XP Firewall (SP3) nicht aktivierbar |
||
---|---|---|
#0
| ||
29.09.2009, 21:49
...neu hier
Beiträge: 10 |
||
|
||
30.09.2009, 06:20
Member
Beiträge: 1543 |
#2
Solltest nach http://board.protecus.de/f3.htm oder http://board.protecus.de/f7.htm gehen, daß dir schneller geholfen wird, weiß nicht wann die Experten hier reinschauen.
Der Rechner läuft wohl über Ukraine. TS |
|
|
||
30.09.2009, 12:17
Moderator
Beiträge: 5694 |
#3
Dein System wird, wie TurnRstereO bereits geschrieben hat umgeleitet in die Ukraine. Nun kann nicht ausgschlossen werden ob scho irgendwelche unerwünschte Veränderungen an deinem System vorgenommen wurden. Vorallem bei Ebanking und bei heiklen Daten auf dem System ist ein Neuaufsetzen von Vorteil. Falls Du jedoch reinigen willst, dann arbeite den Link in meiner Signatur durch.
Gruss Swiss |
|
|
||
03.10.2009, 13:57
...neu hier
Themenstarter Beiträge: 10 |
#4
Hallo noch mal,
danke für Eure ersten Tipps. Ich habe mich entschlossen, das Laptop zu reinigen und keine Neuinstallation durchzuführen. Dafür habe ich die Schritte aus Swiss' Signatur abgearbeitet. Die MBAM-Datei habe ich angehängt. Alles gefundene wurde erfolgreich gelöscht. Hier ist das GMER-Log: ========================================================== GMER 1.0.15.15087 - http://www.gmer.net Rootkit scan 2009-10-01 21:48:56 Windows 5.1.2600 Service Pack 3 Running: xbeyofts.exe; Driver: C:\DOKUME~1\Standard\LOKALE~1\Temp\pwldikoc.sys ---- System - GMER 1.0.15 ---- SSDT FA4D819E ZwCreateKey SSDT FA4D8194 ZwCreateThread SSDT FA4D81A3 ZwDeleteKey SSDT FA4D81AD ZwDeleteValueKey SSDT FA4D81B2 ZwLoadKey SSDT FA4D8180 ZwOpenProcess SSDT FA4D8185 ZwOpenThread SSDT FA4D81BC ZwReplaceKey SSDT FA4D81B7 ZwRestoreKey SSDT FA4D81A8 ZwSetValueKey SSDT FA4D818F ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- ========================================================== und hier das neueste HijackThis-Log: ========================================================== Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:09:09, on 03.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing) O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing) -- End of file - 5273 bytes ========================================================== Ist Aus Eurer Sicht der Rechner noch verseucht? Die Firewall ist immer noch nicht aktivierbar. Kann es sein, dass ich jetzt noch ein paar Dienste aktivieren muss? Danke für Eure Hilfe und viele Grüße Bernd |
|
|
||
03.10.2009, 14:12
Moderator
Beiträge: 5694 |
#5
>>>
Dienst beenden Öffne Hijackthis und gehe auf "open the misc tool section" klicken und dann auf "delete an NT Service" und kopiere hinein: Zitat Service--> OK >> Fixen mit Hijackthis Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)und wähle fix checked. Starte den Rechner neu. >>> Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" - nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen >> loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> wende bitte RSIT an + poste die zwei Logs http://virus-protect.org/artikel/tools/random.html Gruss Swiss |
|
|
||
04.10.2009, 21:38
...neu hier
Themenstarter Beiträge: 10 |
#6
Hallo noch mal,
habe die obigen Schritte durchgeführt. Zur Info dazu: - der erste Schritt mit dem NT-Service ging nicht. Habe daher O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing) mit HijackThis fixen lassen. Danach funktionierte der Step. - Combofix fand keine Wiederherstellungskonsole und ich konnte auch keine nachladen, weil das Laptop nicht mit dem Internet verbunden ist. Habe Combofix daher ohne Wiederherstellungskonsole laufen lassen. Hier nun die Logs: =========================================================== Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\System32\pefqy.exe" not found! Deletion of file "C:\WINDOWS\System32\pefqy.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\v4.exe" not found! Deletion of file "C:\WINDOWS\v4.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\towsr.exe" not found! Deletion of file "C:\WINDOWS\System32\towsr.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\rbuly.exe" not found! Deletion of file "C:\WINDOWS\System32\rbuly.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\rckwz.exe" not found! Deletion of file "C:\WINDOWS\System32\rckwz.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\iesniff.exe" not found! Deletion of file "C:\WINDOWS\System32\iesniff.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\bjpog.exe" not found! Deletion of file "C:\WINDOWS\System32\bjpog.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\rhgof.exe" not found! Deletion of file "C:\WINDOWS\System32\rhgof.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\ulmew.exe" not found! Deletion of file "C:\WINDOWS\System32\ulmew.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\zupoz.exe" not found! Deletion of file "C:\WINDOWS\System32\zupoz.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\inpwq.exe" not found! Deletion of file "C:\WINDOWS\System32\inpwq.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\zkzdo.exe" not found! Deletion of file "C:\WINDOWS\System32\zkzdo.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\ert.dll" not found! Deletion of file "C:\WINDOWS\System32\ert.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. =========================================================== ComboFix 09-10-04.01 - Standard 04.10.2009 20:57.1.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.223.112 [GMT 2:00] ausgeführt von:: c:\temp\cfix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {806EE0B3-FFA4-00DA-0D24-347CA8A3377C} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat C:\hwlp.exe c:\programme\INSTALL.LOG c:\programme\Need2Find c:\programme\Need2Find\bar\History\search c:\recycler\S-1-5-21-1614895754-1383384898-839522115-1003 c:\recycler\S-1-5-21-2068902000-2868191192-4218841531-1003 c:\recycler\S-1-5-21-224621903-3852255402-4189850523-1004 c:\recycler\S-1-5-21-2765917691-3763151125-3848988911-1003 c:\recycler\S-1-5-21-3706318524-1249351268-3596125547-1003 c:\recycler\S-1-5-21-403779809-1920453678-105924602-1003 C:\uniq c:\windows\Installer\440ca.msp c:\windows\Installer\a6cdf.msi c:\windows\system\oeminfo.ini C:\ywkwl.exe ----- BITS: Eventuell infizierte Webseiten ----- hxxp://xaqjlyswly.biz . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NTIO256 ((((((((((((((((((((((( Dateien erstellt von 2009-09-04 bis 2009-10-04 )))))))))))))))))))))))))))))) . 2009-10-04 18:35 . 2009-10-04 17:18 781909 ----a-w- c:\temp\RSIT.exe 2009-10-04 18:35 . 2009-10-04 17:17 3325144 ----a-r- c:\temp\cfix.exe 2009-10-04 18:35 . 2009-10-04 17:15 724952 ----a-w- c:\temp\avenger.zip 2009-10-04 18:21 . 2009-10-04 18:31 -------- d-----w- c:\temp\backups 2009-10-01 17:52 . 2009-10-01 17:52 -------- d-----w- c:\dokumente und einstellungen\Standard\Anwendungsdaten\Malwarebytes 2009-10-01 17:52 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-10-01 17:52 . 2009-10-01 17:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-01 17:52 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-01 17:52 . 2009-10-01 17:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-09-29 19:20 . 2009-09-29 19:20 401720 ----a-w- c:\temp\HijackThis.exe 2009-09-29 19:20 . 2009-10-04 18:35 -------- d-----w- C:\temp 2009-09-22 19:06 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-09-22 19:06 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-09-22 19:06 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-09-22 19:06 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-09-22 19:06 . 2009-09-22 19:06 -------- d-----w- c:\programme\Avira 2009-09-22 19:06 . 2009-09-22 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-09-19 13:49 . 2008-04-14 05:52 136192 ------w- c:\windows\system32\aaclient.dll 2009-09-19 13:49 . 2008-04-14 05:52 7168 ------w- c:\windows\system32\bitsprx4.dll 2009-09-19 13:49 . 2008-04-14 05:52 233472 ------w- c:\windows\system32\azroles.dll 2009-09-19 13:47 . 2009-09-19 13:47 -------- d-----w- c:\windows\l2schemas 2009-09-19 13:47 . 2009-09-19 13:47 -------- d-----w- c:\windows\system32\de 2009-09-19 13:24 . 2008-04-13 20:06 144384 ------w- c:\windows\system32\drivers\hdaudbus.sys 2009-09-19 13:24 . 2008-04-13 22:10 10240 ------w- c:\windows\system32\drivers\sffp_mmc.sys 2009-09-19 11:19 . 2009-09-19 11:19 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü 2009-09-19 11:17 . 