Trojan Win32/Alureon.BT

#1 Hallo,
ich brauch wieder mal euren Rat und eure Hilfe!

Es kommt eine Warnung und mein windows securety Center zeigt alle sparten als off an. Beim Versuch es zu aktivieren tut sich nichts. Dann bekomme ich eine windows-Defender-Warnung

Trojan: Win32/Alureon.BT

ebenfalls öffnet sich ständig ein Fenster der Security Center Alert.... leider alles auf englisch

z.B. Ne-Worm.Win32.Mytob.t
E-mail worm Win32.NetSky.q
Trojan-Downloader.JS.Multi.ca
Usw.
Dann auch andere virus ... Trojaner .... es geht laufend ...müßte jetzt hier 100 aufschreiben ...

Nur machen kann ich nix, es kommt dann nur eine Aufforderung eine Anti malwaresoftware herunder zu laden .... versteh ich zwar nicht aber geht auch nicht zu laden.

Mein AntiVirus funktioniert normal und zeigt keine Schädlinge an!?

Habe 2x versucht auf einem älteren Wiederherstellungspunkt zurück zusetzen aber es kommt danach die Meldung, dass dies teilweise fehlgeschlagen sei und die Meldungen kommen weiterhin.

Das Ganze fing an nachdem ich auf einer Seite für elektronische Geburtstagskarten war.
Eigentlich war ich da schon oft, wenn ich etwas versenden wollte.

Wie bekomm ich das wieder in Gang? Und muß ich Angst haben, das Daten mißbraucht werden?

Eigentlich hatte ich vor mein Notbook mal zu säubern und hatte vor die Recovery CD ein zu legen ....
Würde dann auch solche Trojaner verschwinden?


Ich versuch mal eure Anweisung zu befolgen und zu posten (bin aber extremer Leihe) ....

Viele Grüße
Chris

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3299
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

05.12.2009 11:20:06
mbam-log-2009-12-05 (11-20-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 90831
Laufzeit: 4 minute(s), 47 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
C:\Users\hetkala\AppData\Local\Temp\richtx64.exe (Rogue.Installer) -> Unloaded process successfully.
C:\Users\hetkala\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Active Security (Rogue.ActiveSecurity) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\richtx64.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\hetkala\AppData\Local\Temp\richtx64.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\dhdhtrdhdrtr5y (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\H8SRT6e3d.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\Low\dhdhtrdhdrtr5y (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\Low\H8SRT69bb.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\Low\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\Low\richtx64.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Users\hetkala\AppData\Local\Temp\Low\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.



ccqbffq

funktioniert aber sofort nach Beendigung des scans .... stürzt alles ab und ein bluesreen kommt ...

HijackThis (Entschuldigung ich kann kein englisch *m*)

unter HijackThis downloads:
sind 2 Links ? Welchen davon muß man nehmen oder beide?
Installer | Executable

#2 Hallo Christin77

Du bist auf ein FAKEANTIVIRENPROGRAMM reingefallen. Jegliche Meldungen von Viren dürften nicht der Wahrheit entsprechen.

Wende anstelle von HJT RSIT an. Da ist HJT schon dabei

RSIT (Systemdetails)

* Lade Random's System Information Tool (RSIT) von random/random herunter,

* speichere es auf dem Desktop.

* Starte mit Doppelklick die RSIT.exe

* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.

* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.

* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren: I accept.

* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.

* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.

* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und im Text-Editor geöffnet.

* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (= minimiert) hier

#3 Hallo Swiss,

danke für deine Antwort!
Oh,ein Fake..... deshalb findet Antivir nix.....


Logfile of random's system information tool 1.06 (written by random/random)
Run by hetkala at 2009-12-05 14:43:52
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 148 GB (66%) free of 225 GB
Total RAM: 2047 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:17, on 05.12.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\hetkala\Desktop\RSIT.exe
C:\Program Files\trend micro\hetkala.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1223491706892&h=09133b27264467fa31a009569c861571/&filename=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E494962-3C51-40C4-A85B-7B07C808EA03}: NameServer = 217.0.43.81 217.0.43.65
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6540 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-08-09 308832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-11-14 4706304]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]
"MGSysCtrl"=C:\Program Files\System Control Manager\MGSysCtrl.exe [2007-09-12 561152]
"Skytel"=C:\Windows\Skytel.exe [2007-10-11 1826816]
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]
"AnyDVD"=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe [2004-11-03 448000]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2009-08-09 185872]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-12-03 1394000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]
"MsnMsgr"=C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psfus]
C:\Windows\system32\psqlpwd.dll [2007-06-05 90112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
psqlpwd

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableCAD"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01145285-6627-11de-9f49-b6987fff9db5}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\VoGLIX.ExE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e3a35a0-ca5e-11de-9934-c62e045752b8}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\vOgLix.Exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4675417b-ae46-11dd-9ea6-001d924e9d76}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\Voglix.eXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62c81a6e-5e45-11dd-bd8d-001d924e9d76}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\voGLiX.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f4efd7-7cbd-11de-b7d3-f700191da77a}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\VogLix.eXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3746d97-7c5c-11de-b787-d8ade1da6c9c}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\V.ExE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc767b91-d181-11de-a8b4-d8f63a8049c6}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\VoGLIX.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e47204c5-4da7-11de-a866-a66bb131326e}]
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\VOglIX.eXE


