfa5e941a

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xfa5e93e8

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xfa5e93ed

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xfa5e9424

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xfa5e941f

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xfa5e9410

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xfa5e93f7

==EOF==
===========================================================

AV9-Log habe ich als Datei angehängt.

Viele Grüße

Bernd

Seitenanfang Seitenende
06.10.2009, 18:40
Moderator

Beiträge: 5694
#12 >>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

qspsb

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Neues RSIT Log
Schließe alle Fenster und Programme inkl. Browser.
Lösche C:\rsit\log.txt und C:\rsit\info.txt manuell.
Doppelklicke die rsit.exe auf Deinem Desktop, um neue Logfiles zu erstellen.
Bitte poste den Inhalt folgender Logs hier in den Thread:
C:\rsit\log.txt und C:\rsit\info.txt.

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Gruss Swiss
Seitenanfang Seitenende
07.10.2009, 22:11
...neu hier

Themenstarter

Beiträge: 10
#13 Hallo,

anbei die gewünschten Logs:

==========================================================
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.10.2009 20:55:31 for strings:
; 'qspsb'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
==========================================================Logfile of random's system information tool 1.06 (written by random/random)
Run by Standard at 2009-10-06 20:58:24
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 4 GB (36%) free of 12 GB
Total RAM: 223 MB (34% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:38, on 06.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\temp\RSIT.exe
C:\temp\Standard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