2009-09-29 18:32 -------- d-----w- c:\windows\system32\wbem\AutoRecover 2009-09-19 11:04 . 2008-04-14 05:52 11325 ------w- c:\windows\system32\drivers\vchnt5.dll 2009-09-19 10:56 . 2009-09-19 13:50 -------- d-----w- c:\windows\ServicePackFiles 2009-09-19 10:46 . 2007-08-10 18:44 26488 ----a-w- c:\windows\system32\spupdsvc.exe 2009-09-19 10:39 . 2009-09-19 13:03 -------- d-----w- c:\windows\EHome 2009-09-19 10:29 . 2009-09-19 10:29 -------- d-----w- c:\dokumente und einstellungen\Administrator 2009-09-19 06:01 . 2003-03-18 20:20 1060864 ----a-w- c:\windows\system32\MFC71.dll 2009-09-19 06:01 . 2009-09-19 06:01 -------- d-----w- c:\programme\Alwil Software . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-19 14:10 . 2003-04-17 13:31 56588 ----a-w- c:\windows\system32\perfc007.dat 2009-09-19 14:10 . 2003-04-17 13:31 374360 ----a-w- c:\windows\system32\perfh007.dat 2009-09-19 12:30 . 2004-06-22 18:40 -------- d-----w- c:\programme\ICQ 2009-09-19 12:21 . 2004-07-30 17:56 -------- d-----w- c:\programme\Lavasoft 2009-09-19 11:24 . 2004-04-07 09:46 300704 ----a-w- c:\dokumente und einstellungen\Standard\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2002-06-14 126976] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2002-06-14 544768] "HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 172032] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-04-03 180269] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "PCTVOICE"="pctspk.exe" - c:\windows\system32\pctspk.exe [2002-03-10 163840] "VTPreset"="VTPreset.exe" - c:\windows\system32\VTPreset.exe [2004-02-24 45056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R1 lannui;LAN MSFW adapter;c:\windows\System32\lannui.sys [x] R1 xdrve9d;IPv6 BT converter;c:\windows\System32\xdrve9d.sys [x] R2 lanmui;LAN FW adapter;c:\windows\System32\lannui.sys [x] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Connection Wizard,ShellNext = iexplore DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . - - - - Entfernte verwaiste Registrierungseinträge - - - - SafeBoot-lanmui.sys SafeBoot-lannui.sys ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-04 21:11 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet007\Services\ASFWHide] "ImagePath"="\??\c:\dokume~1\Standard\LOKALE~1\Temp\ASFWHide" . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\windows\system32\drivers\CDAC11BA.EXE c:\windows\system32\CTSVCCDA.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-10-04 21:16 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-10-04 19:16 Vor Suchlauf: 2.949.705.728 Bytes frei Nach Suchlauf: 3.400.077.312 Bytes frei 143 =========================================================== info.txt logfile of random's system information tool 1.06 2009-10-04 21:19:27 ======Uninstall list====== -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDDF96A-BC34-4D72-9ABA-E1FFF0C39977}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7 /remove -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll" Adobe Flash Player 9 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete AquaSoft DiaShow XP-->MsiExec.exe /I{FA4324A3-287B-4F77-8641-C1985758A15B} Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE Cda Product Service - shared component-->C:\WINDOWS\CdaC13BA.EXE /uninstall CDex extraction audio-->"C:\Programme\CDex_170b2\uninstall.exe" Creative MediaSource-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{56F3E1FF-54FE-4384-A153-6CCABA097814}\SETUP.EXE" -l0x7 /remove Defenza-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{21166ACF-FEB8-413D-B517-378D806E303D}\Setup.exe" -l0x9 Fritz for Fun 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8BB317F1-3370-4E50-97F6-B34FC6612EA2}\Setup.exe" -l0x7 Google Earth-->MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B} Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar2.dll" HijackThis 2.0.2-->"C:\temp\HijackThis.exe" /uninstall HSP56 MR Drivers-->ptuninst.exe ICQ-->C:\PROGRA~1\ICQ\ICQUninstall.EXE KRISTAL Audio Engine-->C:\Programme\Kreatives.org\KRISTAL Audio Engine\Uninstall.exe Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework (German) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1031) Microsoft .NET Framework (German)-->MsiExec.exe /X{20F1FFAF-1BFF-450C-A8C7-03D1BE24B950} Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Works 2000-->MsiExec.exe /I{56364334-9530-11D2-BFFC-00C04FA329AA} Microsoft Works 2000-Setup-Start-->C:\Programme\Microsoft Works Suite 2000\Setup\Launcher.exe E:\ MuVo Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7 /remove Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} OLYMPUS CAMEDIA Master 4.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{30BB4D60-81DB-11D5-BB77-00400536ABAC}\Setup.exe" CAMEDIA Master 4.03 PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall Programm zum entfernen des Windows Blaster Wurm-Virus(KB833330)-->C:\WINDOWS\$NtUninstallKB833330$\spuninst\spuninst.exe ProSavageDDR and Utilities-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\S3Inc\P4M266\P4M266.isu QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 S3Display-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display' S3Gamma2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2' S3Info2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2' S3Overlay-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay' Synaptics TouchPad-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall Trellian Button Fabrik-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Trellian\Trellian Button Fabrik\Uninst.isu" vanBasco's Karaoke Player-->C:\Programme\vanBasco's Karaoke Player\uninst.exe VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -f"C:\PROGRA~1\VIATEC~1\VIAAUD~1/Uninst.isu" WER WIRD MILLIONÄR - 2. EDITION-->MsiExec.exe /I{8FDD2C09-FF76-460B-9442-5E334D36D436} Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE} WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe Word in Works Suite-Add-In-->MsiExec.exe /I{5DC02603-6642-11D3-80AC-00C04F348408} =====HijackThis Backups===== O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing) [2009-10-04] O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe [2009-10-04] O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe [2009-10-04] O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe [2009-10-04] O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe [2009-10-04] O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe [2009-10-04] O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe [2009-10-04] O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe [2009-10-04] O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe [2009-10-04] O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe [2009-10-04] O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile [2009-10-04] O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) [2009-10-04] O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe [2009-10-04] O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe [2009-10-04] O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe [2009-10-04] O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) [2009-10-04] O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing) [2009-10-04] O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing) [2009-10-04] ======Security center information====== AV: AntiVir Desktop (outdated) AV: Avira AntiVir PersonalEdition Classic (outdated) ======System event log====== Computer Name: COMPUTERNAME Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet. Record Number: 4024 Source Name: Service Control Manager Time Written: 20070619222842.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: COMPUTERNAME Event Code: 7036 Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt". Record Number: 4023 Source Name: Service Control Manager Time Written: 20070619222842.000000+120 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 7036 Message: Dienst "SSDP-Suchdienst" befindet sich jetzt im Status "Ausgeführt". Record Number: 4022 Source Name: Service Control Manager Time Written: 20070619222842.000000+120 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet. Record Number: 4021 Source Name: Service Control Manager Time Written: 20070619222842.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: COMPUTERNAME Event Code: 7036 Message: Dienst "Netzwerkverbindungen" befindet sich jetzt im Status "Ausgeführt". Record Number: 4020 Source Name: Service Control Manager Time Written: 20070619222842.