Schönen guten Abend,

ich habe vor gut einer Woche mein bestelltes Dell Studio XPS 1340 erhalten.
Windows Vista 32-Bit-Betriebssystem
Intel Core 2 Duo CPU, P8600 2,4 GHz
NVIDIA GeForce 9500M (GF 9200MGS + GF 9400MG)

So weit so gut, eine Woche hat es getan was es sollte, dh. Office-Anwendungen, Poker, WinAmp und die Games FM 2009 sowie Assassins Creed.
Heute kommt ohne unmittelbaren Grund plötzlich ein Bluescreen, der mir berichtet, er müsse zu meines Laptops Sicherheit herunterfahren
Ich schaue dem gespannt zu und lasse ihn wieder hochbooten, mache daraufhin ein Screening mit dem vorinstallierten McAfee Security Center. Der meldet mir 2 entdeckte Trojaner der Marke "NTOSKRNL-HOOK", Entdeckungsname "Generic Rootkit.d!rootkit". Ich gucke also im Internet, was ist das denn überhaupt? In diesem moment erscheint erneut der Bluescreen, besagter Inhalt. Dumm nur, dass er mir den Bluescreen nun jedesmal andreht, soabld ich mich wieder anmelden will.
Der nächste Schritt war dann der Abgesicherte Modus, in dem ich mich momentan befinde. Nach diversen Suchen über Google habe ich dann diverse Programme (Malwarebytes' Anti-Malware, Combifix), die sich aber nicht öffnen lassen, sobald sie heruntergeladen worden sind.
Auch die Reinstallations-CD mit Reparaturmodus hat mch nicht weiterbringen können, was im Endeffekt heißt: Ich bitte um HILFE!

Hallo und

Schließe alle Anwendungen und lass folgendes laufen:

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ciao, andreas

Danke dir erstmal für die fixe Antwort Leider komme ich nur bis zur Auswahl der Platte C, danach initialisiert er und plötzlich ist er weg, wie die anderen Programme auch. Ich hoffe doch ich blamiere mich jetzt nicht...

Benenne es um in Quiek.exe und versuche es nochmal.

ciao, andreas

Dasselbe in grün. Er bringt mir übrigens (das hatte ich vorhin vergessen zu schreiben) die Nachricht, dass ich die exe auf eigene Gefahr ausführe und nicht garantiert werden kann dass es im Safe Mode funktioniert.

Wie ist es mit anderen Programmen, also nicht mit Sicherheitsprogrammen, sondern "normalen"? Gibt es dort auch Probleme?

Versuche combofix.exe in cofi.exe umzubenennen und zu starten.

ciao, andreas

Der Reihe nach: Normale Programme laufen ohne Probleme.
Ich habe ComboFix nocheinmal runtergeladen und deinem Rat nach benannt, und es tat sich was! Ein Fenster DOS-Manier, ähnlich der Eingabeaufforderung, öffnete sich, und gleich darauf ein Pop-Up mit der nachricht, auf meinem laptop gebe es Rootkit-Aktivitäten und er möchte das System sofort runterfahren. Die folgenden Pfade soll ich mir aufschreiben:

C:\Windows\system32\gxvxcfsyqwdrg... .sys
C:\Windows\system32\gxvxc.... .dll
C:\Windows\system32\gxvxc.... .dll

Daraufhin habe ich RootRepeal noch einmal geladen, umbenannt, und es öffnete sich auch da für eine Millisekunde ein Fenster, um dann zu verschwinden.

Da ist das Problem, ich brauche die genauen Dateinamen, ansonsten habe ich keine Chance. Bitte notiere dir jeden Buchstaben und kontrolliere zur Sicherheit nochmal.

ciao, andreas

p.s.: Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort den Treiber gxvxc..... deaktivieren => Rechner neustarten, nochmal probieren.

C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys

C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll

C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys
C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll
C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll
C:\Windows\system32\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys
C:\Windows\system32\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll
C:\Windows\system32\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Avenger.txt

PHP-Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gxvxcserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gxvxcfsyqwdrgqfvphbnceaiooiqgnetwiuit.sys 
Start Type:  1 (System)

Rootkit scan completed.


Error:  file "C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll" not found!
Deletion of file "C:\Windows\system32\drivers\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" not found!
Deletion of file "C:\Windows\system32\drivers\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\Windows\system32\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" not found!
Deletion of file "C:\Windows\system32\gxvxcfsyqwdrgqfvphbncceaiooiqgnetwiuit.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\system32\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll" deleted successfully.

