| |
| |||||||
Log-Analyse und Auswertung: PC ist zu langsam.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
11.08.2009, 19:44
| #1 |
| |  PC ist zu langsam. Hey, mein PC läuft zur Zeit ganz lahm, die CPU-Auslastung liegt bei 100% obwohl ich 4GB Ram hab und nur 2 Programme laufen. Könnt ihr da bitte mal durchschauen ob irgendetwas verdächtig aussieht? Danke. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:35:07, on 11.08.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18294) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\PLFSetI.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Launch Manager\QtZgAcer.EXE C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\system32\wbem\unsecapp.exe C:\Users\Ruby\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] C:\ADVANC~1\wh_exec.exe O4 - HKLM\..\Run: [TQ566808] "E:\Setup.exe" O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll O20 - Winlogon Notify: spba - C:\Program Files\Common Files\SPBA\homefus2.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: McAfee Network Agent (McNASvc) - Unknown owner - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe (file missing) O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe -- End of file - 8136 bytes |
|
12.08.2009, 06:33
| #2 |
  | PC ist zu langsam. Hi,
__________________das HJ-Log gibt nicht wirklich was her, daher bitte: MAM, RSIT und Gmer: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ |
|
12.08.2009, 18:03
| #3 |
| | PC ist zu langsam. Bei MAM hat es nichts gefunden.
__________________RSIT Ergebnisse: Logfile of random's system information tool 1.06 (written by random/random) Run by Ruby at 2009-08-12 18:44:07 Microsoft® Windows Vista™ Home Premium Service Pack 1 System drive C: has 40 GB (35%) free of 114 GB Total RAM: 2525 MB (48% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:44:18, on 12.08.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18294) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\PLFSetI.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Launch Manager\QtZgAcer.EXE C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\SweetIM\Messenger\SweetIM.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Xfire\Xfire.exe C:\Windows\ehome\ehmsas.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Users\Ruby\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Ruby\Downloads\RSIT.exe C:\Program Files\Trend Micro\HijackThis\Ruby.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [WheelMouse] C:\ADVANC~1\wh_exec.exe O4 - HKLM\..\Run: [TQ566808] "E:\Setup.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll O20 - Winlogon Notify: spba - C:\Program Files\Common Files\SPBA\homefus2.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: McAfee Network Agent (McNASvc) - Unknown owner - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe (file missing) O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe -- End of file - 8471 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96}] ShowBarObj Class - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll [2008-07-29 312880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {0BF43445-2F28-4351-9252-17FE6E806AA0} {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - Acer eDataSecurity Management - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll [2008-07-29 142896] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184] "ePower_DMC"=C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe [2008-08-01 405504] "eDataSecurity Loader"=C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe [2008-07-29 526896] "eAudio"=C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe [2008-05-30 544768] "BkupTray"=C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe [2008-04-25 28672] "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-03-08 40048] "WarReg_PopUp"=C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe [2008-01-29 303104] "StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-07-16 61440] "SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-04-25 1049896] "PLFSetI"=C:\Windows\PLFSetI.exe [2008-06-30 200704] "LManager"=C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE [2008-06-17 817672] "eRecoveryService"= [] "ZPdtWzdVitaKey MC3000"=C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe [2009-04-18 3673600] "RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-08-19 6265376] "Skytel"=C:\Windows\Skytel.exe [2008-08-19 1833504] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "SweetIM"=C:\Program Files\SweetIM\Messenger\SweetIM.exe [2009-03-05 111928] "QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696] "WheelMouse"=C:\ADVANC~1\wh_exec.exe [2007-11-10 98304] "TQ566808"=E:\Setup.exe [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Malwarebytes' Anti-Malware"=C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe [2009-08-03 419088] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter] oobefldr.dll,ShowWelcomeCenter [] C:\Users\Ruby\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Xfire.lnk - C:\Program Files\Xfire\Xfire.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AWinNotifyVitaKey MC3000] C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll [2009-04-18 3116032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\spba] C:\Program Files\Common Files\SPBA\homefus2.dll [2008-03-25 567560] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=scecli C:\Program Files\Acer\Acer Bio Protection\PwdFilter [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 "DisableCAD"=1 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ffde796-3aca-11de-8fd2-001e68e3dc32}] shell\1\command - .\recycled\info.exe shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{443e6766-2bfa-11de-b9c4-806e6f6e6963}] shell\AutoRun\command - E:\Setup.exe -check ======List of files/folders created in the last 3 months====== 2009-08-12 18:44:06 ----D---- C:\rsit 2009-08-12 17:14:44 ----D---- C:\Users\Ruby\AppData\Roaming\Malwarebytes 2009-08-12 17:14:33 ----D---- C:\ProgramData\Malwarebytes 2009-08-12 17:14:32 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-08-11 20:32:15 ----D---- C:\Program Files\Trend Micro 2009-07-29 17:51:16 ----A---- C:\Windows\system32\mshtml.dll 2009-07-29 17:51:15 ----A---- C:\Windows\system32\occache.dll 2009-07-29 17:51:13 ----A---- C:\Windows\system32\ieframe.dll 2009-07-29 17:51:11 ----A---- C:\Windows\system32\wininet.dll 2009-07-29 17:51:11 ----A---- C:\Windows\system32\urlmon.dll 2009-07-29 17:51:10 ----A---- C:\Windows\system32\iertutil.dll 2009-07-29 17:51:09 ----A---- C:\Windows\system32\msfeeds.dll 2009-07-29 17:51:09 ----A---- C:\Windows\system32\iedkcs32.dll 2009-07-29 17:51:09 ----A---- C:\Windows\system32\ieaksie.dll 2009-07-29 17:51:08 ----A---- C:\Windows\system32\mstime.dll 2009-07-29 17:51:08 ----A---- C:\Windows\system32\jsproxy.dll 2009-07-29 17:51:08 ----A---- C:\Windows\system32\ieUnatt.exe 2009-07-29 17:51:08 ----A---- C:\Windows\system32\ieencode.dll 2009-07-27 14:18:43 ----D---- C:\ProgramData\Media Center Programs 2009-07-27 14:18:42 ----D---- C:\Program Files\GUILD WARS 2009-07-24 03:57:06 ----A---- C:\Windows\system32\xfcodec.dll 2009-07-17 14:41:29 ----D---- C:\Users\Ruby\AppData\Roaming\Winamp 2009-07-17 14:41:29 ----D---- C:\Program