======List of files/folders created in the last 1 months======

2009-12-05 14:43:54 ----D---- C:\Program Files\trend micro
2009-12-05 14:43:52 ----D---- C:\rsit
2009-12-05 11:10:50 ----D---- C:\Users\hetkala\AppData\Roaming\Malwarebytes
2009-12-05 11:10:43 ----D---- C:\ProgramData\Malwarebytes
2009-12-05 11:10:42 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-12-04 17:49:51 ----D---- C:\Program Files\AntiMalware
2009-12-02 19:39:19 ----A---- C:\Windows\ntbtlog.txt
2009-11-11 17:08:48 ----A---- C:\Windows\system32\WSDApi.dll

======List of files/folders modified in the last 1 months======

2009-12-05 14:43:58 ----D---- C:\Windows\Temp
2009-12-05 14:43:54 ----RD---- C:\Program Files
2009-12-05 11:45:23 ----D---- C:\Windows\System32
2009-12-05 11:45:23 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-12-05 11:37:59 ----D---- C:\Windows\Minidump
2009-12-05 11:37:46 ----D---- C:\Windows
2009-12-05 11:36:44 ----D---- C:\Windows\inf
2009-12-05 11:33:48 ----D---- C:\Windows\tracing
2009-12-05 11:10:45 ----D---- C:\Windows\system32\drivers
2009-12-05 11:10:43 ----HD---- C:\ProgramData
2009-12-05 08:42:28 ----SHD---- C:\System Volume Information
2009-12-04 18:46:01 ----D---- C:\Windows\rescache
2009-12-04 17:52:03 ----D---- C:\Windows\system32\Tasks
2009-12-04 17:40:37 ----D---- C:\Windows\winsxs
2009-12-04 17:38:46 ----D---- C:\Windows\system32\catroot2
2009-12-04 17:38:46 ----D---- C:\Windows\system32\catroot
2009-12-04 17:29:40 ----D---- C:\Windows\Prefetch
2009-12-04 17:24:40 ----D---- C:\Windows\AppPatch
2009-12-04 17:24:37 ----D---- C:\Program Files\Windows Mail
2009-12-04 17:24:33 ----D---- C:\Windows\system32\de-DE
2009-12-04 17:24:31 ----D---- C:\Program Files\Windows Media Player
2009-12-04 17:20:10 ----SHD---- C:\Windows\Installer
2009-12-04 17:19:33 ----RSD---- C:\Windows\assembly
2009-12-04 16:10:45 ----D---- C:\Windows\Tasks
2009-12-04 16:10:45 ----D---- C:\Windows\system32\spool
2009-12-04 16:10:45 ----D---- C:\Windows\system32\CodeIntegrity
2009-12-04 16:10:45 ----D---- C:\Users\hetkala\AppData\Roaming\XnView
2009-12-04 16:01:28 ----D---- C:\Windows\system32\Msdtc
2009-12-04 16:01:25 ----D---- C:\Windows\system32\wbem
2009-12-04 15:56:26 ----D---- C:\Windows\system32\config
2009-12-04 15:56:13 ----D---- C:\Windows\registration
2009-11-07 16:48:42 ----D---- C:\Windows\system32\WDI
2009-11-06 22:22:00 ----D---- C:\Program Files\Mozilla Firefox

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 Tosrfcom;Bluetooth RFCOMM; C:\Windows\System32\Drivers\tosrfcom.sys [2007-05-24 64000]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 ElbyCDIO;ElbyCDIO Driver; C:\Windows\System32\Drivers\ElbyCDIO.sys [2004-07-21 9856]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2007-02-24 39936]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-01-23 42496]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-03-21 37376]
R3 AF15BDA;AF9015 BDA Filter; C:\Windows\system32\DRIVERS\AF15BDA.sys [2007-12-06 327296]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2007-10-22 1161888]
R3 AnyDVD;AnyDVD; C:\Windows\System32\Drivers\AnyDVD.sys [2004-10-30 18048]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-05-30 735232]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-11-29 3351040]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-11-14 2016920]
R3 MGHwCtrl;MGHwCtrl; \??\C:\Windows\system32\drivers\MGHwCtrl.sys [2006-12-22 19456]
R3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
R3 RTHDMIAzAudService;Service for HDMI; C:\Windows\system32\drivers\RtHDMIV.sys [2007-05-14 135400]
R3 RTL8169;Realtek 8169-NT-Treiber; C:\Windows\system32\DRIVERS\Rtlh86.sys [2006-11-02 44544]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-19 88576]
R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys [2007-09-13 47120]
R3 tosporte;Bluetooth COM Port; C:\Windows\system32\DRIVERS\tosporte.sys [2006-10-10 41600]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\Windows\system32\drivers\mbamswissarmy.sys [2009-12-03 38224]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NVENETFD;NVIDIA nForce-Netzwerkcontrollertreiber; C:\Windows\system32\DRIVERS\nvm60x32.sys [2006-11-02 429056]
S3 tosrfbd;Bluetooth RFBUS; C:\Windows\system32\DRIVERS\tosrfbd.sys [2007-04-24 113920]
S3 tosrfbnp;Bluetooth RFBNEP; C:\Windows\System32\Drivers\tosrfbnp.sys [2006-11-20 36480]
S3 Tosrfhid;Bluetooth RFHID; C:\Windows\system32\DRIVERS\Tosrfhid.sys [2007-03-01 73728]
S3 tosrfnds;Bluetooth Personal Area Network; C:\Windows\system32\DRIVERS\tosrfnds.sys [2005-01-07 18612]
S3 TosRfSnd;Bluetooth Audio; C:\Windows\system32\drivers\tosrfsnd.sys [2007-01-22 53376]
S3 Tosrfusb;Bluetooth USB Controller; C:\Windows\system32\DRIVERS\tosrfusb.sys [2007-06-11 41856]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-19 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2007-10-22 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-11-29 626688]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2007-09-20 853288]
R2 NishService;SCM Driver Daemon; C:\Program Files\System Control Manager\edd.exe [2007-08-23 61440]
R2 ProtexisLicensing;ProtexisLicensing; C:\Windows\system32\PSIService.exe [2006-11-02 174656]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2007-02-25 125048]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2007-10-15 382248]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2008-08-08 307968]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------