Error:  file "C:\Windows\system32\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" not found!
Deletion of file "C:\Windows\system32\gxvxcbenbgxbywrhvegepfbcyajmnjexodfpf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate. 


Den CC-Cleaner habe ich auch angewandt, hat funktioniert. Dann öffne ich Combofix und stelle erst mal fest, dass ich keine Adminrechte habe. Das ganze als Admin nochmal geöffnet, aber keine Reaktion. Daraufhin dann dieselben Meldungen über Rootkit-Aktivitäten in besagten Dateien und Abschuss.

Dann stimmen die Dateinamen nicht, bitte noch einmal genau kontrollieren, jeden Buchstaben.

Neues Skript für Avenger:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gxvxcserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet004\Services\gxvxcserv.sys
         

ciao, andreas

Zitat:

Zitat von john.doe

Dann stimmen die Dateinamen nicht, bitte noch einmal genau kontrollieren, jeden Buchstaben.

Neues Skript für Avenger:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gxvxcserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet004\Services\gxvxcserv.sys
         

ciao, andreas

Habe das in den Avenger eingegeben, es kam der Reboot und HALLELUJAH!
Es tut wieder, ich hoffe das bleibt jetzt auch so.
Vielen Dank dir für deine Zeit und deine Geduld

Zitat:

Habe das in den Avenger eingegeben,

Wo ist das Log von Avenger?

Zitat:

Es tut wieder, ich hoffe das bleibt jetzt auch so.

Ja, zumindest bis der Downloader den nächsten Schädling nachgeladen hat.

Jetzt sollte Combofix wieder laufen, poste bitte das Log von Combofix.

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-06-01.03 - Simon Laptop 03.06.2009 19:44.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.2301.1116 [GMT 2:00]
ausgeführt von:: c:\users\Simon Laptop\Desktop\Cofi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\gxvxcfsyqwdrgqfvphbnceaiooiqgnetwiuit.sys
c:\windows\system32\drivers\Msft_Kernel_SynTP_01007.Wdf
c:\windows\system32\gxvxcbenbgxbywrhuegepfbcyajmnjexodfpf.dll
c:\windows\system32\gxvxcvqlenkwqitqqxpcocugcebwpuxsmfvvm.dll
c:\windows\system32\rpcnet.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-05-03 bis 2009-06-03  ))))))))))))))))))))))))))))))
.