Files\Winamp 2009-07-17 13:18:04 ----D---- C:\Users\Ruby\AppData\Roaming\dvdcss 2009-07-15 19:46:10 ----A---- C:\Windows\system32\t2embed.dll 2009-07-15 19:46:09 ----A---- C:\Windows\system32\fontsub.dll 2009-07-15 19:46:09 ----A---- C:\Windows\system32\dciman32.dll 2009-07-15 19:46:09 ----A---- C:\Windows\system32\atmfd.dll 2009-07-15 19:20:15 ----D---- C:\Program Files\Games-Masters.com 2009-07-14 21:17:55 ----D---- C:\Program Files\Maxis 2009-07-11 14:41:52 ----D---- C:\Users\Ruby\AppData\Roaming\DivX 2009-06-10 22:36:22 ----D---- C:\Program Files\ICQ6.5 2009-06-10 22:22:01 ----A---- C:\Windows\system32\EncDec.dll 2009-06-10 22:22:00 ----A---- C:\Windows\system32\psisdecd.dll 2009-06-10 09:15:23 ----A---- C:\Windows\system32\rpcrt4.dll 2009-06-10 09:14:46 ----A---- C:\Windows\system32\localspl.dll 2009-06-05 19:26:34 ----D---- C:\Advanced Wheel Mouse 2009-06-05 15:49:52 ----D---- C:\Users\Ruby\AppData\Roaming\Apple Computer 2009-06-05 15:48:18 ----D---- C:\ProgramData\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} 2009-06-05 15:47:23 ----D---- C:\Program Files\Bonjour 2009-06-05 15:46:12 ----D---- C:\Program Files\QuickTime 2009-06-05 15:46:08 ----D---- C:\ProgramData\Apple Computer 2009-06-05 15:45:25 ----D---- C:\Program Files\Apple Software Update 2009-06-05 15:43:19 ----D---- C:\Program Files\Common Files\Apple 2009-06-05 15:43:17 ----D---- C:\ProgramData\Apple 2009-06-02 01:21:49 ----D---- C:\Users\Ruby\AppData\Roaming\teamspeak2 2009-06-02 01:21:19 ----D---- C:\Program Files\Teamspeak2_RC2 2009-05-24 16:04:24 ----D---- C:\Users\Ruby\AppData\Roaming\Xilisoft Corporation 2009-05-24 16:02:54 ----D---- C:\Program Files\Xilisoft 2009-05-22 15:20:37 ----D---- C:\Program Files\ICQ6 2009-05-22 15:16:38 ----D---- C:\Users\Ruby\AppData\Roaming\ICQLite 2009-05-19 13:37:39 ----D---- C:\Program Files\Common Files\PX Storage Engine 2009-05-19 13:36:51 ----D---- C:\Program Files\Common Files\DivX Shared 2009-05-19 13:36:50 ----D---- C:\Program Files\DivX 2009-05-14 10:17:21 ----D---- C:\Users\Ruby\AppData\Roaming\vlc 2009-05-14 10:16:26 ----D---- C:\Program Files\VideoLAN 2009-05-13 21:17:45 ----D---- C:\Program Files\directx ======List of files/folders modified in the last 3 months====== 2009-08-12 18:44:10 ----D---- C:\Windows\Temp 2009-08-12 17:14:38 ----D---- C:\Windows\system32\drivers 2009-08-12 17:14:33 ----HD---- C:\ProgramData 2009-08-12 17:14:32 ----RD---- C:\Program Files 2009-08-12 17:13:56 ----D---- C:\Windows\system32\catroot 2009-08-12 17:13:53 ----D---- C:\Windows\winsxs 2009-08-12 17:13:18 ----D---- C:\Windows\system32\catroot2 2009-08-12 17:12:27 ----D---- C:\Windows\System32 2009-08-12 17:12:27 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-08-12 17:12:26 ----D---- C:\Windows\inf 2009-08-11 20:30:11 ----D---- C:\Users\Ruby\AppData\Roaming\Xfire 2009-08-10 17:29:02 ----SHD---- C:\System Volume Information 2009-08-06 22:17:32 ----D---- C:\Program Files\Mozilla Firefox 2009-08-06 17:11:54 ----D---- C:\ProgramData\Xfire 2009-07-30 08:20:14 ----D---- C:\Program Files\Internet Explorer 2009-07-29 17:42:29 ----D---- C:\Program Files\Xfire 2009-07-27 14:18:24 ----D---- C:\Windows\Prefetch 2009-07-17 14:26:10 ----D---- C:\Windows 2009-07-17 14:20:24 ----SHD---- C:\Windows\Installer 2009-07-17 14:19:34 ----DC---- C:\Windows\system32\DRVSTORE 2009-07-17 13:31:43 ----D---- C:\Windows\Debug 2009-07-16 11:03:16 ----D---- C:\Program Files\Windows Mail 2009-07-14 21:39:54 ----HD---- C:\Program Files\InstallShield Installation Information 2009-07-12 11:29:56 ----D---- C:\Windows\system32\WDI 2009-07-07 17:10:56 ----A---- C:\Windows\system32\mrt.exe 2009-07-01 12:01:19 ----D---- C:\Users\Ruby\AppData\Roaming\Skype 2009-07-01 10:06:34 ----D---- C:\Users\Ruby\AppData\Roaming\skypePM 2009-06-25 07:25:20 ----D---- C:\Windows\Microsoft.NET 2009-06-21 01:16:31 ----D---- C:\Users\Ruby\AppData\Roaming\ICQ 2009-06-11 15:09:53 ----SD---- C:\Users\Ruby\AppData\Roaming\Microsoft 2009-06-11 00:09:28 ----RSD---- C:\Windows\assembly 2009-06-10 22:30:08 ----D---- C:\Windows\ehome 2009-06-05 15:45:35 ----D---- C:\Windows\system32\Tasks 2009-06-05 15:43:19 ----D---- C:\Program Files\Common Files 2009-05-24 17:07:08 ----D---- C:\ProgramData\Google 2009-05-24 17:07:08 ----D---- C:\Program Files\Google 2009-05-24 17:07:07 ----D---- C:\Windows\Tasks ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-04-27 96104] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-05 55656] R2 int15;int15; \??\C:\Windows\system32\drivers\int15.sys [2007-01-26 69632] R2 PSDNServ;PSDNServ; C:\Windows\system32\DRIVERS\PSDNServ.sys [2008-07-29 16944] R2 psdvdisk;PSDVdisk; C:\Windows\system32\DRIVERS\PSDVdisk.sys [2008-07-29 60464] R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776] R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2008-07-28 919552] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-07-22 3885568] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208] R3 DKbFltr;Dritek Keyboard Filter Driver; C:\Windows\system32\DRIVERS\DKbFltr.sys [2006-11-02 21264] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-08-19 2161760] R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x86.sys [2008-07-22 47616] R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2008-01-30 14848] R3 RTHDMIAzAudService;Service for HDMI; C:\Windows\system32\drivers\RtHDMIV.sys [2008-07-18 148192] R3 RTSTOR;Realtek USB 2.0 Card Reader; C:\Windows\system32\drivers\RTSTOR.SYS [2008-06-05 62464] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-04-25 199472] R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys [2008-01-30 50576] R3 usbfilter;AMD USB Filter Driver; C:\Windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072] R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016] R3 winbondcir;Winbond IR Transceiver; C:\Windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008] R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016] S3 netr28;Ralink 802.11n Wireless Driver for Windows Vista; C:\Windows\system32\DRIVERS\netr28.sys [2008-08-08 419328] S3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys [2007-01-26 6784] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936] S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328] S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656] S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2008-03-18 13312] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-05-29 144712] R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2008-07-22 700416] R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 BUNAgentSvc;NTI Backup Now 5 Agent Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384] R2 eDataSecurity Service;eDataSecurity Service; C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe [2008-07-29 500784] R2 ETService;Empowering Technology Service; C:\Program Files\Acer\Empowering Technology\Service\ETService.exe [2008-06-02 24576] R2 IGBASVC;iGroupTec Service; C:\Program Files\Acer\Acer Bio Protection\BASVC.exe [2009-04-18 3521024] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-01-17 61440] R2 MobilityService;MobilityService; C:\Acer\Mobility Center\MobilityService.exe [2007-12-06 110592] R2 NTIBackupSvc;NTI Backup Now 5 Backup Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 45056] R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 131072] S2 McNASvc;McAfee Network Agent; c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe [] -----------------EOF----------------- |
|