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: COMPUTERNAME Event Code: 4137 Message: CI wurde für Katalog c:\system volume information\catalog.wci gestartet. Record Number: 3846 Source Name: Ci Time Written: 20070217173340.000000+060 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 4113 Message: Record Number: 3845 Source Name: H+BEDV AntiVir Time Written: 20070217172721.000000+060 Event Type: Warnung User: NT-AUTORITÄT\SYSTEM Computer Name: COMPUTERNAME Event Code: 4096 Message: Record Number: 3844 Source Name: H+BEDV AntiVir Time Written: 20070217172616.000000+060 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: COMPUTERNAME Event Code: 105 Message: The service was started. Record Number: 3843 Source Name: Creative Service for CDROM Access Time Written: 20070217172609.000000+060 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 4137 Message: CI wurde für Katalog c:\system volume information\catalog.wci gestartet. Record Number: 3842 Source Name: Ci Time Written: 20070216151037.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=0801 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- =========================================================== Logfile of random's system information tool 1.06 (written by random/random) Run by Standard at 2009-10-04 21:19:15 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 3 GB (27%) free of 12 GB Total RAM: 223 MB (36% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:19:23, on 04.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\svchost.exe C:\temp\RSIT.exe C:\temp\Standard.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE -- End of file - 4067 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "PCTVOICE"=C:\WINDOWS\system32\pctspk.exe [2002-03-10 163840] "NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe [2001-07-09 155648] "SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2002-06-14 126976] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2002-06-14 544768] "HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe [2003-03-11 172032] "VTPreset"=C:\WINDOWS\system32\VTPreset.exe [2004-02-24 45056] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2005-04-03 180269] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows auto update] msblast.exe [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======List of files/folders created in the last 1 months====== 2009-10-04 21:19:15 ----D---- C:\rsit 2009-10-04 21:16:20 ----D---- C:\WINDOWS\temp 2009-10-04 21:16:15 ----A---- C:\ComboFix.txt 2009-10-04 20:46:38 ----A---- C:\WINDOWS\zip.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\SWSC.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\SWREG.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\sed.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\PEV.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\NIRCMD.exe 2009-10-04 20:46:38 ----A---- C:\WINDOWS\grep.exe 2009-10-04 20:46:34 ----D---- C:\WINDOWS\ERDNT 2009-10-04 20:42:06 ----D---- C:\Qoobox 2009-10-04 20:37:50 ----A---- C:\avenger.txt 2009-10-01 19:52:32 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Malwarebytes 2009-10-01 19:52:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-01 19:52:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-09-29 21:20:17 ----D---- C:\temp 2009-09-22 21:06:30 ----D---- C:\Programme\Avira 2009-09-22 21:06:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-09-19 16:08:07 ----D---- C:\WINDOWS\Prefetch 2009-09-19 15:50:51 ----N---- C:\WINDOWS\system32\msxml6r.dll 2009-09-19 15:50:48 ----N---- C:\WINDOWS\system32\msxml6.dll 2009-09-19 15:49:07 ----N---- C:\WINDOWS\system32\aaclient.dll 2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\bitsprx4.dll 2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\azroles.dll 2009-09-19 15:48:58 ----N---- C:\WINDOWS\system32\credssp.dll 2009-09-19 15:48:57 ----N---- C:\WINDOWS\system32\dhcpqec.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3gpclnt.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3dlg.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3cfg.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3api.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsroam.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsntfy.dll 2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3ui.dll 2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3svc.dll 2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3msm.dll 2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eappcfg.dll 2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapp3hst.dll 2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapolqec.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapsvc.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapqec.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappprxy.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapphost.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappgnui.dll 2009-09-19 15:48:43 ----N---- C:\WINDOWS\system32\kbdbhc.dll 2009-09-19 15:48:42 ----N---- C:\WINDOWS\system32\kbdiultn.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\l2gpstore.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kmsvc.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdpash.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdnepr.dll 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcperf.exe 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcfxcommon.dll 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcex.dll 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\microsoft.managementconsole.dll 2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\msshavmsg.dll 2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\mssha.dll 2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napstat.exe 2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napmontr.dll 2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napipsec.dll 2009-09-19 15:48:31 ----N---- C:\WINDOWS\system32\onex.dll 2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\qagent.dll 2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\photometadatahandler.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\rasqec.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qutil.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qcliprov.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qagentrt.dll 2009-09-19 15:48:27 ----N---- C:\WINDOWS\system32\rhttpaa.dll 2009-09-19 15:48:26 ----N---- C:\WINDOWS\system32\setupn.exe 2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\xpsp3res.dll 2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tspkg.dll 2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tsgqec.dll 2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\verclsid.exe 2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\tzchange.exe 2009-09-19 15:48:13 ----N---- C:\WINDOWS\system32\windowscodecs.dll 2009-09-19 15:48:12 ----N---- C:\WINDOWS\system32\windowscodecsext.dll 2009-09-19 15:48:11 ----N---- C:\WINDOWS\system32\wlanapi.dll 2009-09-19 15:48:10 ----N---- C:\WINDOWS\system32\wmphoto.dll 2009-09-19 15:48:04 ----N---- C:\WINDOWS\system32\xmllite.dll 2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\de-de 2009-09-19 15:47:38 ----D---- C:\WINDOWS\l2schemas 2009-09-19 15:47:37 ----D---- C:\WINDOWS\system32\de 2009-09-19 15:25:02 ----D---- C:\WINDOWS\network diagnostic 2009-09-19 15:19:49 ----A---- C:\WINDOWS\004950_.tmp 2009-09-19 13:16:32 ----D---- C:\WINDOWS\SoftwareDistribution 2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\proxycfg.exe 2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\logman.exe 2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2dvaa.dll 2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2cqag.dll 2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati3d1ag.dll 2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati2dvag.dll 2009-09-19 13:04:56 ----N---- C:\WINDOWS\system32\ati3duag.dll 2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\auditusr.exe 2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativvaxx.dll 2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativtmxx.dll 2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\btpanui.dll 2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\blastcln.exe 2009-09-19 13:04:53 ----N---- C:\WINDOWS\system32\cmsetacl.dll 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fwcfg.dll 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fsquirt.exe 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltmc.exe 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltlib.dll 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\extmgr.dll 2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\ieencode.dll 2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\httpapi.dll 2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\hsfcisp2.dll 2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_qc.dll 2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_32.dll 2009-09-19 13:04:46 ----N---- C:\WINDOWS\system32\ir50_qcx.