2009-06-03 17:46 . 2009-06-03 17:48	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\temp
2009-06-02 23:59 . 2009-06-02 23:59	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\Mozilla
2009-06-02 22:55 . 2009-06-02 22:55	--------	d-----w-	C:\totalcmd
2009-06-02 22:55 . 2009-06-02 22:55	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\GHISLER
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\UC.PIF
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\RAR.PIF
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\PKZIP.PIF
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\PKUNZIP.PIF
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\NOCLOSE.PIF
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\LHA.PIF
2009-06-02 22:55 . 2008-08-08 05:04	545	----a-w-	c:\windows\ARJ.PIF
2009-06-02 22:47 . 2009-06-02 23:23	--------	d-----w-	c:\windows\Internet Logs
2009-06-02 22:42 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-06-02 22:42 . 2009-03-24 14:08	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-06-02 22:42 . 2009-06-02 22:42	--------	d-----w-	c:\programdata\Avira
2009-06-02 22:42 . 2009-06-02 22:42	--------	d-----w-	c:\program files\Avira
2009-06-02 22:19 . 2009-06-02 22:19	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Malwarebytes
2009-06-02 21:10 . 2009-06-02 21:10	--------	d-----w-	c:\program files\CCleaner
2009-06-02 17:51 . 2009-05-26 11:20	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-02 17:51 . 2009-06-02 17:51	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-06-02 17:51 . 2009-06-02 17:51	--------	d-----w-	c:\programdata\Malwarebytes
2009-06-02 17:51 . 2009-05-26 11:19	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-02 17:25 . 2009-06-02 19:39	680	----a-w-	c:\users\Simon Laptop\AppData\Local\d3d9caps.dat
2009-06-01 12:12 . 2009-06-01 12:12	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Ubisoft
2009-06-01 11:52 . 2009-06-01 11:52	--------	d-----w-	c:\program files\Ubisoft
2009-06-01 11:51 . 2009-06-01 11:51	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\InstallShield
2009-06-01 09:18 . 2009-06-01 09:18	--------	d-----w-	c:\programdata\WindowsSearch
2009-06-01 00:33 . 2009-06-01 00:34	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\FrostWire
2009-05-30 18:01 . 2009-05-30 18:01	107888	----a-w-	c:\windows\system32\CmdLineExt.dll
2009-05-30 08:34 . 2009-05-30 08:39	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Miranda
2009-05-30 08:34 . 2009-05-30 08:34	--------	d-----w-	c:\program files\Miranda IM
2009-05-30 06:35 . 2009-05-30 06:35	2560	----a-w-	c:\windows\_MSRSTRT.EXE
2009-05-30 06:27 . 2009-06-02 23:00	--------	d-----w-	c:\programdata\WinZip
2009-05-30 06:00 . 2009-05-30 07:12	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Download Manager
2009-05-29 21:05 . 2009-05-29 21:05	--------	d--h--r-	c:\users\Simon Laptop\AppData\Roaming\SecuROM
2009-05-29 20:07 . 2008-07-12 06:18	3851784	----a-w-	c:\windows\system32\D3DX9_39.dll
2009-05-29 19:48 . 2009-05-29 19:48	--------	d-----w-	c:\program files\EA SPORTS
2009-05-29 17:22 . 2009-05-30 06:35	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\.purple
2009-05-29 16:32 . 2009-05-29 16:32	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\SupportSoft
2009-05-29 06:49 . 2008-06-20 01:14	97800	----a-w-	c:\windows\system32\infocardapi.dll
2009-05-29 06:49 . 2008-06-20 01:14	105016	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-05-29 06:49 . 2008-06-20 01:14	43544	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-05-29 06:49 . 2008-06-20 01:14	11264	----a-w-	c:\windows\system32\icardres.dll
2009-05-29 06:49 . 2008-06-20 01:14	622080	----a-w-	c:\windows\system32\icardagt.exe
2009-05-29 06:49 . 2008-06-20 01:14	781344	----a-w-	c:\windows\system32\PresentationNative_v0300.dll
2009-05-29 06:49 . 2008-06-20 01:14	326160	----a-w-	c:\windows\system32\PresentationHost.exe
2009-05-29 06:43 . 2008-07-27 18:03	96760	----a-w-	c:\windows\system32\dfshim.dll
2009-05-29 06:43 . 2008-07-27 18:03	282112	----a-w-	c:\windows\system32\mscoree.dll
2009-05-29 06:43 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32\netfxperf.dll
2009-05-29 06:42 . 2008-07-27 18:03	158720	----a-w-	c:\windows\system32\mscorier.dll