12.08.2009, 18:04
| #4 |
| | PC ist zu langsam. RSIT info: info.txt logfile of random's system information tool 1.06 2009-08-12 18:44:27 ======Uninstall list====== -->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER Acer Bio Protection AAU 6.0.00.16-->"C:\Program Files\Acer\Acer Bio Protection\uninstall.exe" Acer Crystal Eye Webcam 2.0.8.3-->C:\Program Files\InstallShield Installation Information\{A77255C4-AFCB-44A3-BF0F-2091A71FFD9E}\setup.exe -runfromtemp -l0x0007 -removeonly Acer eAudio Management-->"C:\Program Files\InstallShield Installation Information\{57265292-228A-41FA-9AEC-4620CBCC2739}\Setup.exe" -uninstall Acer eDataSecurity Management-->C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSnstHelper.exe -Operation UNINSTALL Acer Empowering Technology-->"C:\Program Files\InstallShield Installation Information\{8F1B6239-FEA0-450A-A950-B05276CE177C}\setup.exe" -runfromtemp -l0x0007 -removeonly Acer ePower Management-->"C:\Program Files\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\setup.exe" -runfromtemp -l0x0007 -removeonly Acer eRecovery Management-->"C:\Program Files\InstallShield Installation Information\{7F811A54-5A09-4579-90E1-C93498E230D9}\setup.exe" -runfromtemp -l0x0007 -removeonly Acer eSettings Management-->"C:\Program Files\InstallShield Installation Information\{13D85C14-2B85-419F-AC41-C7F21E68B25D}\setup.exe" -runfromtemp -l0x0007 -removeonly Acer GridVista-->C:\Windows\GVUni.exe GridV.UNI Acer Mobility Center Plug-In-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11316260-6666-467B-AC34-183FCB5D4335}\setup.exe" -l0x7 -removeonly Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.1.0-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81000000003} Advanced Wheel Mouse 6.0.0.002-->C:\ADVANC~1\uninst.exe Agere Systems HDA Modem-->agrsmdel AMD USB Audio Driver Filter-->MsiExec.exe /X{A3AB35FA-943E-4799-99DC-46EFD59E998F} ANNO 1602 Königs-Edition-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{077A7810-A937-4465-AD08-ACED9807995F}\SETUP.exe" -l0x7 Apple Mobile Device Support-->MsiExec.exe /I{659B48CD-0608-4ED5-94C0-0B6C87114F10} Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033} Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver-->"C:\Program Files\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -runfromtemp -l0x0007 -removeonly Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B} Catalyst Control Center - Branding-->MsiExec.exe /I{2E4AB89A-C177-40D5-B018-B0152D3F2305} CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe" CyberLink PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall CyberLink PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN GUILD WARS-->"C:\Program Files\GUILD WARS\Gw.exe" -uninstall HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT="" Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT="" ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Launch Manager-->C:\Windows\UnInst32.exe QtZgAcer.UNI Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929} Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3} Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} NTI Backup Now 5-->C:\Program Files\InstallShield Installation Information\{12EFA1A4-AC3B-443C-8143-237EDE760403}\setup.exe -runfromtemp -l0x0407 NTI Media Maker 8-->C:\Program Files\InstallShield Installation Information\{2413930C-8309-47A6-BC61-5EF27A4222BC}\setup.exe -runfromtemp -l0x0407 PhotoNow!-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\Setup.exe" -uninstall QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68} Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly Realtek USB 2.0 Card Reader-->C:\Program Files\InstallShield Installation Information\{DC24971E-1946-445D-8A82-CE685433FA7D}\setup.exe -runfromtemp -l0x0009 -removeonly Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D} SPBA 5.8-->MsiExec.exe /I{ECCD28B2-8798-4D16-8126-625D728294A1} SweetIM for Messenger 2.6-->MsiExec.exe /X{023EC958-023C-42D1-B2A4-E9E4BEF599FC} Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe" Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT="" VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B} Winamp-->"C:\Program Files\Winamp\UninstWA.exe" Winbond CIR Device Drivers-->MsiExec.exe /I{10F498FF-5392-4DF3-8F73-FE172A9F3800} Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4} WinRAR-->C:\Program Files\WinRAR\uninstall.exe World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe" ======Security center information====== AS: Windows Defender ======System event log====== Computer Name: Ruby-PC Event Code: 7036 Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet". Record Number: 56832 Source Name: Service Control Manager Time Written: 20090812152018.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 3004 Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen. Weitere Informationen finden Sie im Folgenden: Nicht zutreffend Scan-ID: {CD823D54-6701-41E3-BF98-CA32A2A7FCED} Benutzer: Ruby-PC\Ruby Name: Unknown ID: Schweregrad-ID: Kategorie-ID: Gefundener Pfad: usershellfolder:HKCU@S-1-5-21-1987084793-115129012-2895561720-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\\{374DE290-123F-4565-9164-39C4925E467B} Warnungsart: Nicht klassifizierte Software Feststellungstyp: Record Number: 56833 Source Name: Microsoft-Windows-Windows Defender Time Written: 20090812152647.000000-000 Event Type: Warnung User: Computer Name: Ruby-PC Event Code: 3005 Message: Zum Schutz dieses Computers vor Spyware und möglicherweise unerwünschter Software wurden vom Windows-Defender-Echtzeitschutz-Agent Maßnahmen ergriffen. Weitere Informationen finden Sie hier: Nicht zutreffend Scan-ID: {CD823D54-6701-41E3-BF98-CA32A2A7FCED} Benutzer: Ruby-PC\Ruby Name: Unknown ID: Schweregrad-ID: Kategorie-ID: Warnungsart: Nicht klassifizierte Software Aktion: Ignorieren Record Number: 56834 Source Name: Microsoft-Windows-Windows Defender Time Written: 20090812152647.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 7036 Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet". Record Number: 56835 Source Name: Service Control Manager Time Written: 20090812152742.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 7036 Message: Dienst "Geschützter Speicher" befindet sich jetzt im Status "Ausgeführt". Record Number: 56836 Source Name: Service Control Manager Time Written: 20090812152912.000000-000 Event Type: Informationen User: =====Application event log===== Computer Name: Ruby-PC Event Code: 223 Message: WinMail (4364) WindowsMail0: Sicherung von Protokolldateien (Bereich C:\Users\Ruby\AppData\Local\Microsoft\Windows Mail\edb00003.log - C:\Users\Ruby\AppData\Local\Microsoft\Windows Mail\edb00003.log) wird gestartet. Record Number: 8474 Source Name: ESENT Time Written: 20090812152910.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 224 Message: WinMail (4364) WindowsMail0: Protokolldateien C:\Users\Ruby\AppData\Local\Microsoft\Windows Mail\edb00002.log bis C:\Users\Ruby\AppData\Local\Microsoft\Windows Mail\edb00002.log werden gelöscht. Record Number: 8475 Source Name: ESENT Time Written: 20090812152911.