info.txt logfile of random's system information tool 1.06 2009-12-05 14:44:24

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002}
Agere Systems HDA Modem-->agrsmdel
AnyDVD-->"C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Program Files\SlySoft\AnyDVD"
Atheros Driver Installation Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x7 -removeonly
AveoCap-->C:\Program Files\InstallShield Installation Information\{5B73A65F-746A-4D50-B694-BA6A8DF6BC76}\setup.exe -runfromtemp -l0x0009 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bluetooth Stack for Windows by Toshiba-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Brockhaus multimedial 2008-->MsiExec.exe /I{50D69C54-6963-49A6-B762-A9FF8F56AF0F}
ClearProg 1.5.0 Final-->C:\Program Files\ClearProg\Uninstall.exe
CorelDRAW Essential Edition 3-->"C:\Program Files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher" {ADDBE07D-95B8-4789-9C76-187FFF9624B4} "C:\Users\ADMINI~1\AppData\Local\Temp\CGSX3.log"
CorelDRAW Essential Edition 3-->MsiExec.exe /I{ADDBE07D-95B8-4789-9C76-187FFF9624B4}
DasTelefonbuch Deutschland-->C:\Program Files\TVG\DasTelefonbuch Deutschland\win32\uninstall.exe -"C:\Program Files\TVG\DasTelefonbuch Deutschland\asetup.log"
DE-->MsiExec.exe /I{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}
DivX Codec-->C:\Windows\unvise32.exe C:\Program Files\DivX\DivX Bundle.log
EuroRoute 2008-->"C:\Program Files\InstallShield Installation Information\{5F6A846C-1CBA-407F-839C-DC0204547F13}\setup.exe" -runfromtemp -l0x0007 -removeonly
GOM Player-->"C:\Program Files\GRETECH\GomPlayer\Uninstall.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Letstrade-->MsiExec.exe /X{E0091C29-DEE8-4B24-BF65-8C35B5940D77}
LIDL Fotoservice-->"C:\Program Files\LIDL Fotoservice\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.15)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSI DVB-T USB BDA Driver-->C:\Windows\afaunist.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 8 Essentials-->MsiExec.exe /X{E417A5F1-2406-4D4C-98C3-FC84D59A1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Office-Bibliothek 4.1-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{54971F17-9D16-4D43-95D6-3A86E3D20EDB}\setup.exe" -uninst
Protector Suite QL 5.6-->MsiExec.exe /I{A2289997-10A3-48F2-AA03-99180D761661}
QuickTime-->MsiExec.exe /I{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\setup.exe" -l0x7 anything
SopCast 3.0.3-->C:\Program Files\SopCast\uninst.exe
Stream Torrent 1.0-->"C:\Program Files\StreamTorrent 1.0\uninstall.exe"
System Control Manager-->C:\Program Files\InstallShield Installation Information\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Update Manager-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Veetle TV Player 0.9.6-->C:\Program Files\Veetle\VLC\uninstall.exe
Veetle TV Player 0.9.6-->C:\Windows\UninstVeetleTVPlayer.exe
VideoLAN VLC media player 0.8.6i-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
WISO Mein Geld 2008 Professional-->MsiExec.exe /I{D8D22773-14BF-4178-A683-3DBA515C2A26}
WordPerfect Office X3-->"C:\Program Files\WordPerfect Office X3\CabsDE\MSILauncher.exe" "{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}"
WordPerfect Office X3-->MsiExec.exe /I{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}
XnView 1.93.6-->"C:\Program Files\XnView\unins000.exe"

======Security center information======

AS: Windows-Defender (disabled)

======System event log======

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 219885
Source Name: Service Control Manager
Time Written: 20091205115935.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 10029
Message: DCOM hat den Dienst TrustedInstaller mit den Argumenten "" gestartet, um den Server auszuführen:
{752073A1-23F2-4396-85F0-8FDB879ED0ED}
Record Number: 219886
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20091205115953.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Ausgeführt".
Record Number: 219887
Source Name: Service Control Manager
Time Written: 20091205115955.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 219888
Source Name: Service Control Manager
Time Written: 20091205121001.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 219889
Source Name: Service Control Manager
Time Written: 20091205122333.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: hetkala-PC
Event Code: 20225
Message: CoID={CB0DDED7-AB6B-43AA-A18D-56D5323502EB}: Der Benutzer "hetkala-PC\hetkala" hat erfolgreich eine Verbindung mit dem Namen "T-Oline" mit dem RAS-Server hergestellt. Die Verbindungsparameter lauten:
TunnelIpAddress = 79.247.183.200
TunnelIpv6Address = fe80::
Dial-in User = 0000840419135200729495820001@t-online.de.
Record Number: 48130
Source Name: RasClient
Time Written: 20091205104102.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 3012
Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Record Number: 48131
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091205104520.000000-000
Event Type: Fehler
User:

Computer Name: hetkala-PC
Event Code: 3012
Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Record Number: 48132
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091205104520.000000-000
Event Type: Fehler
User:

Computer Name: hetkala-PC
Event Code: 3011
Message: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Record Number: 48133
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091205104520.000000-000
Event Type: Fehler
User:

Computer Name: hetkala-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 48134
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091205104523.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 80507
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091205134413.818092-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 80508
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091205134413.989692-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 80509
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091205134414.161292-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 80510
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091205134414.317292-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 80511
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091205134414.488892-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\GIS\Tools;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=6802
"NUMBER_OF_PROCESSORS"=2
"configsetroot"=%SystemRoot%\ConfigSetRoot
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------




Viele Grüße
Chris

#4 Du hast Dir was eingefangen über eine infizierten USB Stick oder Festplatte
Desinfizierung/Absicherung externer Medien:
Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Achtung: Das Programm wird aufgrund seines Verhaltens oft als Schadprogramm gemeldet. Dem ist nicht so, den Download also bitte zulassen!
Deaktiviere den Hintergrundwächter deines AVP. Schließe jetzt alle externe Datenträgeran Deinen Rechner an. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. Hinweis:

Zitat

Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.

>>>
Wende Combofix an und poste das Log:
http://virus-protect.org/artikel/tools/combofix.html

#5 Danke .... muß doch noch was fragen, was bedeutet
"Schließe jetzt alle externe Datenträgeran Deinen Rechner an" habe 4 USP Anschlüsse, mußich überall einen USP Stick daran stecken?

Und Hintergrundwächter? Antivir Guard deaktivieren?

Die Firewall von Vindows auch?

USP Stick ....kann gut sein.immer wenn ich von meinem Sohn einen bekam,klingelde mein Antivir.So das ich seit langem davon abstand nahm ....
Nun war ich im November im Urlaub, sohn war natürlich auch an meinem Rechner....auch 2USP sticks lagen daneben....meine Sicherungen. Als ich dort noch etwas drauf tun wollte, klingelte Antivir bei beiden .....das war vor dem Urlaub nicht.....
jaja angeblich hat er diese nicht in der Hand gehabt .... *bg* er hat aber auch eine externe festplatte, vielleicht hat er diese auch bei mir dran gehabt....

Seit dem Tag habe ich bei Antivir in quarantäne "TR/Pincav.jyt"

Eine frage dazu, sind diese jetzt als Sicherung (wichtige Fotos) noch zu gebrauchen? Wäre sehr schade wenn nicht....

#6 Ich meine alles USB-Sticks und externen Festplatten welche Du in letzter Zeit benutzt hast anschliessen an den Rechner.

Nein Firewall kannst Du anlassen. Sollte kein Problem sein. Avira kurzzeitig deaktivieren, danach aber wieder einschalten. Du kannst das System vom Netz nehmen wenn du diese Sachen deaktivierst.


Get IP

#5 Danke .... muß doch noch was fragen, was bedeutet
"Schließe jetzt alle externe Datenträgeran Deinen Rechner an" habe 4 USP Anschlüsse, mußich überall einen USP Stick daran stecken?

Und Hintergrundwächter? Antivir Guard deaktivieren?

Die Firewall von Vindows auch?

Zitat

USP Stick ....kann gut sein.immer wenn ich von meinem Sohn einen bekam,klingelde mein Antivir.So das ich seit langem davon abstand nahm ....
Nun war ich im November im Urlaub, sohn war natürlich auch an meinem Rechner....auch 2USP sticks lagen daneben....meine Sicherungen. Als ich dort noch etwas drauf tun wollte, klingelte Antivir bei beiden .....das war vor dem Urlaub nicht.....
jaja angeblich hat er diese nicht in der Hand gehabt .... *bg* er hat aber auch eine externe festplatte, vielleicht hat er diese auch bei mir dran gehabt....

Dann haben wir den Täter Ja genau diese USB Sticks und die Festplatte anschliessen und denn FlashDesinfector ausführen lassen.

Die Fotos auf dem USB Stick?

#7 USP-Stick .. ja, ich speichere meine ganzen fotos auf verschieden sticks .... wo macht man das sonst .... geht schneller als CD brennen



Hier der Scan:

ComboFix 09-12-04.05 - hetkala 05.12.2009 18:51.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2047.1254 [GMT 1:00]
ausgeführt von:: c:\users\hetkala\Desktop\ComboFix.exe
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-2355220395-792063500-2044446897-500
c:\$recycle.bin\S-1-5-21-66912665-3097568841-381030272-500
c:\program files\AntiMalware
c:\program files\ATI Technologies\ATI.ACE\Core-Static\atIAcmxx.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-05 bis 2009-12-05 ))))))))))))))))))))))))))))))
.