--
End of file - 4067 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"=C:\WINDOWS\system32\pctspk.exe [2002-03-10 163840]
"NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe [2001-07-09 155648]
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2002-06-14 126976]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2002-06-14 544768]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe [2003-03-11 172032]
"VTPreset"=C:\WINDOWS\system32\VTPreset.exe [2004-02-24 45056]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2005-04-03 180269]
"Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows auto update]
msblast.exe []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*;)isabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-10-05 22:37:44 ----A---- C:\RootRepeal report 10-05-09 (22-37-44).txt
2009-10-05 22:24:49 ----D---- C:\Programme\Avira
2009-10-05 22:24:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-10-05 22:17:04 ----D---- C:\Avenger
2009-10-05 22:17:04 ----A---- C:\avenger.txt
2009-10-05 22:13:02 ----SD---- C:\cfix
2009-10-05 22:11:50 ----SHD---- C:\RECYCLER
2009-10-05 22:11:27 ----A---- C:\WINDOWS\system32\CF26490.exe
2009-10-04 21:19:15 ----D---- C:\rsit
2009-10-04 21:16:20 ----D---- C:\WINDOWS\temp
2009-10-04 20:46:34 ----D---- C:\WINDOWS\ERDNT
2009-10-01 19:52:32 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Malwarebytes
2009-10-01 19:52:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-01 19:52:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-29 21:20:17 ----D---- C:\temp
2009-09-19 16:08:07 ----D---- C:\WINDOWS\Prefetch
2009-09-19 15:50:51 ----N---- C:\WINDOWS\system32\msxml6r.dll
2009-09-19 15:50:48 ----N---- C:\WINDOWS\system32\msxml6.dll
2009-09-19 15:49:07 ----N---- C:\WINDOWS\system32\aaclient.dll
2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\bitsprx4.dll
2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\azroles.dll
2009-09-19 15:48:58 ----N---- C:\WINDOWS\system32\credssp.dll
2009-09-19 15:48:57 ----N---- C:\WINDOWS\system32\dhcpqec.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3gpclnt.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3dlg.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3cfg.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3api.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsroam.dll
2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsntfy.dll
2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3ui.dll
2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3svc.dll
2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3msm.dll
2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eappcfg.dll
2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapp3hst.dll
2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapolqec.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapsvc.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapqec.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappprxy.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapphost.dll
2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappgnui.dll
2009-09-19 15:48:43 ----N---- C:\WINDOWS\system32\kbdbhc.dll
2009-09-19 15:48:42 ----N---- C:\WINDOWS\system32\kbdiultn.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\l2gpstore.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kmsvc.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdpash.dll
2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdnepr.dll
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcperf.exe
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcfxcommon.dll
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcex.dll
2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\microsoft.managementconsole.dll
2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\msshavmsg.dll
2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\mssha.dll
2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napstat.exe
2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napmontr.dll
2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napipsec.dll
2009-09-19 15:48:31 ----N---- C:\WINDOWS\system32\onex.dll
2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\qagent.dll
2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\photometadatahandler.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\rasqec.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qutil.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qcliprov.dll
2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qagentrt.dll
2009-09-19 15:48:27 ----N---- C:\WINDOWS\system32\rhttpaa.dll
2009-09-19 15:48:26 ----N---- C:\WINDOWS\system32\setupn.exe
2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\xpsp3res.dll
2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tspkg.dll
2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tsgqec.dll
2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\verclsid.exe
2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\tzchange.exe
2009-09-19 15:48:13 ----N---- C:\WINDOWS\system32\windowscodecs.dll
2009-09-19 15:48:12 ----N---- C:\WINDOWS\system32\windowscodecsext.dll
2009-09-19 15:48:11 ----N---- C:\WINDOWS\system32\wlanapi.dll
2009-09-19 15:48:10 ----N---- C:\WINDOWS\system32\wmphoto.dll
2009-09-19 15:48:04 ----N---- C:\WINDOWS\system32\xmllite.dll
2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\de-de
2009-09-19 15:47:38 ----D---- C:\WINDOWS\l2schemas
2009-09-19 15:47:37 ----D---- C:\WINDOWS\system32\de
2009-09-19 15:25:02 ----D---- C:\WINDOWS\network diagnostic
2009-09-19 15:19:49 ----A---- C:\WINDOWS\004950_.tmp
2009-09-19 13:16:32 ----D---- C:\WINDOWS\SoftwareDistribution
2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\proxycfg.exe
2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\logman.exe
2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2dvaa.dll
2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2cqag.dll
2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati3d1ag.dll
2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati2dvag.dll
2009-09-19 13:04:56 ----N---- C:\WINDOWS\system32\ati3duag.dll
2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\auditusr.exe
2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativvaxx.dll
2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativtmxx.dll
2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\btpanui.dll
2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\blastcln.exe
2009-09-19 13:04:53 ----N---- C:\WINDOWS\system32\cmsetacl.dll
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fwcfg.dll
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fsquirt.exe
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltmc.exe
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltlib.dll
2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\extmgr.dll
2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\ieencode.dll
2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\httpapi.dll
2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\hsfcisp2.dll
2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_qc.dll
2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_32.dll
2009-09-19 13:04:46 ----N---- C:\WINDOWS\system32\ir50_qcx.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsno.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsfi.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdno1.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt48.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt47.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmaori.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinmal.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinben.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinbe1.dll
2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdfi1.dll
2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\mdmxsdk.dll
2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\kbdukx.dll
2009-09-19 13:04:43 ----N---- C:\WINDOWS\system32\msdadiag.dll
2009-09-19 13:04:41 ----N---- C:\WINDOWS\system32\mtxparhd.dll
2009-09-19 13:04:39 ----N---- C:\WINDOWS\system32\nv4_disp.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pnetsh.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgraph.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgasvc.dll
2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2p.dll
2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\powercfg.exe
2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\pnrpnsp.dll
2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\p2psvc.dll
2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\slcoinst.dll
2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\sdhcinst.dll
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\smbinst.exe
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slserv.exe
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slrundll.exe
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slgen.dll
2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slextspk.dll
2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\w3ssl.dll
2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\twext.dll
2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\strmfilt.dll
2009-09-19 13:04:31 ----N---- C:\WINDOWS\system32\winshfhc.dll
2009-09-19 13:04:25 ----N---- C:\WINDOWS\system32\wscntfy.exe
2009-09-19 13:04:25 ----A---- C:\WINDOWS\system32\wscsvc.dll
2009-09-19 13:04:24 ----N---- C:\WINDOWS\system32\wuapi.dll
2009-09-19 13:04:23 ----N---- C:\WINDOWS\system32\wuauclt1.exe
2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wucltui.dll
2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wuaueng1.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprovi.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprov.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\wuweb.dll
2009-09-19 13:04:21 ----N---- C:\WINDOWS\slrundll.exe
2009-09-19 13:04:21 ----A---- C:\WINDOWS\system32\wups.dll
2009-09-19 13:04:14 ----D---- C:\WINDOWS\peernet
2009-09-19 13:04:08 ----D---- C:\WINDOWS\provisioning
2009-09-19 12:56:19 ----D---- C:\WINDOWS\ServicePackFiles
2009-09-19 12:46:46 ----A---- C:\WINDOWS\002176_.tmp
2009-09-19 12:46:19 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-09-19 12:39:52 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-09-19 12:39:45 ----D---- C:\WINDOWS\EHome
2009-09-19 08:01:44 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-09-19 08:01:29 ----D---- C:\Programme\Alwil Software