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 213 Message: WinMail (4364) WindowsMail0: Die Sicherung wurde erfolgreich abgeschlossen. Record Number: 8476 Source Name: ESENT Time Written: 20090812152911.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 103 Message: WinMail (4364) WindowsMail0: Das Datenbankmodul hat die Instanz (0) beendet. Record Number: 8477 Source Name: ESENT Time Written: 20090812153222.000000-000 Event Type: Informationen User: Computer Name: Ruby-PC Event Code: 5 Message: Unsupported service control request (see data below) Record Number: 8478 Source Name: LightScribeService Time Written: 20090812164424.000000-000 Event Type: Informationen User: =====Security event log===== Computer Name: Ruby-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 13787 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090812164416.049378-000 Event Type: Überwachung gescheitert User: Computer Name: Ruby-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 13788 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090812164416.338378-000 Event Type: Überwachung gescheitert User: Computer Name: Ruby-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 13789 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090812164416.617378-000 Event Type: Überwachung gescheitert User: Computer Name: Ruby-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 13790 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090812164416.745378-000 Event Type: Überwachung gescheitert User: Computer Name: Ruby-PC Event Code: 5038 Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen. Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys Record Number: 13791 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20090812164416.875378-000 Event Type: Überwachung gescheitert User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Acer\Empowering Technology\eDataSecurity\;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\QuickTime\QTSystem\ "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PROCESSOR_LEVEL"=17 "PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=0301 "NUMBER_OF_PROCESSORS"=2 "TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat "DFSTRACINGON"=FALSE "Pathtem"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Acer\Empowering Technology\eDataSecurity\;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64 "NTIPath"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Acer\Empowering Technology\eDataSecurity\;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86;C:\Program Files\Acer\Empowering Technology\eDataSecurity\x64;C:\Program Files\NewTech Infosystems\NTI Backup Now 5\; "CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip "QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip -----------------EOF----------------- Bei GMER hab ich Probleme mit dem Downloaden, finde den Download-Link auf der Seite nicht, bei der anderen Adresse zeigt es einen Fehler beim öffnen. |
|
13.08.2009, 06:29
| #5 |
| | PC ist zu langsam. Hi, got him: [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{0ffde796-3aca-11de-8fd2-001e68e3dc32}] shell\1\command - .\recycled\info.exe shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Verdächtig ist die gescheiterte Codeüberwachung und Sig-Änderung für: c:\Windows\System32\drivers\[b]tcpip.sys/b] Die Datei bitte bei virustotal.com prüfen lassen, gesamtes Ergebnis posten... Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Dann sehen wir mal weiter... (ev. hängt da noch ein Rootkit rum)... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
13.08.2009, 09:29
| #6 |
| | PC ist zu langsam. Hi, eine Anmerkung noch; Das kann ein Wurm oder Backdoor sein, je nachdem verbreitet er sich auch über Autorun.inf über alle Laufwerke, daher unbedingt bevor ComboFix läuft, alle Laufwerke (USB-Sticks/Festplatten/Cameras/Handys) anstecken, sonst hast Du null-komma-nix wieder das Teil auf dem Rechner... Außerdem solltest Du unbedingt autorun ausschalten: Autorun ausschalten: Temporär: Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf). Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien anlegen, bevor man die Registry "betritt" oder gar verändert !!* Es gibt beim Schlüssel HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun" (Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der Laufwerke regelt. "95 00 00 00" - Autoplay für Festplatten und CD-Rom "00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke "FF 00 00 00" - kein Autoplay für alle Laufwerke "b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für CD-Rom "b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay von Daten-CD's. "b9 00 00 00" - Autoplay nur für Diskette (Allerdings "rattert" dann die Kiste auch öfter ;-) chris
__________________ --> PC ist zu langsam. |
|
13.08.2009, 18:54
| #7 |
| | PC ist zu langsam. ComboFix 09-08-10.06 - Ruby 13.08.2009 19:19.1.2 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2525.1735 [GMT 2:00] ausgeführt von:: c:\users\Ruby\Desktop\ComboFix.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\6b41f.msi . ((((((((((((((((((((((( Dateien erstellt von 2009-07-13 bis 2009-08-13 )))))))))))))))))))))))))))))) . 2009-08-13 16:34 . 2009-08-13 16:34 -------- d-----w- c:\programdata\Avira 2009-08-13 16:34 . 2009-08-13 16:34 -------- d-----w- c:\program files\Avira 2009-08-13 03:43 . 2009-08-13 03:43 -------- d-----w- c:\program files\Common Files\Scanner 2009-08-13 03:43 . 2009-08-13 03:46 -------- d-----w- c:\program files\CA Yahoo! Anti-Spy 2009-08-12 16:44 . 2009-08-12 16:44 -------- d-----w- C:\rsit 2009-08-11 18:32 . 2009-08-11 18:32 -------- d-----w- c:\program files\Trend Micro 2009-07-27 12:18 . 2009-07-27 12:18 -------- d-----w- c:\programdata\Media Center Programs 2009-07-27 12:18 . 2009-07-27 12:19 -------- d-----w- c:\program files\GUILD WARS 2009-07-24 01:57 . 2009-07-24 01:57 41872 ----a-w- c:\windows\system32\xfcodec.dll 2009-07-17 12:41 . 2009-07-17 15:49 -------- d-----w- c:\users\Ruby\AppData\Roaming\Winamp 2009-07-17 12:41 . 2009-07-17 12:42 -------- d-----w- c:\program files\Winamp 2009-07-17 11:18 . 2009-07-17 11:18 -------- d-----w- c:\users\Ruby\AppData\Roaming\dvdcss 2009-07-15 17:46 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll 2009-07-15 17:46 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll 2009-07-15 17:46 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll 2009-07-15 17:46 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll 2009-07-15 17:20 . 2009-07-15 17:20 -------- d-----w- c:\program files\Games-Masters.com 2009-07-14 19:17 . 2009-07-14 19:39 -------- d-----w- c:\program files\Maxis . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-13 17:14 . 2008-01-21 07:15 618442 ----a-w- c:\windows\system32\perfh007.dat 2009-08-13 17:14 . 2008-01-21 07:15 122842 ----a-w- c:\windows\system32\perfc007.dat 2009-08-13 17:07 . 2009-04-18 12:28 -------- d-----w- c:\users\Ruby\AppData\Roaming\Xfire 2009-08-13 15:17 . 2009-04-18 12:28 -------- d-----w- c:\programdata\Xfire 2009-08-13 03:10 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2009-07-11 12:41 . 2009-07-11 12:41 -------- d-----w- c:\users\Ruby\AppData\Roaming\DivX 2009-07-10 08:24 . 