2009-12-05 18:01 . 2009-12-05 18:02 -------- d-----w- c:\users\hetkala\AppData\Local\temp
2009-12-05 18:01 . 2009-12-05 18:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-12-05 13:43 . 2009-12-05 13:44 -------- d-----w- c:\program files\trend micro
2009-12-05 13:43 . 2009-12-05 13:44 -------- d-----w- C:\rsit
2009-12-05 10:10 . 2009-12-05 10:10 -------- d-----w- c:\users\hetkala\AppData\Roaming\Malwarebytes
2009-12-05 10:10 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-05 10:10 . 2009-12-05 10:10 -------- d-----w- c:\programdata\Malwarebytes
2009-12-05 10:10 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-05 10:10 . 2009-12-05 10:10 4096 d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-11 16:08 . 2009-08-14 13:53 2035712 ----a-w- c:\windows\system32\win32k.sys
2009-11-11 16:08 . 2009-08-10 13:05 351232 ----a-w- c:\windows\system32\WSDApi.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-05 17:36 . 2006-11-02 15:33 680018 ----a-w- c:\windows\system32\perfh007.dat
2009-12-05 17:36 . 2006-11-02 15:33 142384 ----a-w- c:\windows\system32\perfc007.dat
2009-12-05 10:51 . 2008-07-12 20:21 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-12-04 16:24 . 2006-11-02 11:18 4096 d-----w- c:\program files\Windows Mail
2009-12-04 15:10 . 2008-08-08 18:30 4096 d-----w- c:\users\hetkala\AppData\Roaming\XnView
2009-11-05 22:13 . 2008-08-08 19:36 4096 d-----w- c:\users\hetkala\AppData\Roaming\ICQ
2009-11-02 19:42 . 2009-10-03 20:25 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-09-14 09:44 . 2009-10-15 00:26 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2009-09-10 15:21 . 2009-10-28 05:44 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-09-10 15:21 . 2009-10-28 05:44 310784 ----a-w- c:\windows\system32\unregmp2.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-09-10 14:35 2957312 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-09-10 14:35 2957312 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-09-12 561152]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-11-03 448000]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-08-09 185872]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-12-03 1394000]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-11-14 4706304]
"Skytel"="Skytel.exe" - c:\windows\SkyTel.exe [2007-10-11 1826816]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-8-2 2760704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-06-05 22:03 90112 ----a-w- c:\windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [19.08.2009 16:29 108289]
R3 MGHwCtrl;MGHwCtrl;c:\windows\System32\drivers\MGHwCtrl.sys [18.12.2007 14:18 19456]
S2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [18.12.2007 14:18 61440]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [05.12.2009 11:10 38224]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-12-05 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-08 07:58]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
IE: Öffnen mit WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\users\hetkala\AppData\Roaming\Mozilla\Firefox\Profiles\7ydblw2j.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Veetle\VLC\npvlc.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-RealJukebox 1.0 - c:\program files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
AddRemove-RealPlayer 6.0 - c:\program files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
AddRemove-_{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8} - c:\program files\WordPerfect Office X3\CabsDE\MSILauncher.exe {54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-05 19:01
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(700)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll
.
Zeit der Fertigstellung: 2009-12-05 19:06
ComboFix-quarantined-files.txt 2009-12-05 18:06

Vor Suchlauf: 7 Verzeichnis(se), 155.011.465.216 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 154.947.936.256 Bytes frei

- - End Of File - - 81B8D9CF6B5D11C9C33367E6FA6B37AC

#8 >>>
Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /u => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

>>>
Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Starte Malwarebytes AntiMalware und update zuerst (Reiter Update). Danach führe eine Fullscan aus und poste das Log.

>>>
Grundreinigung mit SUPERAntiSpyware
• Bitte lade Dir SUPERAntiSpyware Website herunter.
• Eine bebilderte Anleitung findest Du hier.
• Installiere das Programm.
• Überzeuge Dich davon, dass alle Anwendungen und Dein Webbrowser geschlossen sind.
• Klicke auf den 'Check for Updates'-Button.
• Wenn das Update beendet ist, schließe SUPERAntiSpyware.
• Lasse den Scan noch NICHT laufen!
• Öffne SUPERAntiSpyware und klicke auf den 'Scan your Computer'-Button.
• Setze ein Häkchen bei 'Perform Complete Scan', klicke nun auf "Weiter".
• Achte unbedingt darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf "Weiter".
• Klicke auf 'Finish', das bringt Dich wieder ins Hauptfenster.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf 'Preferences' und dann auf den 'Statistics/Logs'-Button klicken.
• Klicke auf das datierte Logfile, drücke auf 'View Log'. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

>>>
RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\log.txt und C:\rsit\info.txt manuell.
• Doppelklicke die rsit.exe auf Deinem Desktop, um neue Logfiles zu erstellen.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
C:\rsit\log.txt und C:\rsit\info.txt.

#9 Hallo und einen schönen 2. Advend heute!


Dasmit dem Entfernen:


Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /u => Enter drücken - damit wird Combofix komplett entfernt

klappt nicht, es fängt erneut an zu scannen und ich habe abgebrochen ... hoffe ist ok!?
Oder wird es dann nach dem Scan entfernt?

Viele Grüße
Chris

#10 Hmm... nein scannen sollte es eigentlich nicht. Bist Du sicher dass es scannt und nicht einfach deinstalliert??

Ansonsten lösche einfach vorerst C:\Qoobox. Den Rest erldeigen wir dann später

#11 Ja, das Fester ging auf und es stand genau as selbe wie beim scannen, es fing dann nach einer weile auch an 1. .... 2...3......4... da hab ich abgebrochen....



also in C löschen und dann weiter mit Malwarebytes' !?