2009-05-29 06:42 . 2008-07-27 18:03	83968	----a-w-	c:\windows\system32\mscories.dll
2009-05-28 20:24 . 2009-05-28 20:24	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\pokerth
2009-05-28 20:22 . 2009-05-28 20:22	--------	d-----w-	c:\program files\PokerTH
2009-05-28 18:05 . 2009-05-28 18:05	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\Stardock_Corporation
2009-05-28 18:03 . 2009-05-28 18:03	--------	d-----w-	c:\program files\Common Files\NSV
2009-05-28 18:00 . 2009-05-28 18:02	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Winamp
2009-05-28 18:00 . 2009-05-28 18:02	--------	d-----w-	c:\program files\Winamp
2009-05-28 17:48 . 2009-05-28 17:48	56680	----a-w-	c:\windows\system32\rpcnet.exe
2009-05-28 17:44 . 2008-10-22 03:57	241152	----a-w-	c:\windows\system32\PortableDeviceApi.dll
2009-05-28 17:44 . 2008-12-16 05:31	7680	----a-w-	c:\windows\system32\spwmp.dll
2009-05-28 17:44 . 2008-12-16 05:31	4096	----a-w-	c:\windows\system32\dxmasf.dll
2009-05-28 17:44 . 2008-12-16 03:29	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-05-28 17:44 . 2009-02-13 08:49	1255936	----a-w-	c:\windows\system32\lsasrv.dll
2009-05-28 17:44 . 2009-03-17 03:38	13824	----a-w-	c:\windows\system32\apilogen.dll
2009-05-28 17:44 . 2009-03-17 03:38	24064	----a-w-	c:\windows\system32\amxread.dll
2009-05-28 17:44 . 2009-02-13 08:49	72704	----a-w-	c:\windows\system32\secur32.dll
2009-05-28 17:44 . 2008-09-18 04:56	125952	----a-w-	c:\windows\system32\wersvc.dll
2009-05-28 17:44 . 2008-09-18 04:56	147456	----a-w-	c:\windows\system32\Faultrep.dll
2009-05-28 17:43 . 2009-05-28 22:15	--------	d-----w-	c:\programdata\CyberLink
2009-05-28 17:43 . 2009-05-28 17:43	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\CyberLink
2009-05-28 17:31 . 2009-05-28 19:43	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\Microsoft Games
2009-05-28 17:27 . 2009-05-28 17:27	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Reallusion
2009-05-28 17:17 . 2009-05-28 17:27	--------	d-----w-	c:\programdata\Creative
2009-05-28 17:17 . 2009-05-28 17:17	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Creative
2009-05-28 17:14 . 2008-10-16 21:13	1809944	----a-w-	c:\windows\system32\wuaueng.dll
2009-05-28 17:14 . 2008-10-16 21:09	51224	----a-w-	c:\windows\system32\wuauclt.exe
2009-05-28 17:14 . 2008-10-16 21:09	43544	----a-w-	c:\windows\system32\wups2.dll
2009-05-28 17:14 . 2008-10-16 20:56	1524736	----a-w-	c:\windows\system32\wucltux.dll
2009-05-28 17:14 . 2008-10-16 21:12	561688	----a-w-	c:\windows\system32\wuapi.dll
2009-05-28 17:14 . 2008-10-16 21:08	34328	----a-w-	c:\windows\system32\wups.dll
2009-05-28 17:14 . 2008-10-16 20:55	83456	----a-w-	c:\windows\system32\wudriver.dll
2009-05-28 17:14 . 2008-10-16 12:08	162064	----a-w-	c:\windows\system32\wuwebv.dll
2009-05-28 17:14 . 2008-10-16 11:56	31232	----a-w-	c:\windows\system32\wuapp.exe
2009-05-28 16:51 . 2009-05-28 16:51	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\DataSafeOnline
2009-05-28 16:51 . 2009-05-28 16:51	--------	d-----w-	c:\users\Simon Laptop\Bluetooth Software
2009-05-28 16:51 . 2009-05-29 06:35	--------	d-----w-	c:\users\Simon Laptop\AppData\Local\PowerDVD DX
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\users\Default\Vorlagen
2009-05-26 17:26 . 2009-03-18 08:58	453152	----a-w-	c:\windows\system32\nvusmu.exe
2009-05-26 17:25 . 2009-05-26 17:25	26112	----a-w-	c:\windows\system32\hidserv.dll
2009-05-26 17:25 . 2009-05-26 17:25	22016	----a-w-	c:\windows\system32\hid.dll
2009-05-26 17:24 . 2009-05-26 17:24	1191936	----a-w-	c:\windows\system32\msxml3.dll
2009-05-26 17:23 . 2009-05-26 17:23	468992	----a-w-	c:\windows\system32\newdev.dll
2009-05-26 17:23 . 2009-05-26 17:23	74752	----a-w-	c:\windows\system32\newdev.exe
2009-05-26 17:23 . 2009-05-26 17:23	172032	----a-w-	c:\windows\system32\scrrun.dll
2009-05-26 17:23 . 2009-05-26 17:23	135168	----a-w-	c:\windows\system32\cscript.exe
2009-05-26 17:23 . 2009-05-26 17:23	90112	----a-w-	c:\windows\system32\wshext.dll
2009-05-26 17:23 . 2009-05-26 17:23	180224	----a-w-	c:\windows\system32\scrobj.dll
2009-05-26 17:23 . 2009-05-26 17:23	155648	----a-w-	c:\windows\system32\wscript.exe
2009-05-26 17:21 . 2009-05-26 17:21	296960	----a-w-	c:\windows\system32\gdi32.dll