2009-05-02 14:23 408 ----a-w- c:\users\Ruby\AppData\Roaming\wklnhst.dat 2009-07-01 10:01 . 2009-05-11 12:01 -------- d-----w- c:\users\Ruby\AppData\Roaming\Skype 2009-07-01 08:06 . 2009-05-11 12:03 -------- d-----w- c:\users\Ruby\AppData\Roaming\skypePM 2009-06-20 23:16 . 2009-04-18 12:00 -------- d-----w- c:\users\Ruby\AppData\Roaming\ICQ 2009-06-10 12:12 . 2009-08-12 15:14 160256 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-10 12:07 . 2009-08-12 15:14 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-06-04 12:34 . 2009-08-12 15:14 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-04-15 20:24 . 2009-04-15 20:24 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-04-15 20:24 . 2009-04-15 20:24 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-07-29 16:52 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) "DisableCAD"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000] 2009-04-18 09:07 3116032 ----a-w- c:\program files\Acer\Acer Bio Protection\WinNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\spba] 2008-03-25 13:24 567560 ----a-w- c:\program files\Common Files\SPBA\homefus2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKLM\~\startupfolder\C:^Users^Ruby^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Xfire.lnk] path=c:\users\Ruby\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk backup=c:\windows\pss\Xfire.lnk.Startup backupExtension=.Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{23A3C4BC-FF0A-4CC7-BC7C-F168164A21F8}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe "{88EA6CF1-2E78-4687-902B-5FC3834CF00C}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe "{524F7873-BBA6-499F-84C2-0936032E8FE4}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe:SchedulerSvc.exe "{17017371-A6DE-4828-A779-7D6DC76F87E5}"= UDP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe "{89A6E70C-07DD-492D-8FB7-643941326A5B}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe:AgentSvc.exe "{5F6B9371-EFFC-4207-8E89-BD35184C2146}"= TCP:c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe:BackupSvc.exe "{E8A0A7B6-374F-4D15-9933-938A33DF6659}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector "TCP Query User{35C76A97-98C9-4DEC-9BD3-1143087DCCD4}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ "UDP Query User{B9CC9D27-B4F8-487D-AE72-F6776CB69ABA}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ "TCP Query User{C7C27CD3-3691-4D62-BBFE-C0A2A7E3B385}c:\\program files\\xfire\\xfire.exe"= UDP:c:\program files\xfire\xfire.exe:Xfire "UDP Query User{0AA0E69C-2EC3-4531-8B72-377C5677E699}c:\\program files\\xfire\\xfire.exe"= TCP:c:\program files\xfire\xfire.exe:Xfire "TCP Query User{799F3CCD-2E21-405F-86A6-D0C7EBD7B4F8}c:\\users\\ruby\\desktop\\world of warcraft\\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe"= UDP:c:\users\ruby\desktop\world of warcraft\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe:wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe "UDP Query User{D730E482-9504-42C6-BBCE-C0309D742F8E}c:\\users\\ruby\\desktop\\world of warcraft\\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe"= TCP:c:\users\ruby\desktop\world of warcraft\wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe:wow-2.4.3-to-3.0.2-dede-win-final-downloader.exe "TCP Query User{B4BF8C5F-1492-4CC3-B8B8-C4EC25FE5F16}c:\\users\\ruby\\desktop\\world of warcraft\\world of warcraft\\launcher.exe"= UDP:c:\users\ruby\desktop\world of warcraft\world of warcraft\launcher.exe:launcher.exe "UDP Query User{31B55B03-141E-4B4E-8D79-C6B0A28DDD56}c:\\users\\ruby\\desktop\\world of warcraft\\world of warcraft\\launcher.exe"= TCP:c:\users\ruby\desktop\world of warcraft\world of warcraft\launcher.exe:launcher.exe "TCP Query User{07576EA9-CA72-4263-915B-6FA64A41C456}c:\\users\\ruby\\desktop\\world of warcraft\\launcher.exe"= UDP:c:\users\ruby\desktop\world of warcraft\launcher.exe:launcher.exe "UDP Query User{5E0764FC-89B0-474C-A37E-CE21E3BB3AD3}c:\\users\\ruby\\desktop\\world of warcraft\\launcher.exe"= TCP:c:\users\ruby\desktop\world of warcraft\launcher.exe:launcher.exe "TCP Query User{B4B48222-8AD4-43CF-B696-A4F6CEE0AE29}c:\\users\\ruby\\desktop\\world of warcraft\\repair.exe"= UDP:c:\users\ruby\desktop\world of warcraft\repair.exe:repair.exe "UDP Query User{995A45ED-D345-4A32-83E3-F8AE03A4BCAD}c:\\users\\ruby\\desktop\\world of warcraft\\repair.exe"= TCP:c:\users\ruby\desktop\world of warcraft\repair.exe:repair.exe "{604F4762-CD16-4290-9EDD-4D2F61A8C97E}"= c:\program files\Skype\Phone\Skype.exe:Skype "TCP Query User{0ABA828D-5434-4F67-BBEA-E2A82045C395}c:\\program files\\icqlite\\icqlite.exe"= UDP:c:\program files\icqlite\icqlite.exe:ICQLite "UDP Query User{F90A3039-A9F0-4DFC-9EDD-6A94C9E54B12}c:\\program files\\icqlite\\icqlite.exe"= TCP:c:\program files\icqlite\icqlite.exe:ICQLite "TCP Query User{E79B2210-8A58-4E60-933C-F5EF4F6AF611}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library "UDP Query User{A799D78A-E657-48A4-8EAB-AA26E9D39606}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library "{83447E6F-06A1-4C0B-BCC8-02DADD09F206}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{124D9B57-1730-41FA-8B12-EB0DC10B740C}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "TCP Query User{6ACE63D3-819D-4E33-A667-0B12C933468A}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox "UDP Query User{B0B3F6DD-AF85-41BE-8B76-740A91186385}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox R0 AlfaFF;AlfaFF File System mini-filter;c:\windows\System32\drivers\AlfaFF.sys [18.04.2009 11:06 43184] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [13.08.2009 18:34 108289] R2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [03.03.2008 14:11 16384] R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [02.11.2008 20:44 24576] R2 IGBASVC;iGroupTec Service;c:\program files\Acer\Acer Bio Protection\BASVC.exe [18.04.2009 11:06 3521024] R2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [25.04.2008 22:36 45056] R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [25.04.2008 22:36 131072] R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\System32\drivers\L1E60x86.sys [03.11.2008 04:41 47616] R3 usbfilter;AMD USB Filter Driver;c:\windows\System32\drivers\usbfilter.sys [18.04.2009 11:25 22072] R3 winbondcir;Winbond IR Transceiver;c:\windows\System32\drivers\winbondcir.sys [28.03.2007 08:51 43008] S2 AntiVirFirewallService;Avira Firewall;c:\program files\Avira\AntiVir Desktop\avfwsvc.exe [13.08.2009 18:34 388865] S2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [13.08.2009 18:34 194817] S2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [13.08.2009 18:34 434945] S3 netr28;Ralink 802.11n Wireless Driver for Windows Vista;c:\windows\System32\drivers\netr28.sys [03.11.2008 04:41 419328] S3 whfltr2k;WheelMouse USB Lower Filter Driver;c:\windows\System32\drivers\whfltr2k.sys [26.01.2007 00:45 6784] . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) HKLM-Run-eRecoveryService - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g uInternet Settings,ProxyOverride = *.local LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll FF - ProfilePath - c:\users\Ruby\AppData\Roaming\Mozilla\Firefox\Profiles\nubyiw6c.