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsno.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsfi.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdno1.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt48.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt47.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmaori.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinmal.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinben.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinbe1.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdfi1.dll 2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\mdmxsdk.dll 2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\kbdukx.dll 2009-09-19 13:04:43 ----N---- C:\WINDOWS\system32\msdadiag.dll 2009-09-19 13:04:41 ----N---- C:\WINDOWS\system32\mtxparhd.dll 2009-09-19 13:04:39 ----N---- C:\WINDOWS\system32\nv4_disp.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pnetsh.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgraph.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgasvc.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2p.dll 2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\powercfg.exe 2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\pnrpnsp.dll 2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\p2psvc.dll 2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\slcoinst.dll 2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\sdhcinst.dll 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\smbinst.exe 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slserv.exe 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slrundll.exe 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slgen.dll 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slextspk.dll 2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\w3ssl.dll 2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\twext.dll 2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\strmfilt.dll 2009-09-19 13:04:31 ----N---- C:\WINDOWS\system32\winshfhc.dll 2009-09-19 13:04:25 ----N---- C:\WINDOWS\system32\wscntfy.exe 2009-09-19 13:04:25 ----A---- C:\WINDOWS\system32\wscsvc.dll 2009-09-19 13:04:24 ----N---- C:\WINDOWS\system32\wuapi.dll 2009-09-19 13:04:23 ----N---- C:\WINDOWS\system32\wuauclt1.exe 2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wucltui.dll 2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wuaueng1.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprovi.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprov.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\wuweb.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\slrundll.exe 2009-09-19 13:04:21 ----A---- C:\WINDOWS\system32\wups.dll 2009-09-19 13:04:14 ----D---- C:\WINDOWS\peernet 2009-09-19 13:04:08 ----D---- C:\WINDOWS\provisioning 2009-09-19 12:56:19 ----D---- C:\WINDOWS\ServicePackFiles 2009-09-19 12:46:46 ----A---- C:\WINDOWS\002176_.tmp 2009-09-19 12:46:19 ----A---- C:\WINDOWS\system32\spupdsvc.exe 2009-09-19 12:39:52 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2009-09-19 12:39:45 ----D---- C:\WINDOWS\EHome 2009-09-19 08:01:44 ----A---- C:\WINDOWS\system32\MFC71.dll 2009-09-19 08:01:29 ----D---- C:\Programme\Alwil Software ======List of files/folders modified in the last 1 months====== 2009-10-04 21:16:21 ----D---- C:\WINDOWS\system32\drivers 2009-10-04 21:16:21 ----D---- C:\WINDOWS\system32 2009-10-04 21:16:20 ----D---- C:\WINDOWS 2009-10-04 21:11:46 ----A---- C:\WINDOWS\system.ini 2009-10-04 21:10:39 ----D---- C:\WINDOWS\system32\CatRoot2 2009-10-04 21:08:36 ----D---- C:\WINDOWS\system32\config 2009-10-04 21:06:47 ----RD---- C:\Programme 2009-10-04 21:06:46 ----SHD---- C:\WINDOWS\Installer 2009-10-04 21:06:46 ----D---- C:\WINDOWS\system 2009-10-04 21:02:24 ----D---- C:\WINDOWS\AppPatch 2009-10-04 21:02:22 ----D---- C:\Programme\Gemeinsame Dateien 2009-10-04 20:52:51 ----SD---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Microsoft 2009-10-04 20:47:05 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-09-29 20:26:16 ----A---- C:\WINDOWS\ntbtlog.txt 2009-09-22 21:07:19 ----HD---- C:\WINDOWS\inf 2009-09-22 21:04:04 ----D---- C:\WINDOWS\WinSxS 2009-09-22 21:04:02 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-09-19 16:38:41 ----A---- C:\WINDOWS\OEWABLog.txt 2009-09-19 16:37:28 ----A---- C:\WINDOWS\setuplog.txt 2009-09-19 16:10:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-09-19 16:07:14 ----D---- C:\WINDOWS\system32\Setup 2009-09-19 16:07:12 ----D---- C:\WINDOWS\system32\wbem 2009-09-19 16:07:09 ----RSD---- C:\WINDOWS\Fonts 2009-09-19 16:06:23 ----D---- C:\WINDOWS\security 2009-09-19 16:01:21 ----D---- C:\WINDOWS\system32\CatRoot 2009-09-19 15:51:01 ----D---- C:\Programme\Messenger 2009-09-19 15:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-09-19 15:50:42 ----D---- C:\Programme\Windows Media Player 2009-09-19 15:50:37 ----D---- C:\WINDOWS\Help 2009-09-19 15:49:31 ----D---- C:\WINDOWS\ime 2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\usmt 2009-09-19 15:47:40 ----D---- C:\Programme\Internet Explorer 2009-09-19 15:47:35 ----D---- C:\WINDOWS\system32\bits 2009-09-19 15:47:34 ----D---- C:\Programme\Movie Maker 2009-09-19 15:34:10 ----D---- C:\WINDOWS\system32\Restore 2009-09-19 15:34:10 ----D---- C:\WINDOWS\system32\npp 2009-09-19 15:34:06 ----D---- C:\WINDOWS\msagent 2009-09-19 15:34:00 ----D---- C:\WINDOWS\srchasst 2009-09-19 15:33:57 ----D---- C:\Programme\NetMeeting 2009-09-19 15:33:52 ----D---- C:\WINDOWS\system32\Com 2009-09-19 15:33:40 ----D---- C:\Programme\Windows NT 2009-09-19 15:33:39 ----D---- C:\Programme\Outlook Express 2009-09-19 15:33:28 ----D---- C:\Programme\Gemeinsame Dateien\System 2009-09-19 15:32:24 ----D---- C:\WINDOWS\system32\oobe 2009-09-19 15:19:27 ----D---- C:\WINDOWS\system32\ReinstallBackups 2009-09-19 14:42:27 ----D---- C:\WINDOWS\Debug 2009-09-19 14:30:02 ----D---- C:\Programme\ICQ 2009-09-19 14:27:05 ----D---- C:\WINDOWS\system32\ZoneLabs 2009-09-19 14:27:05 ----D---- C:\WINDOWS\Internet Logs 2009-09-19 14:21:07 ----D---- C:\Programme\Lavasoft 2009-09-19 13:22:18 ----A---- C:\WINDOWS\imsins.BAK 2009-09-19 13:15:26 ----SHD---- C:\System Volume Information 2009-09-19 13:07:26 ----RASH---- C:\boot.ini 2009-09-19 13:05:29 ----D---- C:\WINDOWS\system32\mui 2009-09-19 13:04:08 ----D---- C:\WINDOWS\Media 2009-09-19 12:49:07 ----D---- C:\WINDOWS\system32\1031 2009-09-19 12:49:06 ----RD---- C:\WINDOWS\Web 2009-09-19 12:48:23 ----RASH---- C:\NTDETECT.COM 2009-09-19 12:29:19 ----D---- C:\Dokumente und Einstellungen ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656] R2 CdaC15BA;CdaC15BA; \??\C:\WINDOWS\System32\drivers\CDAC15BA.SYS [] R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-14 88192] R2 PfModNT;PfModNT; \??\C:\WINDOWS\System32\drivers\PfModNT.sys [] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800] R3 catchme;catchme; \??\C:\cfix\catchme.sys [] R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952] R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824] R3 Ptserial;W2K Pctel Serial Device Driver; C:\WINDOWS\System32\DRIVERS\ptserial.sys [2002-06-06 136687] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 S3Psddr;S3Psddr; C:\WINDOWS\System32\DRIVERS\s3gnbm.sys [2002-09-12 158464] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 VIAIRDA;VIA Infrared Device Driver; C:\WINDOWS\System32\DRIVERS\viairda.sys [2001-12-06 24244] R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2002-07-25 59264] S1 lannui;LAN MSFW adapter; \??\C:\WINDOWS\System32\lannui.sys [] S1 xdrve9d;IPv6 BT converter; \??\C:\WINDOWS\System32\xdrve9d.sys [] S2 lanmui;LAN FW adapter; \??\C:\WINDOWS\System32\lannui.sys [] S3 ASFWHide;ASFWHide; \??\C:\DOKUME~1\Standard\LOKALE~1\Temp\ASFWHide [] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-29 12288] S3 MSIRCOMM;Microsoft IR Communications Driver; C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys [2008-04-14 22016] S3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\System32\DRIVERS\SynTP.sys [2002-06-15 259376] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-08-24 392824] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\WINDOWS\System32\drivers\CDAC11BA.EXE [2005-01-03 39936] R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\System32\CTsvcCDA.EXE [1999-12-13 44032] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] -----------------EOF----------------- =========================================================== Viele Grüße und vielen Dank für Eure Hilfe Bernd |