2009-05-26 17:21 . 2009-05-26 17:21	2927104	----a-w-	c:\windows\explorer.exe
2009-05-26 17:20 . 2009-05-26 17:20	738304	----a-w-	c:\windows\system32\inetcomm.dll
2009-05-26 17:20 . 2009-05-26 17:20	269312	----a-w-	c:\windows\system32\es.dll
2009-05-26 17:19 . 2009-05-26 17:19	2048	----a-w-	c:\windows\system32\tzres.dll
2009-05-26 17:19 . 2009-05-26 17:19	428544	----a-w-	c:\windows\system32\EncDec.dll
2009-05-26 17:19 . 2009-05-26 17:19	293376	----a-w-	c:\windows\system32\psisdecd.dll
2009-05-26 17:18 . 2009-05-26 17:18	361984	----a-w-	c:\windows\system32\IPSECSVC.DLL
2009-05-26 17:18 . 2009-05-26 17:18	288768	----a-w-	c:\windows\system32\drivers\srv.sys
2009-05-26 17:17 . 2009-05-26 17:17	303616	----a-w-	c:\windows\system32\wmpeffects.dll
2009-05-26 17:16 . 2009-05-26 17:16	2033152	----a-w-	c:\windows\system32\win32k.sys
2009-05-26 17:16 . 2009-05-26 17:16	885248	----a-w-	c:\windows\system32\RacEngn.dll
2009-05-26 17:16 . 2009-05-26 17:16	1314816	----a-w-	c:\windows\system32\quartz.dll
2009-05-26 17:16 . 2009-05-26 17:16	425472	----a-w-	c:\windows\system32\PhotoMetadataHandler.dll
2009-05-26 17:15 . 2009-05-26 17:15	712704	----a-w-	c:\windows\system32\WindowsCodecs.dll
2009-05-26 17:15 . 2009-05-26 17:15	347648	----a-w-	c:\windows\system32\WindowsCodecsExt.dll
2009-05-26 17:15 . 2009-05-26 17:15	801280	----a-w-	c:\windows\system32\NaturalLanguage6.dll
2009-05-26 17:15 . 2009-05-26 17:15	2644480	----a-w-	c:\windows\system32\NlsLexicons0009.dll
2009-05-26 17:15 . 2009-05-26 17:15	12240896	----a-w-	c:\windows\system32\NlsLexicons0007.dll
2009-05-26 17:13 . 2009-05-26 17:13	212480	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2009-05-26 17:10 . 2009-04-29 10:22	2677280	----a-w-	c:\windows\system32\nvwssr.dll
2009-05-26 17:09 . 2009-05-29 06:33	--------	d-----w-	C:\DELL
2009-05-26 17:09 . 2009-05-26 17:09	--------	d-----w-	c:\windows\system32\oem
2009-05-26 17:09 . 2009-02-23 04:56	--------	d-----w-	C:\Drivers
2009-05-26 09:33 . 2009-05-26 09:33	--------	d-----w-	c:\program files\IDT
2009-05-26 09:33 . 2009-03-30 12:24	47104	----a-w-	c:\windows\system32\ctppld.dll
2009-05-26 09:33 . 2009-03-30 12:24	499712	----a-w-	c:\windows\system32\ctapo32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-03 17:35 . 2008-01-21 07:15	618442	----a-w-	c:\windows\system32\perfh007.dat
2009-06-03 17:35 . 2008-01-21 07:15	122842	----a-w-	c:\windows\system32\perfc007.dat
2009-06-03 17:33 . 2009-05-26 07:42	43224	----a-w-	c:\programdata\nvModes.dat
2009-06-01 12:08 . 2009-06-01 12:08	--------	d-----w-	c:\programdata\Ubisoft
2009-05-29 07:35 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-05-28 16:47 . 2009-05-28 16:47	--------	d-----w-	c:\users\Simon Laptop\AppData\Roaming\Dell
2009-05-28 16:47 . 2009-05-28 16:47	66192	----a-w-	c:\users\Simon Laptop\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\programdata\Vorlagen
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\programdata\Startmenü
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\programdata\Favoriten
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\programdata\Dokumente
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\programdata\Desktop
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\programdata\Anwendungsdaten
2009-05-28 16:45 . 2009-05-28 16:45	--------	d-sh--we	c:\program files\Gemeinsame Dateien
2009-05-26 17:26 . 2009-05-26 17:26	--------	d-----w-	c:\program files\Synaptics
2009-05-26 17:25 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2009-05-26 17:14 . 2009-05-26 17:14	443392	----a-w-	c:\windows\system32\win32spl.dll
2009-05-26 17:13 . 2009-05-26 17:13	1334272	----a-w-	c:\windows\system32\msxml6.dll
2009-05-26 17:12 . 2009-05-26 17:12	408064	----a-w-	c:\windows\system32\msinfo32.exe
2009-05-26 17:10 . 2009-05-26 17:10	5019	----a-w-	c:\windows\system32\drivers\1028_Dell_STU_1340.mrk
2009-04-29 10:21 . 2009-05-26 17:10	795104	----a-w-	c:\windows\system32\dpinst.exe
2009-03-30 12:25 . 2009-05-26 17:26	398336	----a-w-	c:\windows\system32\drivers\stwrt.sys
2009-03-30 12:25 . 2009-05-26 17:26	835072	----a-w-	c:\windows\system32\stapo.dll
2009-03-30 12:25 . 2009-05-26 17:26	404992	----a-w-	c:\windows\system32\stcplx.dll