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.dampfer.net/index.php?kabine,messagebox,in FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q= FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-13 19:32 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:000000b5 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'Explorer.exe'(2700) c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\Ati2evxx.exe c:\windows\System32\audiodg.exe c:\windows\System32\Ati2evxx.exe c:\program files\Common Files\SPBA\upeksvr.exe c:\program files\Acer\Acer Bio Protection\CompPtcVUI.exe c:\windows\System32\agrsmsvc.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\acer\Mobility Center\MobilityService.exe c:\windows\System32\WUDFHost.exe c:\windows\System32\conime.exe c:\windows\System32\wbem\WMIADAP.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-13 19:39 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-13 17:39 Vor Suchlauf: 11 Verzeichnis(se), 42.665.840.640 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 42.266.193.920 Bytes frei 231 --- E O F --- 2009-08-13 03:11 Datei tcpip.sys empfangen 2009.07.25 11:29:44 (UTC) Status: Beendet Ergebnis: 0/41 (0.00%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.25 - AhnLab-V3 5.0.0.2 2009.07.25 - AntiVir 7.9.0.228 2009.07.24 - Antiy-AVL 2.0.3.7 2009.07.24 - Authentium 5.1.2.4 2009.07.24 - Avast 4.8.1335.0 2009.07.24 - AVG 8.5.0.387 2009.07.25 - BitDefender 7.2 2009.07.25 - CAT-QuickHeal 10.00 2009.07.24 - ClamAV 0.94.1 2009.07.25 - Comodo 1760 2009.07.25 - DrWeb 5.0.0.12182 2009.07.25 - eSafe 7.0.17.0 2009.07.23 - eTrust-Vet 31.6.6640 2009.07.25 - F-Prot 4.4.4.56 2009.07.24 - F-Secure 8.0.14470.0 2009.07.24 - Fortinet 3.120.0.0 2009.07.25 - GData 19 2009.07.25 - Ikarus T3.1.1.64.0 2009.07.25 - Jiangmin 11.0.800 2009.07.25 - K7AntiVirus 7.10.802 2009.07.25 - Kaspersky 7.0.0.125 2009.07.25 - McAfee 5687 2009.07.24 - McAfee+Artemis 5687 2009.07.24 - McAfee-GW-Edition 6.8.5 2009.07.25 - Microsoft 1.4903 2009.07.25 - NOD32 4276 2009.07.25 - Norman 6.01.09 2009.07.24 - nProtect 2009.1.8.0 2009.07.25 - Panda 10.0.0.14 2009.07.25 - PCTools 4.4.2.0 2009.07.24 - Prevx 3.0 2009.07.25 - Rising 21.39.52.00 2009.07.25 - Sophos 4.44.0 2009.07.25 - Sunbelt 3.2.1858.2 2009.07.23 - Symantec 1.4.4.12 2009.07.25 - TheHacker 6.3.4.3.373 2009.07.24 - TrendMicro 8.950.0.1094 2009.07.25 - VBA32 3.12.10.9 2009.07.24 - ViRobot 2009.7.25.1853 2009.07.25 - VirusBuster 4.6.5.0 2009.07.24 - weitere Informationen File size: 891448 bytes MD5 : 82e266bee5f0167e41c6ecfdd2a79c02 SHA1 : f633629656e43452aa08611f0f72d24a46e7441c SHA256: 1f462e882a662b2a133df035c435001b2ef6364f49a9ed6a6d98bd643093b666 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xDB1B9 timedatestamp.....: 0x4812C4F1 (Sat Apr 26 08:00:17 2008) machinetype.......: 0x14C (Intel I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xB845A 0xB8600 6.56 00a1233fe9746187447652d7dc3ffbc6 .rdata 0xBA000 0xA624 0xA800 5.96 493d852e4c61e97ecccb7c0f9ef00453 .data 0xC5000 0x127BC 0x8200 0.73 4b04e70641bc018f3bb3ecfe21d14085 PAGE 0xD8000 0x998 0xA00 6.24 adb86400cc1779d55c23b4541ed877a5 .edata 0xD9000 0x49 0x200 0.85 bc4f6499041f7ae6ccd4f9bc34c9a0a6 PAGECONS 0xDA000 0x78 0x200 1.25 c38c1652cc4ccd80c9fa5a4b7fd44dce INIT 0xDB000 0x3E4A 0x4000 5.86 ae6a9304fa92558ccc9e7b58b71aea61 .rsrc 0xDF000 0x3E0 0x400 3.35 26021db0eb5acfd57a42b734b5c2a9bd .reloc 0xE0000 0x6B2C 0x6C00 6.77 652655dbea4ffa2f4b600805faa41e67 ( 0 imports ) ( 0 exports ) TrID : File type identification Win64 Executable Generic (87.2%) Win32 Executable Generic (8.6%) Generic Win/DOS Executable (2.0%) DOS Executable Generic (2.0%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 24576:AU8e8jAyOLkAnwNfH7QijBpVptQ9xtoYA8pk2NoahI/9+6lG:XBmpExtUGzh PEiD : - RDS : NSRL Reference Data Set - |
|
13.08.2009, 18:56
| #8 |
| | PC ist zu langsam. Bei Avira habe ich mir die AVIRA AntiVir 2009 Internet Security installiert. Also die kostenpflichtige Version. |
|
14.08.2009, 06:38
| #9 |
| | PC ist zu langsam. Hi, das hier in den Editor (Start->Ausführen->nodepad) kopieren und dann auf dem Desktop als mweg.reg speichern (nicht unter "txt"): Code:
ATTFilter
REGEDIT4
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ffde796-3aca-11de-8fd2-001e68e3dc32}]
Systemwiederherstellung löschen BSI-Faltblattt (http://www.bsi.de/literat/faltbl/F24VirenundCo.htm) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Was zeigt GMER an? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
14.08.2009, 16:39
| #10 |
| | PC ist zu langsam.Premium Security Suite Erstellungsdatum der Reportdatei: Freitag, 14. August 2009 15:54 Es wird nach 1636071 Virenstämmen gesucht. Lizenznehmer : Seriennummer : Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : RUBY-PC Versionsinformationen: BUILD.DAT : 9.0.0.381 29019 Bytes 29.07.2009 10:15:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 13.08.2009 16:51:31 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 16:51:30 ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10.08.2009 16:51:30 ANTIVIR3.VDF : 7.1.5.109 246784 Bytes 13.08.2009 16:51:30 Engineversion : 8.2.1.1 AEVDF.DLL : 8.1.1.1 106868 Bytes 13.08.2009 16:51:30 AESCRIPT.DLL : 8.1.2.25 459130 Bytes 13.08.2009 16:51:30 AESCN.DLL : 8.1.2.4 127348 Bytes 13.08.2009 16:51:30 AERDL.DLL : 8.1.2.4 430452 Bytes 13.08.2009 16:51:30 AEPACK.DLL : 8.1.3.18 401783 Bytes 13.08.2009 16:51:30 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 13.08.2009 16:51:30 AEHEUR.DLL : 8.1.0.154 1917302 Bytes 13.08.2009 16:51:30 AEHELP.DLL : 8.1.5.3 233846 Bytes 13.08.2009 16:51:30 AEGEN.DLL : 8.1.1.56 356725 Bytes 13.08.2009 16:51:30 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 13.08.2009 16:51:30 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 13.08.2009 16:51:30 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21 RCIMAGE.DLL : 9.0.0.25 2902785 Bytes 13.08.2009 16:51:29 RCTEXT.DLL : 9.0.37.0 91393 Bytes 13.08.2009 16:51:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 14. August 2009 15:54 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '81929' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Xfire.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BASVC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ETService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Agentsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CompPtcVUI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'upeksvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '50' Prozesse mit '50' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '39' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' <DATA> Ende des Suchlaufs: Freitag, 14. August 2009 17:14 Benötigte Zeit: 1:19:49 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 17854 Verzeichnisse wurden überprüft 233537 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 233535 Dateien ohne Befall 1145 Archive wurden durchsucht 2 Warnungen 2 Hinweise 81929 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
|
14.08.2009, 16:40
| #11 |