|
|
||
04.10.2009, 22:48
Moderator
Beiträge: 5694 |
#7
Zitat - der erste Schritt mit dem NT-Service ging nicht. Habe daherBitte arbeite NUR nach Anleitung. Wenn Du das falsche fixt, dann kann unter Umständen nichts mehr gehen. Zitat - Combofix fand keine Wiederherstellungskonsole und ich konnte auch keineWie kein Intrnetvebindung??? Ich dachte nur FW geht nicht?? Du hast hier wirklich was ganz böses drauf und zwar einen Haxdoor Rootkit: http://www.bleepingcomputer.com/startups/xdrve9d.sys-20838.html http://www.f-secure.com/v-descs/haxdoor.shtml Zitat the backdoor can steal the following info:Für die weitere Reinigung: >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Starte Avenger erneut, und verwende folgendes Script: Zitat drivers to disable:>> Was ist das für eine neue Datei: C:\temp\Standard.exe >> Wende AviraRootkitscanner an: http://virus-protect.org/artikel/tools/aviraantirootkit.html >> Rootkitscan mit RootRepeal >Gehe hierhin, scrolle runter und downloade RootRepeal.zip. >Entpacke die Datei auf Deinen Desktop. >Doppelklicke die RootRepeal.exe, um den Scanner zu starten. >Klicke auf den Reiter Report und dann auf den Button Scan. >Mache einen Haken bei den folgenden Elementen und klicke Ok. Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. >> Installiere Dir das neue Avira9 und stelle es ein wie beschrieben. http://www.pctipp.ch/index.cfm?pid=1316&pk=47082 Nun scanne (Rootkitscan ebenfalls anwählen) und poste das Log. >> Geht FW wieder? Gruss Swiss |
|
|
||
05.10.2009, 20:23
...neu hier
Themenstarter Beiträge: 10 |
#8
Zitat Bitte arbeite NUR nach Anleitung. Wenn Du das falsche fixt, dann kann unter Umständen nichts mehr gehen.Tschuldigung, gelobe Besserung :-) Zitat Wie kein Intrnetvebindung???Ja, ich habe das Laptop physisch nicht am Netz und möchte es aus Sicherheitsgründen (noch) nicht anschließen. Zitat Ich dachte nur FW geht nicht??Korrekt, der Dialog zum FW aktivieren war 'ausgegraut'. Nach der letzten Anleitung (vom 3.10.) war die FW allerdings bereits wieder aktiviert. Ich mache mich gleich an die von Dir beschriebenen weiteren Schritte und melde mich dann. Viele Grüße Bernd |
|
|
||
05.10.2009, 20:26
...neu hier
Themenstarter Beiträge: 10 |
#9
Zitat Was ist das für eine neue Datei:Die Datei kenne ich auch nicht. Ich hatte 'C:\temp\ selbst neu angelegt und nur die Viren- und Malwarescanner, sowie die Logs darin. Das muss bei der Reinigungsaktion entstanden sein. Soll ich das Ding jemandem zur Analyse senden? Ach ja, 'Standard' ist der Benutzername, mit dem ich als Admin arbeite. Die Datei hat das Icon von HijackThis und ist m.E. in dem Zusammenhang entstanden, als RSIT HijackThis aufgerufen hat. VG Bernd Dieser Beitrag wurde am 05.10.2009 um 22:27 Uhr von Bernde editiert.
|
|
|
||
06.10.2009, 03:22
Moderator
Beiträge: 5694 |
#10
Ja dann ist alles klar Kannst Du ignorieren und mal belassen. Arbeite einfach den Rest ab.
Gruss Swiss |
|
|
||
06.10.2009, 06:37
...neu hier
Themenstarter Beiträge: 10 |
#11
Guten morgen Swiss,
anbei meine Logs: =========================================================== ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2009/10/05 22:33 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xF74FC000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xFA3F4000 Size: 8192 File Visible: No Signed: - Status: - Name: qspsb.sys Image Path: qspsb.sys Address: 0xF9EAC000 Size: 61440 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xF2AED000 Size: 49152 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: C:\hiberfil.sys Status: Locked to the Windows API! SSDT ------------------- #: 041 Function Name: NtCreateKey Status: Hooked by "<unknown>" at address 0xfa5e9406 #: 053 Function Name: NtCreateThread Status: Hooked by "<unknown>" at address 0xfa5e93fc #: 063 Function Name: NtDeleteKey Status: Hooked by "<unknown>" at address 0xfa5e940b #: 065 Function Name: NtDeleteValueKey Status: Hooked by "<unknown>" at address 0xfa5e9415 #: 098 Function Name: NtLoadKey Status: Hooked by "<unknown>" at address 0xfa5e941a #: 122 Function Name: NtOpenProcess Status: Hooked by "<unknown>" at address 0xfa5e93e8 #: 128 Function Name: NtOpenThread Status: Hooked by "<unknown>" at address 0xfa5e93ed #: 193 Function Name: NtReplaceKey Status: Hooked by "<unknown>" at address 0xfa5e9424 #: 204 Function Name: NtRestoreKey Status: Hooked by "<unknown>" at address 0xfa5e941f #: 247 Function Name: NtSetValueKey Status: Hooked by "<unknown>" at address 0xfa5e9410 #: 257 Function Name: NtTerminateProcess Status: Hooked by "<unknown>" at address 0xfa5e93f7 ==EOF== =========================================================== AV9-Log habe ich als Datei angehängt. Viele Grüße Bernd |
|
|
||
06.10.2009, 18:40
Moderator
Beiträge: 5694 |
#12
>>
Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) qspsb in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> Neues RSIT Log Schließe alle Fenster und Programme inkl. Browser. Lösche C:\rsit\log.txt und C:\rsit\info.txt manuell. Doppelklicke die rsit.exe auf Deinem Desktop, um neue Logfiles zu erstellen. Bitte poste den Inhalt folgender Logs hier in den Thread: C:\rsit\log.txt und C:\rsit\info.txt. >> mache einen Onlinescan mit eset + poste den report http://virus-protect.org/artikel/tools/eset-nod.html Gruss Swiss |
|
|
||
07.10.2009, 22:11
...neu hier
Themenstarter Beiträge: 10 |
#13
Hallo,
anbei die gewünschten Logs: ========================================================== Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.10.2009 20:55:31 for strings: ; 'qspsb' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... ==========================================================Logfile of random's system information tool 1.06 (written by random/random) Run by Standard at 2009-10-06 20:58:24 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 4 GB (36%) free of 12 GB Total RAM: 223 MB (34% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:58:38, on 06.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\System32\svchost.exe C:\temp\RSIT.exe C:\temp\Standard.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [VTPreset] VTPreset.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE -- End of file - 4067 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 37808] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2006-10-17 2141248] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "PCTVOICE"=C:\WINDOWS\system32\pctspk.exe [2002-03-10 163840] "NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe [2001-07-09 155648] "SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2002-06-14 126976] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2002-06-14 544768] "HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe [2003-03-11 172032] "VTPreset"=C:\WINDOWS\system32\VTPreset.exe [2004-02-24 45056] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2005-04-03 180269] "Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows auto update] msblast.exe [] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*isabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======List of files/folders created in the last 1 months====== 2009-10-05 22:37:44 ----A---- C:\RootRepeal report 10-05-09 (22-37-44).txt 2009-10-05 22:24:49 ----D---- C:\Programme\Avira 2009-10-05 22:24:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-10-05 22:17:04 ----D---- C:\Avenger 2009-10-05 22:17:04 ----A---- C:\avenger.txt 2009-10-05 22:13:02 ----SD---- C:\cfix 2009-10-05 22:11:50 ----SHD---- C:\RECYCLER 2009-10-05 22:11:27 ----A---- C:\WINDOWS\system32\CF26490.exe 2009-10-04 21:19:15 ----D---- C:\rsit 2009-10-04 21:16:20 ----D---- C:\WINDOWS\temp 2009-10-04 20:46:34 ----D---- C:\WINDOWS\ERDNT 2009-10-01 19:52:32 ----D---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Malwarebytes 2009-10-01 19:52:17 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-01 19:52:16 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-09-29 21:20:17 ----D---- C:\temp 2009-09-19 16:08:07 ----D---- C:\WINDOWS\Prefetch 2009-09-19 15:50:51 ----N---- C:\WINDOWS\system32\msxml6r.dll 2009-09-19 15:50:48 ----N---- C:\WINDOWS\system32\msxml6.dll 2009-09-19 15:49:07 ----N---- C:\WINDOWS\system32\aaclient.dll 2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\bitsprx4.dll 2009-09-19 15:49:00 ----N---- C:\WINDOWS\system32\azroles.dll 2009-09-19 15:48:58 ----N---- C:\WINDOWS\system32\credssp.dll 2009-09-19 15:48:57 ----N---- C:\WINDOWS\system32\dhcpqec.