2009-03-30 12:25 . 2009-05-26 17:26	432128	----a-w-	c:\windows\system32\stapi32.dll
2009-03-30 12:25 . 2009-05-26 17:26	171520	----a-w-	c:\windows\system32\st326162.dll
2009-03-25 22:55 . 2009-02-27 23:18	33280	----a-w-	c:\windows\system32\identprv.dll
2009-03-25 06:43 . 2009-05-26 17:26	54784	----a-w-	c:\windows\system32\drivers\itecir.sys
2009-03-25 06:43 . 2006-11-02 08:55	7680	----a-w-	c:\windows\system32\CIRCoInst.dll
2009-03-18 08:57 . 2009-05-26 17:26	45600	----a-w-	c:\windows\system32\drivers\nvhda32v.sys
2009-03-18 08:57 . 2009-05-26 17:26	122880	----a-w-	c:\windows\system32\nvcohda.dll
2009-03-08 15:06 . 2009-03-08 15:06	280096	----a-w-	c:\windows\system32\drivers\OA001Vid.sys
2009-03-08 11:34 . 2009-06-02 14:22	914944	----a-w-	c:\windows\system32\wininet.dll
2009-03-08 11:34 . 2009-06-02 14:22	43008	----a-w-	c:\windows\system32\licmgr10.dll
2009-03-08 11:33 . 2009-06-02 14:22	18944	----a-w-	c:\windows\system32\corpol.dll
2009-03-08 11:33 . 2009-06-02 14:22	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-03-08 11:33 . 2009-06-02 14:22	109568	----a-w-	c:\windows\system32\PDMSetup.exe
2009-03-08 11:33 . 2009-06-02 14:22	132608	----a-w-	c:\windows\system32\ieUnatt.exe
2009-03-08 11:33 . 2009-06-02 14:22	107520	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2009-03-08 11:33 . 2009-06-02 14:22	107008	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2009-03-08 11:33 . 2009-06-02 14:22	103936	----a-w-	c:\windows\system32\SetDepNx.exe
2009-03-08 11:33 . 2009-06-02 14:22	420352	----a-w-	c:\windows\system32\vbscript.dll
2009-03-08 11:32 . 2009-06-02 14:22	72704	----a-w-	c:\windows\system32\admparse.dll
2009-03-08 11:32 . 2009-06-02 14:22	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-03-08 11:32 . 2009-06-02 14:22	66560	----a-w-	c:\windows\system32\wextract.exe
2009-03-08 11:32 . 2009-06-02 14:22	169472	----a-w-	c:\windows\system32\iexpress.exe
2009-03-08 11:31 . 2009-06-02 14:22	34816	----a-w-	c:\windows\system32\imgutil.dll
2009-03-08 11:31 . 2009-06-02 14:22	48128	----a-w-	c:\windows\system32\mshtmler.dll
2009-03-08 11:31 . 2009-06-02 14:22	45568	----a-w-	c:\windows\system32\mshta.exe
2009-03-08 11:22 . 2009-06-02 14:22	156160	----a-w-	c:\windows\system32\msls31.dll
2009-03-07 12:17 . 2009-03-07 12:17	88840	----a-w-	c:\windows\system32\FAIEExtension.dll
2009-03-07 12:16 . 2009-03-07 12:16	59144	----a-w-	c:\windows\system32\FAib.dll
2009-03-07 12:16 . 2009-03-07 12:16	152840	----a-w-	c:\windows\system32\FAPassSync.dll
2009-03-07 12:15 . 2009-03-07 12:15	6354184	----a-w-	c:\windows\system32\FAIESSODlg.dll
2009-03-07 12:15 . 2009-03-07 12:15	226568	----a-w-	c:\windows\system32\FAConsIfDLL.dll
2009-03-07 12:15 . 2009-03-07 12:15	845064	----a-w-	c:\windows\system32\FACredProv.dll
2009-03-07 12:15 . 2009-03-07 12:15	770824	----a-w-	c:\windows\system32\FACredProv2.dll
2009-03-07 12:15 . 2009-03-07 12:15	234248	----a-w-	c:\windows\system32\FACrashRpt.dll
2009-03-06 05:30 . 2009-03-06 05:30	133632	----a-w-	c:\windows\system32\drivers\OA001Ufd.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-11-12 1422632]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-03-30 483428]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-29 13552160]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-29 92704]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2009-04-29 96800]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Dell DataSafe Online"="c:\program files\Dell DataSafe Online\DataSafeOnline.exe" [2008-11-03 1745648]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-07-29 128296]
"FATrayAlert"="c:\program files\Sensible Vision\Fast Access\FATrayMon.exe" [2009-03-07 95496]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" [2009-01-09 405639]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-01-29 206064]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\users\Simon Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-6-5 752168]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FastAccess]
2009-03-07 12:15	140552	----a-w-	c:\program files\Sensible Vision\Fast Access\FALogNot.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2009-05-26 08:01	10536	----a-w-	c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli FAPassSync