======List of files/folders modified in the last 1 months======

2009-10-06 20:49:49 ----D---- C:\WINDOWS\system32\CatRoot2
2009-10-06 06:33:20 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-10-06 06:18:09 ----D---- C:\WINDOWS
2009-10-05 22:33:12 ----D---- C:\WINDOWS\system32\drivers
2009-10-05 22:25:35 ----HD---- C:\WINDOWS\inf
2009-10-05 22:24:49 ----RD---- C:\Programme
2009-10-05 22:24:06 ----SHD---- C:\WINDOWS\Installer
2009-10-05 22:24:06 ----D---- C:\WINDOWS\WinSxS
2009-10-05 22:24:04 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-10-05 22:13:26 ----SHD---- C:\System Volume Information
2009-10-05 22:13:26 ----D---- C:\WINDOWS\system32\Restore
2009-10-05 22:13:10 ----D---- C:\WINDOWS\system32
2009-10-04 21:11:46 ----A---- C:\WINDOWS\system.ini
2009-10-04 21:08:36 ----D---- C:\WINDOWS\system32\config
2009-10-04 21:06:46 ----D---- C:\WINDOWS\system
2009-10-04 21:02:24 ----D---- C:\WINDOWS\AppPatch
2009-10-04 21:02:22 ----D---- C:\Programme\Gemeinsame Dateien
2009-10-04 20:52:51 ----SD---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Microsoft
2009-09-29 20:26:16 ----A---- C:\WINDOWS\ntbtlog.txt
2009-09-19 16:38:41 ----A---- C:\WINDOWS\OEWABLog.txt
2009-09-19 16:37:28 ----A---- C:\WINDOWS\setuplog.txt
2009-09-19 16:10:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-19 16:07:14 ----D---- C:\WINDOWS\system32\Setup
2009-09-19 16:07:12 ----D---- C:\WINDOWS\system32\wbem
2009-09-19 16:07:09 ----RSD---- C:\WINDOWS\Fonts
2009-09-19 16:06:23 ----D---- C:\WINDOWS\security
2009-09-19 16:01:21 ----D---- C:\WINDOWS\system32\CatRoot
2009-09-19 15:51:01 ----D---- C:\Programme\Messenger
2009-09-19 15:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-19 15:50:42 ----D---- C:\Programme\Windows Media Player
2009-09-19 15:50:37 ----D---- C:\WINDOWS\Help
2009-09-19 15:49:31 ----D---- C:\WINDOWS\ime
2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\usmt
2009-09-19 15:47:40 ----D---- C:\Programme\Internet Explorer
2009-09-19 15:47:35 ----D---- C:\WINDOWS\system32\bits
2009-09-19 15:47:34 ----D---- C:\Programme\Movie Maker
2009-09-19 15:34:10 ----D---- C:\WINDOWS\system32\npp
2009-09-19 15:34:06 ----D---- C:\WINDOWS\msagent
2009-09-19 15:34:00 ----D---- C:\WINDOWS\srchasst
2009-09-19 15:33:57 ----D---- C:\Programme\NetMeeting
2009-09-19 15:33:52 ----D---- C:\WINDOWS\system32\Com
2009-09-19 15:33:40 ----D---- C:\Programme\Windows NT
2009-09-19 15:33:39 ----D---- C:\Programme\Outlook Express
2009-09-19 15:33:28 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-09-19 15:32:24 ----D---- C:\WINDOWS\system32\oobe
2009-09-19 15:19:27 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-09-19 14:42:27 ----D---- C:\WINDOWS\Debug
2009-09-19 14:30:02 ----D---- C:\Programme\ICQ
2009-09-19 14:27:05 ----D---- C:\WINDOWS\system32\ZoneLabs
2009-09-19 14:27:05 ----D---- C:\WINDOWS\Internet Logs
2009-09-19 14:21:07 ----D---- C:\Programme\Lavasoft
2009-09-19 13:22:18 ----A---- C:\WINDOWS\imsins.BAK
2009-09-19 13:07:26 ----RASH---- C:\boot.ini
2009-09-19 13:05:29 ----D---- C:\WINDOWS\system32\mui
2009-09-19 13:04:08 ----D---- C:\WINDOWS\Media
2009-09-19 12:49:07 ----D---- C:\WINDOWS\system32\1031
2009-09-19 12:49:06 ----RD---- C:\WINDOWS\Web
2009-09-19 12:48:23 ----RASH---- C:\NTDETECT.COM
2009-09-19 12:29:19 ----D---- C:\Dokumente und Einstellungen