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3gpclnt.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3dlg.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3cfg.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dot3api.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsroam.dll 2009-09-19 15:48:56 ----N---- C:\WINDOWS\system32\dimsntfy.dll 2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3ui.dll 2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3svc.dll 2009-09-19 15:48:55 ----N---- C:\WINDOWS\system32\dot3msm.dll 2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eappcfg.dll 2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapp3hst.dll 2009-09-19 15:48:53 ----N---- C:\WINDOWS\system32\eapolqec.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapsvc.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapqec.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappprxy.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eapphost.dll 2009-09-19 15:48:52 ----N---- C:\WINDOWS\system32\eappgnui.dll 2009-09-19 15:48:43 ----N---- C:\WINDOWS\system32\kbdbhc.dll 2009-09-19 15:48:42 ----N---- C:\WINDOWS\system32\kbdiultn.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\l2gpstore.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kmsvc.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdpash.dll 2009-09-19 15:48:41 ----N---- C:\WINDOWS\system32\kbdnepr.dll 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcperf.exe 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcfxcommon.dll 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\mmcex.dll 2009-09-19 15:48:38 ----N---- C:\WINDOWS\system32\microsoft.managementconsole.dll 2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\msshavmsg.dll 2009-09-19 15:48:35 ----N---- C:\WINDOWS\system32\mssha.dll 2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napstat.exe 2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napmontr.dll 2009-09-19 15:48:34 ----N---- C:\WINDOWS\system32\napipsec.dll 2009-09-19 15:48:31 ----N---- C:\WINDOWS\system32\onex.dll 2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\qagent.dll 2009-09-19 15:48:29 ----N---- C:\WINDOWS\system32\photometadatahandler.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\rasqec.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qutil.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qcliprov.dll 2009-09-19 15:48:28 ----N---- C:\WINDOWS\system32\qagentrt.dll 2009-09-19 15:48:27 ----N---- C:\WINDOWS\system32\rhttpaa.dll 2009-09-19 15:48:26 ----N---- C:\WINDOWS\system32\setupn.exe 2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\xpsp3res.dll 2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tspkg.dll 2009-09-19 15:48:16 ----N---- C:\WINDOWS\system32\tsgqec.dll 2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\verclsid.exe 2009-09-19 15:48:15 ----N---- C:\WINDOWS\system32\tzchange.exe 2009-09-19 15:48:13 ----N---- C:\WINDOWS\system32\windowscodecs.dll 2009-09-19 15:48:12 ----N---- C:\WINDOWS\system32\windowscodecsext.dll 2009-09-19 15:48:11 ----N---- C:\WINDOWS\system32\wlanapi.dll 2009-09-19 15:48:10 ----N---- C:\WINDOWS\system32\wmphoto.dll 2009-09-19 15:48:04 ----N---- C:\WINDOWS\system32\xmllite.dll 2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\de-de 2009-09-19 15:47:38 ----D---- C:\WINDOWS\l2schemas 2009-09-19 15:47:37 ----D---- C:\WINDOWS\system32\de 2009-09-19 15:25:02 ----D---- C:\WINDOWS\network diagnostic 2009-09-19 15:19:49 ----A---- C:\WINDOWS\004950_.tmp 2009-09-19 13:16:32 ----D---- C:\WINDOWS\SoftwareDistribution 2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\proxycfg.exe 2009-09-19 13:05:36 ----N---- C:\WINDOWS\system32\logman.exe 2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2dvaa.dll 2009-09-19 13:04:58 ----N---- C:\WINDOWS\system32\ati2cqag.dll 2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati3d1ag.dll 2009-09-19 13:04:57 ----N---- C:\WINDOWS\system32\ati2dvag.dll 2009-09-19 13:04:56 ----N---- C:\WINDOWS\system32\ati3duag.dll 2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\auditusr.exe 2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativvaxx.dll 2009-09-19 13:04:55 ----N---- C:\WINDOWS\system32\ativtmxx.dll 2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\btpanui.dll 2009-09-19 13:04:54 ----N---- C:\WINDOWS\system32\blastcln.exe 2009-09-19 13:04:53 ----N---- C:\WINDOWS\system32\cmsetacl.dll 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fwcfg.dll 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fsquirt.exe 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltmc.exe 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\fltlib.dll 2009-09-19 13:04:50 ----N---- C:\WINDOWS\system32\extmgr.dll 2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\ieencode.dll 2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\httpapi.dll 2009-09-19 13:04:49 ----N---- C:\WINDOWS\system32\hsfcisp2.dll 2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_qc.dll 2009-09-19 13:04:47 ----N---- C:\WINDOWS\system32\ir50_32.dll 2009-09-19 13:04:46 ----N---- C:\WINDOWS\system32\ir50_qcx.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsno.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdsmsfi.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdno1.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt48.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmlt47.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdmaori.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinmal.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinben.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdinbe1.dll 2009-09-19 13:04:45 ----N---- C:\WINDOWS\system32\kbdfi1.dll 2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\mdmxsdk.dll 2009-09-19 13:04:44 ----N---- C:\WINDOWS\system32\kbdukx.dll 2009-09-19 13:04:43 ----N---- C:\WINDOWS\system32\msdadiag.dll 2009-09-19 13:04:41 ----N---- C:\WINDOWS\system32\mtxparhd.dll 2009-09-19 13:04:39 ----N---- C:\WINDOWS\system32\nv4_disp.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pnetsh.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgraph.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2pgasvc.dll 2009-09-19 13:04:38 ----N---- C:\WINDOWS\system32\p2p.dll 2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\powercfg.exe 2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\pnrpnsp.dll 2009-09-19 13:04:37 ----N---- C:\WINDOWS\system32\p2psvc.dll 2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\slcoinst.dll 2009-09-19 13:04:36 ----N---- C:\WINDOWS\system32\sdhcinst.dll 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\smbinst.exe 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slserv.exe 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slrundll.exe 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slgen.dll 2009-09-19 13:04:35 ----N---- C:\WINDOWS\system32\slextspk.dll 2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\w3ssl.dll 2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\twext.dll 2009-09-19 13:04:33 ----N---- C:\WINDOWS\system32\strmfilt.dll 2009-09-19 13:04:31 ----N---- C:\WINDOWS\system32\winshfhc.dll 2009-09-19 13:04:25 ----N---- C:\WINDOWS\system32\wscntfy.exe 2009-09-19 13:04:25 ----A---- C:\WINDOWS\system32\wscsvc.dll 2009-09-19 13:04:24 ----N---- C:\WINDOWS\system32\wuapi.dll 2009-09-19 13:04:23 ----N---- C:\WINDOWS\system32\wuauclt1.exe 2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wucltui.dll 2009-09-19 13:04:22 ----N---- C:\WINDOWS\system32\wuaueng1.