#12 Genau einfach den Ordner Qoobox. Das ist die Quarantäne

Dann weiter im Text

#13 Ja den Cann mit Malwarebytes habe ich gemacht aber imOrdner Scan Bericte ist nur der bericht von gestern drin, auch 12 Objekte vom 05.12. in Quarantäne!?

Eine Infizierung hatte es beimlauf gemeldet:
C:\Program Files\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON)
da bin ich von diesem Fenster nicht wieder weg gekmmen und habe auf ignorieren getippt?

Dieses Programm ClearProg benutze ich überhaupt nicht, soll ich es löschen oder deinstallieren?

Mache jetzt das mit SUPERAntiSpyware ..... PS: das kostet 19,99 $ ? Ist das der richtige Link?

doch hier hab ich den Scan:


Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3303
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

06.12.2009 13:54:01
mbam-log-2009-12-06 (13-53-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 234319
Laufzeit: 48 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> No action taken.

#14 >>>
Start --> Systemsteuerung --> Programe:
Deinstalliere ClearProg 1.5.0 Final

>>>
Nimm für Superantispyware diese Anleitung:
http://board.protecus.de/t38113.htm

#15 So .... nach dem ich von anderen etwas (oder etwas mehr) abgelenkt wurde, habe ich vepasst den Bericht von
SUPERAntiSpyware zu kopieren .... (

einzig weiß ich noch, es waren 5 Objekte die gefunden wurden, alle mit dem Anfang:

C\users\hetkala\Roaming\\microsoft\windows\cookies\low\hetkala@ ..... txt


Hier nun dievon Rsit:


info.txt logfile of random's system information tool 1.06 2009-12-06 17:11:49

======Uninstall list======

-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002}
Agere Systems HDA Modem-->agrsmdel
Atheros Driver Installation Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x7 -removeonly
AveoCap-->C:\Program Files\InstallShield Installation Information\{5B73A65F-746A-4D50-B694-BA6A8DF6BC76}\setup.exe -runfromtemp -l0x0009 -removeonly
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bluetooth Stack for Windows by Toshiba-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Brockhaus multimedial 2008-->MsiExec.exe /I{50D69C54-6963-49A6-B762-A9FF8F56AF0F}
CorelDRAW Essential Edition 3-->MsiExec.exe /I{ADDBE07D-95B8-4789-9C76-187FFF9624B4}
DasTelefonbuch Deutschland-->C:\Program Files\TVG\DasTelefonbuch Deutschland\win32\uninstall.exe -"C:\Program Files\TVG\DasTelefonbuch Deutschland\asetup.log"
DE-->MsiExec.exe /I{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}
DivX Codec-->C:\Windows\unvise32.exe C:\Program Files\DivX\DivX Bundle.log
EuroRoute 2008-->"C:\Program Files\InstallShield Installation Information\{5F6A846C-1CBA-407F-839C-DC0204547F13}\setup.exe" -runfromtemp -l0x0007 -removeonly
GOM Player-->"C:\Program Files\GRETECH\GomPlayer\Uninstall.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Letstrade-->MsiExec.exe /X{E0091C29-DEE8-4B24-BF65-8C35B5940D77}
LIDL Fotoservice-->"C:\Program Files\LIDL Fotoservice\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.15)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSI DVB-T USB BDA Driver-->C:\Windows\afaunist.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 8 Essentials-->MsiExec.exe /X{E417A5F1-2406-4D4C-98C3-FC84D59A1031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Office-Bibliothek 4.1-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{54971F17-9D16-4D43-95D6-3A86E3D20EDB}\setup.exe" -uninst
Protector Suite QL 5.6-->MsiExec.exe /I{A2289997-10A3-48F2-AA03-99180D761661}
QuickTime-->MsiExec.exe /I{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\setup.exe" -l0x7 anything
SopCast 3.0.3-->C:\Program Files\SopCast\uninst.exe
Stream Torrent 1.0-->"C:\Program Files\StreamTorrent 1.0\uninstall.exe"
System Control Manager-->C:\Program Files\InstallShield Installation Information\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
TuneUp Utilities 2008-->MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Update Manager-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Veetle TV Player 0.9.6-->C:\Program Files\Veetle\VLC\uninstall.exe
Veetle TV Player 0.9.6-->C:\Windows\UninstVeetleTVPlayer.exe
VideoLAN VLC media player 0.8.6i-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Anmelde-Assistent-->MsiExec.exe /I{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
WISO Mein Geld 2008 Professional-->MsiExec.exe /I{D8D22773-14BF-4178-A683-3DBA515C2A26}
WordPerfect Office X3-->MsiExec.exe /I{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}
XnView 1.93.6-->"C:\Program Files\XnView\unins000.exe"

======Security center information======

AS: Windows-Defender (disabled)
AS: SUPERAntiSpyware (disabled)

======System event log======

Computer Name: hetkala-PC
Event Code: 10029
Message: DCOM hat den Dienst wercplsupport mit den Argumenten "" gestartet, um den Server auszuführen:
{0E9A7BB5-F699-4D66-8A47-B919F5B6A1DB}
Record Number: 221237
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20091206151117.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "Unterstützung in der Systemsteuerung unter Lösungen für Probleme" befindet sich jetzt im Status "Ausgeführt".
Record Number: 221238
Source Name: Service Control Manager
Time Written: 20091206151117.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "Unterstützung in der Systemsteuerung unter Lösungen für Probleme" befindet sich jetzt im Status "Beendet".
Record Number: 221239
Source Name: Service Control Manager
Time Written: 20091206151117.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 221240
Source Name: Service Control Manager
Time Written: 20091206151625.000000-000
Event Type: Informationen
User:

Computer Name: hetkala-PC
Event Code: 7036
Message: Dienst "Anwendungsinformationen" befindet sich jetzt im Status "Ausgeführt".
Record Number: 221241
Source Name: Service Control Manager
Time Written: 20091206161133.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: hetkala-PC
Event Code: 1
Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.
Record Number: 48504
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20091206150036.710407-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: hetkala-PC
Event Code: 3012
Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Record Number: 48505
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091206150330.000000-000
Event Type: Fehler
User:

Computer Name: hetkala-PC
Event Code: 3012
Message: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich.
Record Number: 48506
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091206150330.000000-000
Event Type: Fehler
User:

Computer Name: hetkala-PC
Event Code: 3011
Message: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Record Number: 48507
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091206150330.000000-000
Event Type: Fehler
User:

Computer Name: hetkala-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 48508
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20091206150333.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 81043
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091206161146.204007-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 81044
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091206161146.266407-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 81045
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091206161146.328807-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 81046
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091206161146.391207-000
Event Type: Überwachung gescheitert
User:

Computer Name: hetkala-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 81047
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091206161146.453607-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\GIS\Tools;C:\Program Files\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 104 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=6802
"NUMBER_OF_PROCESSORS"=2
"configsetroot"=%SystemRoot%\ConfigSetRoot
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------


Logfile of random's system information tool 1.06 (written by random/random)
Run by hetkala at 2009-12-06 17:11:40
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 149 GB (66%) free of 225 GB
Total RAM: 2047 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:11:47, on 06.12.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\conime.exe
C:\Users\hetkala\Desktop\RSIT.exe
C:\Program Files\trend micro\hetkala.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?e=1223491706892&h=09133b27264467fa31a009569c861571/&filename=jinstall-6u7-windows-i586-jc.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E494962-3C51-40C4-A85B-7B07C808EA03}: NameServer = 217.0.43.81 217.0.43.65
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 5786 bytes

======Scheduled tasks folder======

C:\Windows\tasks\1-Klick-Wartung.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-08-09 308832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-11-14 4706304]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]
"MGSysCtrl"=C:\Program Files\System Control Manager\MGSysCtrl.exe [2007-09-12 561152]
"Skytel"=C:\Windows\Skytel.exe [2007-10-11 1826816]
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2009-08-09 185872]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-12-03 1394000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]
"MsnMsgr"=C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\psfus]
C:\Windows\system32\psqlpwd.dll [2007-06-05 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=scecli
psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableCAD"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=FFFFFFFF
"NoDriveTypeAutoRun"=36
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-12-06 15:12:08 ----D---- C:\Users\hetkala\AppData\Roaming\SUPERAntiSpyware.com
2009-12-06 15:12:08 ----D---- C:\ProgramData\SUPERAntiSpyware.com
2009-12-06 09:12:32 ----SD---- C:\ComboFix
2009-12-05 19:06:32 ----SHD---- C:\$RECYCLE.BIN
2009-12-05 19:06:32 ----A---- C:\Windows\NeroDigital.ini
2009-12-05 19:06:28 ----D---- C:\Windows\temp
2009-12-05 18:42:16 ----A---- C:\Windows\zip.exe
2009-12-05 18:42:16 ----A---- C:\Windows\SWXCACLS.exe
2009-12-05 18:42:16 ----A---- C:\Windows\SWSC.exe
2009-12-05 18:42:16 ----A---- C:\Windows\SWREG.exe
2009-12-05 18:42:16 ----A---- C:\Windows\sed.exe
2009-12-05 18:42:16 ----A---- C:\Windows\PEV.exe
2009-12-05 18:42:16 ----A---- C:\Windows\NIRCMD.exe
2009-12-05 18:42:16 ----A---- C:\Windows\MBR.exe
2009-12-05 18:42:16 ----A---- C:\Windows\grep.exe
2009-12-05 18:42:10 ----D---- C:\Windows\ERDNT
2009-12-05 17:38:55 ----RAD---- C:\autorun.inf
2009-12-05 14:43:54 ----D---- C:\Program Files\trend micro
2009-12-05 14:43:52 ----D---- C:\rsit
2009-12-05 11:10:50 ----D---- C:\Users\hetkala\AppData\Roaming\Malwarebytes
2009-12-05 11:10:43 ----D---- C:\ProgramData\Malwarebytes
2009-12-05 11:10:42 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-12-02 19:39:19 ----A---- C:\Windows\ntbtlog.txt
2009-11-11 17:08:48 ----A---- C:\Windows\system32\WSDApi.dll