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 CdaC15BA;CdaC15BA; \??\C:\WINDOWS\System32\drivers\CDAC15BA.SYS []
R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-14 88192]
R2 PfModNT;PfModNT; \??\C:\WINDOWS\System32\drivers\PfModNT.sys []
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 Ptserial;W2K Pctel Serial Device Driver; C:\WINDOWS\System32\DRIVERS\ptserial.sys [2002-06-06 136687]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 S3Psddr;S3Psddr; C:\WINDOWS\System32\DRIVERS\s3gnbm.sys [2002-09-12 158464]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 VIAIRDA;VIA Infrared Device Driver; C:\WINDOWS\System32\DRIVERS\viairda.sys [2001-12-06 24244]
R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2002-07-25 59264]
S3 ASFWHide;ASFWHide; \??\C:\DOKUME~1\Standard\LOKALE~1\Temp\ASFWHide []
S3 catchme;catchme; \??\C:\cfix\catchme.sys []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-29 12288]
S3 MSIRCOMM;Microsoft IR Communications Driver; C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys [2008-04-14 22016]
S3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\System32\DRIVERS\SynTP.sys [2002-06-15 259376]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-08-24 392824]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\WINDOWS\System32\drivers\CDAC11BA.EXE [2005-01-03 39936]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\System32\CTsvcCDA.EXE [1999-12-13 44032]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
==========================================================info.txt logfile of random's system information tool 1.06 2009-10-06 20:58:41

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDDF96A-BC34-4D72-9ABA-E1FFF0C39977}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7 /remove
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7 /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
AquaSoft DiaShow XP-->MsiExec.exe /I{FA4324A3-287B-4F77-8641-C1985758A15B}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
Cda Product Service - shared component-->C:\WINDOWS\CdaC13BA.EXE /uninstall
CDex extraction audio-->"C:\Programme\CDex_170b2\uninstall.exe"
Creative MediaSource-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{56F3E1FF-54FE-4384-A153-6CCABA097814}\SETUP.EXE" -l0x7 /remove
Defenza-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{21166ACF-FEB8-413D-B517-378D806E303D}\Setup.exe" -l0x9
Fritz for Fun 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8BB317F1-3370-4E50-97F6-B34FC6612EA2}\Setup.exe" -l0x7
Google Earth-->MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar2.dll"
HijackThis 2.0.2-->"C:\temp\HijackThis.exe" /uninstall
HSP56 MR Drivers-->ptuninst.exe
ICQ-->C:\PROGRA~1\ICQ\ICQUninstall.EXE
KRISTAL Audio Engine-->C:\Programme\Kreatives.org\KRISTAL Audio Engine\Uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework (German) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1031)
Microsoft .NET Framework (German)-->MsiExec.exe /X{20F1FFAF-1BFF-450C-A8C7-03D1BE24B950}
Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works 2000-->MsiExec.exe /I{56364334-9530-11D2-BFFC-00C04FA329AA}
Microsoft Works 2000-Setup-Start-->C:\Programme\Microsoft Works Suite 2000\Setup\Launcher.exe E:\
MuVo Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7 /remove
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
OLYMPUS CAMEDIA Master 4.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{30BB4D60-81DB-11D5-BB77-00400536ABAC}\Setup.exe" CAMEDIA Master 4.03
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
Programm zum entfernen des Windows Blaster Wurm-Virus(KB833330)-->C:\WINDOWS\$NtUninstallKB833330$\spuninst\spuninst.exe
ProSavageDDR and Utilities-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\S3Inc\P4M266\P4M266.isu
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
S3Display-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display'
S3Gamma2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2'
S3Info2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2'
S3Overlay-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay'
Synaptics TouchPad-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Trellian Button Fabrik-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Trellian\Trellian Button Fabrik\Uninst.isu"
vanBasco's Karaoke Player-->C:\Programme\vanBasco's Karaoke Player\uninst.exe
VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -f"C:\PROGRA~1\VIATEC~1\VIAAUD~1/Uninst.isu"
WER WIRD MILLIONÄR - 2. EDITION-->MsiExec.exe /I{8FDD2C09-FF76-460B-9442-5E334D36D436}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
Word in Works Suite-Add-In-->MsiExec.exe /I{5DC02603-6642-11D3-80AC-00C04F348408}