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprovi.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\xmlprov.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\system32\wuweb.dll 2009-09-19 13:04:21 ----N---- C:\WINDOWS\slrundll.exe 2009-09-19 13:04:21 ----A---- C:\WINDOWS\system32\wups.dll 2009-09-19 13:04:14 ----D---- C:\WINDOWS\peernet 2009-09-19 13:04:08 ----D---- C:\WINDOWS\provisioning 2009-09-19 12:56:19 ----D---- C:\WINDOWS\ServicePackFiles 2009-09-19 12:46:46 ----A---- C:\WINDOWS\002176_.tmp 2009-09-19 12:46:19 ----A---- C:\WINDOWS\system32\spupdsvc.exe 2009-09-19 12:39:52 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2009-09-19 12:39:45 ----D---- C:\WINDOWS\EHome 2009-09-19 08:01:44 ----A---- C:\WINDOWS\system32\MFC71.dll 2009-09-19 08:01:29 ----D---- C:\Programme\Alwil Software ======List of files/folders modified in the last 1 months====== 2009-10-06 20:49:49 ----D---- C:\WINDOWS\system32\CatRoot2 2009-10-06 06:33:20 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-10-06 06:18:09 ----D---- C:\WINDOWS 2009-10-05 22:33:12 ----D---- C:\WINDOWS\system32\drivers 2009-10-05 22:25:35 ----HD---- C:\WINDOWS\inf 2009-10-05 22:24:49 ----RD---- C:\Programme 2009-10-05 22:24:06 ----SHD---- C:\WINDOWS\Installer 2009-10-05 22:24:06 ----D---- C:\WINDOWS\WinSxS 2009-10-05 22:24:04 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2009-10-05 22:13:26 ----SHD---- C:\System Volume Information 2009-10-05 22:13:26 ----D---- C:\WINDOWS\system32\Restore 2009-10-05 22:13:10 ----D---- C:\WINDOWS\system32 2009-10-04 21:11:46 ----A---- C:\WINDOWS\system.ini 2009-10-04 21:08:36 ----D---- C:\WINDOWS\system32\config 2009-10-04 21:06:46 ----D---- C:\WINDOWS\system 2009-10-04 21:02:24 ----D---- C:\WINDOWS\AppPatch 2009-10-04 21:02:22 ----D---- C:\Programme\Gemeinsame Dateien 2009-10-04 20:52:51 ----SD---- C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Microsoft 2009-09-29 20:26:16 ----A---- C:\WINDOWS\ntbtlog.txt 2009-09-19 16:38:41 ----A---- C:\WINDOWS\OEWABLog.txt 2009-09-19 16:37:28 ----A---- C:\WINDOWS\setuplog.txt 2009-09-19 16:10:07 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-09-19 16:07:14 ----D---- C:\WINDOWS\system32\Setup 2009-09-19 16:07:12 ----D---- C:\WINDOWS\system32\wbem 2009-09-19 16:07:09 ----RSD---- C:\WINDOWS\Fonts 2009-09-19 16:06:23 ----D---- C:\WINDOWS\security 2009-09-19 16:01:21 ----D---- C:\WINDOWS\system32\CatRoot 2009-09-19 15:51:01 ----D---- C:\Programme\Messenger 2009-09-19 15:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-09-19 15:50:42 ----D---- C:\Programme\Windows Media Player 2009-09-19 15:50:37 ----D---- C:\WINDOWS\Help 2009-09-19 15:49:31 ----D---- C:\WINDOWS\ime 2009-09-19 15:48:02 ----D---- C:\WINDOWS\system32\usmt 2009-09-19 15:47:40 ----D---- C:\Programme\Internet Explorer 2009-09-19 15:47:35 ----D---- C:\WINDOWS\system32\bits 2009-09-19 15:47:34 ----D---- C:\Programme\Movie Maker 2009-09-19 15:34:10 ----D---- C:\WINDOWS\system32\npp 2009-09-19 15:34:06 ----D---- C:\WINDOWS\msagent 2009-09-19 15:34:00 ----D---- C:\WINDOWS\srchasst 2009-09-19 15:33:57 ----D---- C:\Programme\NetMeeting 2009-09-19 15:33:52 ----D---- C:\WINDOWS\system32\Com 2009-09-19 15:33:40 ----D---- C:\Programme\Windows NT 2009-09-19 15:33:39 ----D---- C:\Programme\Outlook Express 2009-09-19 15:33:28 ----D---- C:\Programme\Gemeinsame Dateien\System 2009-09-19 15:32:24 ----D---- C:\WINDOWS\system32\oobe 2009-09-19 15:19:27 ----D---- C:\WINDOWS\system32\ReinstallBackups 2009-09-19 14:42:27 ----D---- C:\WINDOWS\Debug 2009-09-19 14:30:02 ----D---- C:\Programme\ICQ 2009-09-19 14:27:05 ----D---- C:\WINDOWS\system32\ZoneLabs 2009-09-19 14:27:05 ----D---- C:\WINDOWS\Internet Logs 2009-09-19 14:21:07 ----D---- C:\Programme\Lavasoft 2009-09-19 13:22:18 ----A---- C:\WINDOWS\imsins.BAK 2009-09-19 13:07:26 ----RASH---- C:\boot.ini 2009-09-19 13:05:29 ----D---- C:\WINDOWS\system32\mui 2009-09-19 13:04:08 ----D---- C:\WINDOWS\Media 2009-09-19 12:49:07 ----D---- C:\WINDOWS\system32\1031 2009-09-19 12:49:06 ----RD---- C:\WINDOWS\Web 2009-09-19 12:48:23 ----RASH---- C:\NTDETECT.COM 2009-09-19 12:29:19 ----D---- C:\Dokumente und Einstellungen ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856] R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656] R2 CdaC15BA;CdaC15BA; \??\C:\WINDOWS\System32\drivers\CDAC15BA.SYS [] R2 irda;IrDA-Protokoll; C:\WINDOWS\System32\DRIVERS\irda.sys [2008-04-14 88192] R2 PfModNT;PfModNT; \??\C:\WINDOWS\System32\drivers\PfModNT.sys [] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800] R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952] R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824] R3 Ptserial;W2K Pctel Serial Device Driver; C:\WINDOWS\System32\DRIVERS\ptserial.sys [2002-06-06 136687] R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\System32\DRIVERS\rasirda.sys [2001-08-17 19584] R3 S3Psddr;S3Psddr; C:\WINDOWS\System32\DRIVERS\s3gnbm.sys [2002-09-12 158464] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 VIAIRDA;VIA Infrared Device Driver; C:\WINDOWS\System32\DRIVERS\viairda.sys [2001-12-06 24244] R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2002-07-25 59264] S3 ASFWHide;ASFWHide; \??\C:\DOKUME~1\Standard\LOKALE~1\Temp\ASFWHide [] S3 catchme;catchme; \??\C:\cfix\catchme.sys [] S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-14 10368] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-29 12288] S3 MSIRCOMM;Microsoft IR Communications Driver; C:\WINDOWS\System32\DRIVERS\MSIRCOMM.sys [2008-04-14 22016] S3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\System32\DRIVERS\SynTP.sys [2002-06-15 259376] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-14 15104] S3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S3 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-08-24 392824] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\WINDOWS\System32\drivers\CDAC11BA.EXE [2005-01-03 39936] R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\System32\CTsvcCDA.EXE [1999-12-13 44032] R2 Irmon;Infrarotüberwachung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] -----------------EOF----------------- ==========================================================info.txt logfile of random's system information tool 1.06 2009-10-06 20:58:41 ======Uninstall list====== -->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5CDDF96A-BC34-4D72-9ABA-E1FFF0C39977}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x7 /remove -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7 -->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x7 /remove -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Acrobat 5.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll" Adobe Flash Player 9 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete AquaSoft DiaShow XP-->MsiExec.exe /I{FA4324A3-287B-4F77-8641-C1985758A15B} Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE Cda Product Service - shared component-->C:\WINDOWS\CdaC13BA.EXE /uninstall CDex extraction audio-->"C:\Programme\CDex_170b2\uninstall.exe" Creative MediaSource-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{56F3E1FF-54FE-4384-A153-6CCABA097814}\SETUP.EXE" -l0x7 /remove Defenza-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{21166ACF-FEB8-413D-B517-378D806E303D}\Setup.exe" -l0x9 Fritz for Fun 4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8BB317F1-3370-4E50-97F6-B34FC6612EA2}\Setup.exe" -l0x7 Google Earth-->MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B} Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar2.dll" HijackThis 2.0.2-->"C:\temp\HijackThis.exe" /uninstall HSP56 MR Drivers-->ptuninst.exe ICQ-->C:\PROGRA~1\ICQ\ICQUninstall.EXE KRISTAL Audio Engine-->C:\Programme\Kreatives.org\KRISTAL Audio Engine\Uninstall.exe Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework (German) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1031) Microsoft .NET Framework (German)-->MsiExec.exe /X{20F1FFAF-1BFF-450C-A8C7-03D1BE24B950} Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Works 2000-->MsiExec.exe /I{56364334-9530-11D2-BFFC-00C04FA329AA} Microsoft Works 2000-Setup-Start-->C:\Programme\Microsoft Works Suite 2000\Setup\Launcher.exe E:\ MuVo Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x7 /remove Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} OLYMPUS CAMEDIA Master 4.