======List of files/folders modified in the last 1 months======

2009-12-06 17:11:47 ----D---- C:\Windows\Prefetch
2009-12-06 16:03:33 ----D---- C:\Windows\System32
2009-12-06 16:03:33 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-12-06 15:12:08 ----D---- C:\ProgramData
2009-12-06 15:09:19 ----SHD---- C:\System Volume Information
2009-12-06 14:59:40 ----D---- C:\Program Files\SlySoft
2009-12-06 14:59:35 ----D---- C:\Windows\system32\drivers
2009-12-06 14:58:21 ----RD---- C:\Program Files
2009-12-06 14:04:00 ----D---- C:\Windows\tracing
2009-12-05 19:06:32 ----D---- C:\Windows
2009-12-05 19:02:25 ----A---- C:\Windows\system.ini
2009-12-05 18:57:34 ----D---- C:\Windows\AppPatch
2009-12-05 18:57:33 ----D---- C:\Program Files\Common Files
2009-12-05 11:37:59 ----D---- C:\Windows\Minidump
2009-12-05 11:36:44 ----D---- C:\Windows\inf
2009-12-04 18:46:01 ----D---- C:\Windows\rescache
2009-12-04 17:52:03 ----D---- C:\Windows\system32\Tasks
2009-12-04 17:40:37 ----D---- C:\Windows\winsxs
2009-12-04 17:38:46 ----D---- C:\Windows\system32\catroot2
2009-12-04 17:38:46 ----D---- C:\Windows\system32\catroot
2009-12-04 17:24:37 ----D---- C:\Program Files\Windows Mail
2009-12-04 17:24:33 ----D---- C:\Windows\system32\de-DE
2009-12-04 17:24:31 ----D---- C:\Program Files\Windows Media Player
2009-12-04 17:20:10 ----SHD---- C:\Windows\Installer
2009-12-04 17:19:33 ----RSD---- C:\Windows\assembly
2009-12-04 16:10:45 ----D---- C:\Windows\Tasks
2009-12-04 16:10:45 ----D---- C:\Windows\system32\spool
2009-12-04 16:10:45 ----D---- C:\Windows\system32\CodeIntegrity
2009-12-04 16:10:45 ----D---- C:\Users\hetkala\AppData\Roaming\XnView
2009-12-04 16:01:28 ----D---- C:\Windows\system32\Msdtc
2009-12-04 16:01:25 ----D---- C:\Windows\system32\wbem
2009-12-04 15:56:26 ----D---- C:\Windows\system32\config
2009-12-04 15:56:13 ----D---- C:\Windows\registration
2009-11-07 16:48:42 ----D---- C:\Windows\system32\WDI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 SASDIFSV;SASDIFSV; \??\C:\Users\hetkala\AppData\Local\Temp\SAS_SelfExtract\SASDIFSV.SYS [2009-09-04 9968]
R1 SASKUTIL;SASKUTIL; \??\C:\Users\hetkala\AppData\Local\Temp\SAS_SelfExtract\SASKUTIL.sys [2009-09-04 74480]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 Tosrfcom;Bluetooth RFCOMM; C:\Windows\System32\Drivers\tosrfcom.sys [2007-05-24 64000]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2007-02-24 39936]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-01-23 42496]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-03-21 37376]
R3 AF15BDA;AF9015 BDA Filter; C:\Windows\system32\DRIVERS\AF15BDA.sys [2007-12-06 327296]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2007-10-22 1161888]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-05-30 735232]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-11-29 3351040]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-11-14 2016920]
R3 MGHwCtrl;MGHwCtrl; \??\C:\Windows\system32\drivers\MGHwCtrl.sys [2006-12-22 19456]
R3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
R3 RTHDMIAzAudService;Service for HDMI; C:\Windows\system32\drivers\RtHDMIV.sys [2007-05-14 135400]
R3 RTL8169;Realtek 8169-NT-Treiber; C:\Windows\system32\DRIVERS\Rtlh86.sys [2006-11-02 44544]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2008-01-19 88576]
R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys [2007-09-13 47120]
R3 tosporte;Bluetooth COM Port; C:\Windows\system32\DRIVERS\tosporte.sys [2006-10-10 41600]
S3 catchme;catchme; \??\C:\Users\hetkala\AppData\Local\Temp\catchme.sys [2009-12-06 31744]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NVENETFD;NVIDIA nForce-Netzwerkcontrollertreiber; C:\Windows\system32\DRIVERS\nvm60x32.sys [2006-11-02 429056]
S3 SASENUM;SASENUM; \??\C:\Users\hetkala\AppData\Local\Temp\SAS_SelfExtract\SASENUM.SYS []
S3 tosrfbd;Bluetooth RFBUS; C:\Windows\system32\DRIVERS\tosrfbd.sys [2007-04-24 113920]
S3 tosrfbnp;Bluetooth RFBNEP; C:\Windows\System32\Drivers\tosrfbnp.sys [2006-11-20 36480]
S3 Tosrfhid;Bluetooth RFHID; C:\Windows\system32\DRIVERS\Tosrfhid.sys [2007-03-01 73728]
S3 tosrfnds;Bluetooth Personal Area Network; C:\Windows\system32\DRIVERS\tosrfnds.sys [2005-01-07 18612]
S3 TosRfSnd;Bluetooth Audio; C:\Windows\system32\drivers\tosrfsnd.sys [2007-01-22 53376]
S3 Tosrfusb;Bluetooth USB Controller; C:\Windows\system32\DRIVERS\tosrfusb.sys [2007-06-11 41856]
S3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-19 134016]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-19 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2007-10-22 9216]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-11-29 626688]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2007-09-20 853288]
R2 NishService;SCM Driver Daemon; C:\Program Files\System Control Manager\edd.exe [2007-08-23 61440]
R2 ProtexisLicensing;ProtexisLicensing; C:\Windows\system32\PSIService.exe [2006-11-02 174656]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2007-02-25 125048]
R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe [2007-10-15 382248]
S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2008-08-08 307968]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------