=====HijackThis Backups=====

O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing) [2009-10-04]
O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe [2009-10-04]
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe [2009-10-04]
O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe [2009-10-04]
O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe [2009-10-04]
O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe [2009-10-04]
O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe [2009-10-04]
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe [2009-10-04]
O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe [2009-10-04]
O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe [2009-10-04]
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile [2009-10-04]
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) [2009-10-04]
O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe [2009-10-04]
O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe [2009-10-04]
O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe [2009-10-04]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) [2009-10-04]
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing) [2009-10-04]
O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing) [2009-10-04]

======Security center information======

AV: AntiVir Desktop (outdated)
AV: Avira AntiVir PersonalEdition Classic (outdated)

======System event log======

Computer Name: COMPUTERNAME
Event Code: 10
Message: Die digitale Audiowiedergabe wird von diesem Laufwerk nicht unterstützt.

Record Number: 4266
Source Name: redbook
Time Written: 20070626002730.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 4265
Source Name: EventLog
Time Written: 20070626002719.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 4264
Source Name: EventLog
Time Written: 20070626002719.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 6006
Message: Der Ereignisprotokolldienst wurde beendet.

Record Number: 4263
Source Name: EventLog
Time Written: 20070625141336.000000+120
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 8033
Message: Der Suchdienst hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{184D271A-9E48-45C0-BB0B-BB0286CF6780}" erzwungen, da der Hauptsuchdienst beendet wurde.

Record Number: 4262
Source Name: BROWSER
Time Written: 20070625141243.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: COMPUTERNAME
Event Code: 105
Message: The service was started.

Record Number: 3966
Source Name: Creative Service for CDROM Access
Time Written: 20070319092402.000000+060
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 1002
Message: Die Shell wurde unerwartet beendet und Explorer.exe wurde neu gestartet.

Record Number: 3965
Source Name: Winlogon
Time Written: 20070318162352.000000+060
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 1000
Message: Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2800.1106, fehlgeschlagenes Modul shimgvw.dll, Version 6.0.2800.1106, Fehleradresse 0x00012eb7.

Record Number: 3964
Source Name: Application Error
Time Written: 20070318162340.000000+060
Event Type: Fehler
User:

Computer Name: COMPUTERNAME
Event Code: 4137
Message: CI wurde für Katalog c:\system volume information\catalog.wci gestartet.

Record Number: 3963
Source Name: Ci
Time Written: 20070318161332.000000+060
Event Type: Informationen
User:

Computer Name: COMPUTERNAME
Event Code: 4113
Message:
Record Number: 3962
Source Name: H+BEDV AntiVir
Time Written: 20070318160712.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
==========================================================

An den ESET-Report bin ich nicht rangekommen. Beim ersten Scan wurde ein
Trojaner (Agent irgendwas) in der Datei free-wma-converter.exe im
Verzeichnis Eigene Dateien des Benutzers 'Standard' gefunden, in
Quarantäne geschoben und entfernt.
Ein weiterer ESET-Scan brachte keine Funde.

Viele Grüße

Bernd
Seitenanfang Seitenende
09.10.2009, 00:23
Moderator

Beiträge: 5694
#14 Warst du einmal von Blaster Wurmbetroffen?
http://www.symantec.com/security_response/writeup.jsp?docid=2003-081315-0500-99

Führe Registry Search by Bobbi Flekman erneut aus:

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

msblast

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Lade Dir das Microsoft® Windows®-Tool zum Entfernen bösartiger Software und führe es aus.

Gruss Swiss
Seitenanfang Seitenende
27.10.2009, 22:24
...neu hier

Themenstarter

Beiträge: 10
#15 So, endlich habe ich wieder Zeit...

Info am Rande: das Latop muss wohl eine ganze Zeit mit SP1 im Netz
gewesen sein, bevor ich SP2 und SP3 installiert habe, daher die
hohe Infektionsrate.

Das Windows-Tool brachte keine Virenmeldung zutage.

Hier das RegSearch-Protokoll bzgl. msblast:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 27.10.2009 19:54:43 for strings:
; 'msblast'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\windows auto update]
"item"="msblast"
"command"="msblast.exe"

; End Of The Log...
Seitenanfang Seitenende