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{30BB4D60-81DB-11D5-BB77-00400536ABAC}\Setup.exe" CAMEDIA Master 4.03 PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall Programm zum entfernen des Windows Blaster Wurm-Virus(KB833330)-->C:\WINDOWS\$NtUninstallKB833330$\spuninst\spuninst.exe ProSavageDDR and Utilities-->C:\WINDOWS\IsUn0407.exe -fC:\Programme\S3Inc\P4M266\P4M266.isu QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0 S3Display-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display' S3Gamma2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2' S3Info2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2' S3Overlay-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay' Synaptics TouchPad-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall Trellian Button Fabrik-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Trellian\Trellian Button Fabrik\Uninst.isu" vanBasco's Karaoke Player-->C:\Programme\vanBasco's Karaoke Player\uninst.exe VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -f"C:\PROGRA~1\VIATEC~1\VIAAUD~1/Uninst.isu" WER WIRD MILLIONÄR - 2. EDITION-->MsiExec.exe /I{8FDD2C09-FF76-460B-9442-5E334D36D436} Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE} WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe Word in Works Suite-Add-In-->MsiExec.exe /I{5DC02603-6642-11D3-80AC-00C04F348408} =====HijackThis Backups===== O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing) [2009-10-04] O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe [2009-10-04] O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe [2009-10-04] O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe [2009-10-04] O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe [2009-10-04] O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe [2009-10-04] O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe [2009-10-04] O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe [2009-10-04] O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe [2009-10-04] O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe [2009-10-04] O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile [2009-10-04] O20 - Winlogon Notify: lanmui - lanmui.dll (file missing) [2009-10-04] O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe [2009-10-04] O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe [2009-10-04] O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe [2009-10-04] O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) [2009-10-04] O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing) [2009-10-04] O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing) [2009-10-04] ======Security center information====== AV: AntiVir Desktop (outdated) AV: Avira AntiVir PersonalEdition Classic (outdated) ======System event log====== Computer Name: COMPUTERNAME Event Code: 10 Message: Die digitale Audiowiedergabe wird von diesem Laufwerk nicht unterstützt. Record Number: 4266 Source Name: redbook Time Written: 20070626002730.000000+120 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 6005 Message: Der Ereignisprotokolldienst wurde gestartet. Record Number: 4265 Source Name: EventLog Time Written: 20070626002719.000000+120 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 6009 Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free. Record Number: 4264 Source Name: EventLog Time Written: 20070626002719.000000+120 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 6006 Message: Der Ereignisprotokolldienst wurde beendet. Record Number: 4263 Source Name: EventLog Time Written: 20070625141336.000000+120 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 8033 Message: Der Suchdienst hat eine Wahl auf dem Netzwerk "\Device\NetBT_Tcpip_{184D271A-9E48-45C0-BB0B-BB0286CF6780}" erzwungen, da der Hauptsuchdienst beendet wurde. Record Number: 4262 Source Name: BROWSER Time Written: 20070625141243.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: COMPUTERNAME Event Code: 105 Message: The service was started. Record Number: 3966 Source Name: Creative Service for CDROM Access Time Written: 20070319092402.000000+060 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 1002 Message: Die Shell wurde unerwartet beendet und Explorer.exe wurde neu gestartet. Record Number: 3965 Source Name: Winlogon Time Written: 20070318162352.000000+060 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 1000 Message: Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2800.1106, fehlgeschlagenes Modul shimgvw.dll, Version 6.0.2800.1106, Fehleradresse 0x00012eb7. Record Number: 3964 Source Name: Application Error Time Written: 20070318162340.000000+060 Event Type: Fehler User: Computer Name: COMPUTERNAME Event Code: 4137 Message: CI wurde für Katalog c:\system volume information\catalog.wci gestartet. Record Number: 3963 Source Name: Ci Time Written: 20070318161332.000000+060 Event Type: Informationen User: Computer Name: COMPUTERNAME Event Code: 4113 Message: Record Number: 3962 Source Name: H+BEDV AntiVir Time Written: 20070318160712.000000+060 Event Type: Warnung User: NT-AUTORITÄT\SYSTEM ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=0801 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- ========================================================== An den ESET-Report bin ich nicht rangekommen. Beim ersten Scan wurde ein Trojaner (Agent irgendwas) in der Datei free-wma-converter.exe im Verzeichnis Eigene Dateien des Benutzers 'Standard' gefunden, in Quarantäne geschoben und entfernt. Ein weiterer ESET-Scan brachte keine Funde. Viele Grüße Bernd |
|
|
||
09.10.2009, 00:23
Moderator
Beiträge: 5694 |
#14
Warst du einmal von Blaster Wurmbetroffen?
http://www.symantec.com/security_response/writeup.jsp?docid=2003-081315-0500-99 Führe Registry Search by Bobbi Flekman erneut aus: und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) msblast in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> Lade Dir das Microsoft® Windows®-Tool zum Entfernen bösartiger Software und führe es aus. Gruss Swiss |
|
|
||
27.10.2009, 22:24
...neu hier
Themenstarter Beiträge: 10 |
#15
So, endlich habe ich wieder Zeit...
Info am Rande: das Latop muss wohl eine ganze Zeit mit SP1 im Netz gewesen sein, bevor ich SP2 und SP3 installiert habe, daher die hohe Infektionsrate. Das Windows-Tool brachte keine Virenmeldung zutage. Hier das RegSearch-Protokoll bzgl. msblast: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 27.10.2009 19:54:43 for strings: ; 'msblast' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\windows auto update] "item"="msblast" "command"="msblast.exe" ; End Of The Log... |
|
|
||
ich habe gerade auf dem Laptop eines Freundes entdeckt, dass die Windows Firewall nicht aktivierbar ist. Die Popup-Box, die in den Einstellungen->Windows Firewall hochkommt, ist grau, d.h. inaktiv und ich kann nichts anklicken. Der Radiobutton steht auf "inaktiv".
Ich vermute einen Virus, Trojaner o.ä. und habe daher unten das Log von HijackThis angehängt.
Kann mir jemand von Euch helfen?
Besten Dank und viele Grüße
Bernd
===========================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:30, on 29.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\DOKUME~1\Standard\LOKALE~1\Temp\MegaHost.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [pefqy.exe] C:\WINDOWS\System32\pefqy.exe
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\v4.exe
O4 - HKLM\..\Run: [towsr.exe] C:\WINDOWS\System32\towsr.exe
O4 - HKLM\..\Run: [rbuly.exe] C:\WINDOWS\System32\rbuly.exe
O4 - HKLM\..\Run: [rckwz.exe] C:\WINDOWS\System32\rckwz.exe
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\System32\iesniff.exe
O4 - HKLM\..\Run: [bjpog.exe] C:\WINDOWS\System32\bjpog.exe
O4 - HKLM\..\Run: [rhgof.exe] C:\WINDOWS\System32\rhgof.exe
O4 - HKLM\..\Run: [ulmew.exe] C:\WINDOWS\System32\ulmew.exe
O4 - HKLM\..\Run: [zupoz.exe] C:\WINDOWS\System32\zupoz.exe
O4 - HKLM\..\Run: [inpwq.exe] C:\WINDOWS\System32\inpwq.exe
O4 - HKLM\..\Run: [zkzdo.exe] C:\WINDOWS\System32\zkzdo.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.66 85.255.112.61
O20 - Winlogon Notify: instcat - instcat.dll (file missing)
O20 - Winlogon Notify: lanmui - lanmui.dll (file missing)
O20 - Winlogon Notify: xtav3des - xtav3des.dll (file missing)
O22 - SharedTaskScheduler: gkj - {3E898EEA-FEFA-451b-ACF2-7561F94B1191} - C:\WINDOWS\System32\ert.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)
--
End of file - 5424 bytes