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0D487C89-4F4E-4AA0-AE9D-40BDF40B1409}"= UDP:c:\program files\Dell Video Chat\DellVideoChat.exe:Dell Video Chat
"{6F64124D-73C3-4227-B717-A657AB42F2C7}"= TCP:c:\program files\Dell Video Chat\DellVideoChat.exe:Dell Video Chat
"{00247D08-38F2-4AB7-99B0-DFD4CBF2154F}"= c:\program files\CyberLink\PowerDVD DX\PowerDVD.exe:CyberLink PowerDVD DX
"{420B1492-0122-4C79-9D1B-30CF600A50A7}"= c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe:CyberLink PowerDVD DX Resident Program
"{063460DF-DBE9-4D5C-9B21-813B3E57B049}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{80A38985-3CA1-4164-BBA6-ED439ABAD290}"= UDP:c:\program files\FrostWire\FrostWire.exe:FrostWire
"{2C0FB630-154E-4C12-8D44-02D83C1B80D7}"= TCP:c:\program files\FrostWire\FrostWire.exe:FrostWire
"{8409FB21-A22B-4854-B8A6-AB1539D43843}"= UDP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9
"{AA3495B3-C510-4A98-83B6-73DBC199FE57}"= TCP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9
"{00CA0262-A4EF-4CC9-8780-2DD7C5F0D784}"= UDP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10
"{9B1F4F18-1536-42DB-9B82-E5527704F464}"= TCP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10
"{9F3A0185-EDF6-4F18-95FA-E2B649E3FC30}"= UDP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update
"{30CC02EB-189A-4321-87DC-6C6DE0FAC72B}"= TCP:c:\program files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\AEstSrv.exe [26.05.2009 19:26 81920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [03.06.2009 00:42 108289]
R2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [18.12.2008 13:05 155648]
R2 FAService;FAService;c:\program files\Sensible Vision\Fast Access\FAService.exe [07.03.2009 14:16 2360584]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\System32\drivers\btwl2cap.sys [26.05.2009 09:54 29736]
R3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\System32\drivers\CtClsFlt.sys [26.05.2009 10:13 144128]
R3 itecir;ITECIR Infrared Receiver;c:\windows\System32\drivers\itecir.sys [26.05.2009 19:26 54784]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [26.05.2009 19:26 45600]
R3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\System32\drivers\OA001Ufd.sys [06.03.2009 07:30 133632]
R3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\System32\drivers\OA001Vid.sys [08.03.2009 17:06 280096]
S3 FACAP;facap, FastAccess Video Capture;c:\windows\System32\drivers\facap.sys [24.09.2008 19:36 232832]
S3 PCD5SRVC{3F6A8B78-EC003E00-05040104};PCD5SRVC{3F6A8B78-EC003E00-05040104} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms [05.11.2008 01:16 22904]
S3 VST_DPV;VST_DPV;c:\windows\System32\drivers\VSTDPV3.SYS [21.01.2008 04:23 987648]
S3 VSTHWBS2;VSTHWBS2;c:\windows\System32\drivers\VSTBS23.SYS [21.01.2008 04:23 251904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-FAStartup - (no file)
SafeBoot-procexp90.Sys


.