| | PC ist zu langsam. Logfile of random's system information tool 1.06 (written by random/random) Run by Ruby at 2009-08-14 17:34:57 Microsoft® Windows Vista™ Home Premium Service Pack 1 System drive C: has 40 GB (35%) free of 114 GB Total RAM: 2525 MB (52% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:35:14, on 14.08.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18294) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Windows\System32\mobsync.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Program Files\Xfire\Xfire.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\conime.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Ruby\Desktop\RSIT.exe C:\Program Files\Trend Micro\HijackThis\Ruby.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0409&m=aspire_6530g R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe O9 - Extra button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe O9 - Extra 'Tools' menuitem: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer\Acer Bio Protection\PwdBank.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll O20 - Winlogon Notify: spba - C:\Program Files\Common Files\SPBA\homefus2.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: McAfee Network Agent (McNASvc) - Unknown owner - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe (file missing) O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe -- End of file - 5414 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96}] ShowBarObj Class - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll [2008-07-29 312880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {0BF43445-2F28-4351-9252-17FE6E806AA0} {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - Acer eDataSecurity Management - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll [2008-07-29 142896] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-03-08 40048] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray] C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe [2008-04-25 28672] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eAudio] C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe [2008-05-30 544768] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe [2008-07-29 526896] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe] C:\Windows\ehome\ehTray.exe [2008-01-21 125952] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe [2008-08-01 405504] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE [2008-06-17 817672] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetI] C:\Windows\PLFSetI.exe [2008-06-30 200704] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl] C:\Windows\RtHDVCpl.exe [2008-08-19 6265376] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel] C:\Windows\Skytel.exe [2008-08-19 1833504] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-07-16 61440] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2008-04-25 1049896] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TQ566808] E:\Setup.exe [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe [2008-01-29 303104] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WheelMouse] C:\ADVANC~1\wh_exec.exe [2007-11-10 98304] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter] oobefldr.dll,ShowWelcomeCenter [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZPdtWzdVitaKey MC3000] C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe [2009-04-18 3673600] C:\Users\Ruby\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Xfire.lnk - C:\Program Files\Xfire\Xfire.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AWinNotifyVitaKey MC3000] C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll [2009-04-18 3116032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\spba] C:\Program Files\Common Files\SPBA\homefus2.dll [2008-03-25 567560] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableUIADesktopToggle"=0 "DisableCAD"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] ======List of files/folders created in the last 1 months====== 2009-08-13 19:39:36 ----D---- C:\Windows\temp 2009-08-13 19:39:33 ----A---- C:\ComboFix.txt 2009-08-13 19:32:51 ----SHD---- C:\$RECYCLE.BIN 2009-08-13 19:16:26 ----A---- C:\Windows\zip.exe 2009-08-13 19:16:26 ----A---- C:\Windows\SWXCACLS.exe 2009-08-13 19:16:26 ----A---- C:\Windows\SWSC.exe 2009-08-13 19:16:26 ----A---- C:\Windows\SWREG.exe 2009-08-13 19:16:26 ----A---- C:\Windows\sed.exe 2009-08-13 19:16:26 ----A---- C:\Windows\PEV.exe 2009-08-13 19:16:26 ----A---- C:\Windows\NIRCMD.exe 2009-08-13 19:16:26 ----A---- C:\Windows\grep.exe 2009-08-13 19:16:14 ----D---- C:\Windows\ERDNT 2009-08-13 19:16:04 ----D---- C:\Qoobox 2009-08-13 19:14:43 ----D---- C:\Windows\pss 2009-08-13 18:34:04 ----D---- C:\ProgramData\Avira 2009-08-13 18:34:04 ----D---- C:\Program Files\Avira 2009-08-13 05:43:56 ----D---- C:\Program Files\Common Files\Scanner 2009-08-13 05:43:52 ----D---- C:\Program Files\CA Yahoo! Anti-Spy 2009-08-12 18:44:06 ----D---- C:\rsit 2009-08-12 17:14:44 ----D---- C:\Users\Ruby\AppData\Roaming\Malwarebytes 2009-08-12 17:14:35 ----A---- C:\Windows\system32\atl.dll 2009-08-12 17:14:33 ----D---- C:\ProgramData\Malwarebytes 2009-08-12 17:14:32 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-08-12 17:14:32 ----A---- C:\Windows\system32\wkssvc.dll 2009-08-12 17:14:29 ----A---- C:\Windows\system32\mstscax.dll 2009-08-12 17:14:27 ----A---- C:\Windows\system32\avifil32.dll 2009-08-12 17:14:18 ----A---- C:\Windows\system32\wmp.dll 2009-08-12 17:14:17 ----A---- C:\Windows\system32\wmpdxm.dll 2009-08-12 17:14:16 ----A---- C:\Windows\system32\spwmp.dll 2009-08-12 17:14:15 ----A---- C:\Windows\system32\dxmasf.dll 2009-08-12 17:14:14 ----A---- C:\Windows\system32\wmploc.DLL 2009-08-11 20:32:15 ----D---- C:\Program Files\Trend Micro 2009-07-29 17:51:16 ----A---- C:\Windows\system32\mshtml.dll 2009-07-29 17:51:15 ----A---- C:\Windows\system32\occache.dll 2009-07-29 17:51:13 ----A---- C:\Windows\system32\ieframe.dll 2009-07-29 17:51:11 ----A---- C:\Windows\system32\wininet.dll 2009-07-29 17:51:11 ----A---- C:\Windows\system32\urlmon.dll 2009-07-29 17:51:10 ----A---- C:\Windows\system32\iertutil.dll 2009-07-29 17:51:09 ----A---- C:\Windows\system32\msfeeds.dll 2009-07-29 17:51:09 ----A---- C:\Windows\system32\iedkcs32.dll 2009-07-29 17:51:09 ----A---- C:\Windows\system32\ieaksie.dll 2009-07-29 17:51:08 ----A---- C:\Windows\system32\mstime.dll 2009-07-29 17:51:08 ----A---- C:\Windows\system32\jsproxy.dll 2009-07-29 17:51:08 ----A---- C:\Windows\system32\ieUnatt.exe 2009-07-29 17:51:08 ----A---- C:\Windows\system32\ieencode.dll 2009-07-27 14:18:43 ----D---- C:\ProgramData\Media Center Programs 2009-07-27 14:18:42 ----D---- C:\Program Files\GUILD WARS 2009-07-24 03:57:06 ----A---- C:\Windows\system32\xfcodec.dll 2009-07-17 14:41:29 ----D---- C:\Users\Ruby\AppData\Roaming\Winamp 2009-07-17 14:41:29 ----D---- C:\Program Files\Winamp 2009-07-17 13:18:04 ----D---- C:\Users\Ruby\AppData\Roaming\dvdcss 2009-07-15 19:46:10 ----A---- C:\Windows\system32\t2embed.dll 2009-07-15 19:46:09 ----A---- C:\Windows\system32\fontsub.dll 2009-07-15 19:46:09 ----A---- C:\Windows\system32\dciman32.dll 2009-07-15 19:46:09 ----A---- C:\Windows\system32\atmfd.dll 2009-07-15 19:20:15 ----D---- C:\Program Files\Games-Masters.com ======List of files/folders modified in the last 1 months====== 2009-08-14 16:44:23 ----D---- C:\Users\Ruby\AppData\Roaming\Xfire 2009-08-14 14:50:19 ----D---- C:\Windows\System32 2009-08-14 14:50:19 ----A---- C:\Windows\system32\PerfStringBackup.INI 2009-08-14 14:50:18 ----D---- C:\Windows\inf 2009-08-13 19:39:38 ----D---- C:\Windows\system32\drivers 2009-08-13 19:39:38 ----D---- C:\Windows\system32\de-DE 2009-08-13 19:39:36 ----D---- C:\Windows 2009-08-13 19:38:05 ----D---- C:\Windows\Prefetch 2009-08-13 19:33:00 ----A---- C:\Windows\system.ini 2009-08-13 19:30:41 ----D---- C:\Windows\system32\config 2009-08-13 19:29:06 ----SHD---- C:\Windows\Installer 2009-08-13 19:25:40 ----D---- C:\Windows\AppPatch 2009-08-13 19:25:37 ----D---- C:\Program Files\Common Files 2009-08-13 19:24:28 ----SHD---- C:\System Volume Information 2009-08-13 19:09:52 ----D---- C:\Windows\system32\catroot 2009-08-13 18:56:26 ----SD---- C:\Users\Ruby\AppData\Roaming\Microsoft 2009-08-13 18:34:54 ----D---- C:\Windows\system32\catroot2 2009-08-13 18:34:04 ----RD---- C:\Program Files 2009-08-13 18:34:04 ----HD---- C:\ProgramData 2009-08-13 17:17:56 ----D---- C:\ProgramData\Xfire 2009-08-13 05:34:53 ----D---- C:\Windows\system32\Tasks 2009-08-13 05:33:00 ----D---- C:\Windows\Debug 2009-08-13 05:30:47 ----D---- C:\Windows\winsxs 2009-08-13 05:10:57 ----D---- C:\Program Files\Windows Media Player 2009-08-13 05:10:21 ----D---- C:\Program Files\Windows Mail 2009-08-06 22:17:32 ----D---- C:\Program Files\Mozilla Firefox 2009-07-30 08:20:14 ----D---- C:\Program Files\Internet Explorer 2009-07-30 02:49:14 ----A---- C:\Windows\system32\mrt.exe 2009-07-29 17:42:29 ----D---- C:\Program Files\Xfire 2009-07-17 14:19:34 ----DC---- C:\Windows\system32\DRVSTORE 2009-07-17 13:32:58 ----D---- C:\Program Files\VideoLAN ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608] R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-08-13 96104] R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-08-13 28520] R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-13 55656] R2 int15;int15; \??\C:\Windows\system32\drivers\int15.sys [2007-01-26 69632] R2 PSDNServ;PSDNServ; C:\Windows\system32\DRIVERS\PSDNServ.sys [2008-07-29 16944] R2 psdvdisk;PSDVdisk; C:\Windows\system32\DRIVERS\PSDVdisk.sys [2008-07-29 60464] R3 AgereSoftModem;Agere Systems Soft Modem; C:\Windows\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776] R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2008-07-28 919552] R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-07-22 3885568] R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208] R3 DKbFltr;Dritek Keyboard Filter Driver; C:\Windows\system32\DRIVERS\DKbFltr.sys [2006-11-02 21264] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-08-19 2161760] R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x86.sys [2008-07-22 47616] R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2008-01-30 14848] R3 RTHDMIAzAudService;Service for HDMI; C:\Windows\system32\drivers\RtHDMIV.sys [2008-07-18 148192] R3 RTSTOR;Realtek USB 2.0 Card Reader; C:\Windows\system32\drivers\RTSTOR.SYS [2008-06-05 62464] R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2008-04-25 199472] R3 TcUsb;TC USB Kernel Driver; C:\Windows\System32\Drivers\tcusb.sys [2008-01-30 50576] R3 usbfilter;AMD USB Filter Driver; C:\Windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072] R3 usbvideo;USB-Videogerät (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2008-01-21 134016] R3 winbondcir;Winbond IR Transceiver; C:\Windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008] R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264] R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328] S3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632] S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520] S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192] S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888] S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016] S3 netr28;Ralink 802.11n Wireless Driver for Windows Vista; C:\Windows\system32\DRIVERS\netr28.sys [2008-08-08 419328] S3 whfltr2k;WheelMouse USB Lower Filter Driver; C:\Windows\system32\DRIVERS\whfltr2k.sys [2007-01-26 6784] S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936] S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656] S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\Windows\system32\agrsmsvc.exe [2008-03-18 13312] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-08-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-13 185089] R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2008-07-22 700416] R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 BUNAgentSvc;NTI Backup Now 5 Agent Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384] R2 eDataSecurity Service;eDataSecurity Service; C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe [2008-07-29 500784] R2 ETService;Empowering Technology Service; C:\Program Files\Acer\Empowering Technology\Service\ETService.exe [2008-06-02 24576] R2 IGBASVC;iGroupTec Service; C:\Program Files\Acer\Acer Bio Protection\BASVC.exe [2009-04-18 3521024] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-01-17 61440] R2 MobilityService;MobilityService; C:\Acer\Mobility Center\MobilityService.exe [2007-12-06 110592] R2 NTIBackupSvc;NTI Backup Now 5 Backup Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 45056] R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 131072] S2 AntiVirFirewallService;Avira Firewall; C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe [2009-08-13 388865] S2 AntiVirMailService;Avira AntiVir MailGuard; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [2009-08-13 194817] S2 AntiVirWebService;Avira AntiVir WebGuard; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2009-08-13 434945] S2 McNASvc;McAfee Network Agent; c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe [] -----------------EOF----------------- |
|
14.08.2009, 17:26
| #12 |
| | PC ist zu langsam. GMER 1.0.15.15020 [7ki802c3.exe] - http://www.gmer.net Rootkit scan 2009-08-14 18:25:53 Windows 6.0.6001 Service Pack 1 ---- System - GMER 1.0.15 ---- SSDT 8B3A1B7C ZwCreateThread SSDT 8B3A1B68 ZwOpenProcess SSDT 8B3A1B6D ZwOpenThread SSDT 8B3A1B77 ZwTerminateProcess SSDT 8B3A1B72 ZwWriteVirtualMemory .text ... ---- User code sections - GMER 1.0.15 ---- .text C:\Windows\Explorer.EXE[2520] SHELL32.dll!InitNetworkAddressControl + 2939 75D80064 4 Bytes [00, 26, 00, 10] {ADD [ESI], AH; ADD [EAX], DL} .text C:\Windows\Explorer.EXE[2520] SHELL32.dll!ShellExecuteExW + 121F 75DB11DC 4 Bytes [10, 1B, 00, 10] {ADC [EBX], BL; ADD [EAX], DL} .text C:\Program Files\Xfire\Xfire.exe[2880] kernel32.dll!CreateProcessA 75C61C36 5 Bytes JMP 03997A2F C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] kernel32.dll!CreateThread 75CA46C8 5 Bytes JMP 039973D3 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] GDI32.dll!BitBlt 76F76CE7 5 Bytes JMP 03996E4B C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!InvalidateRgn 76FC8009 5 Bytes JMP 03997031 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!SetForegroundWindow 76FCB5F5 5 Bytes JMP 0399766C C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!SetCapture 76FCC057 5 Bytes JMP 039970CF C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!SetFocus 76FCC5EF 5 Bytes JMP 03996EFB C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!RegisterClassA 76FCFD9A 5 Bytes JMP 0399733B C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!SetWindowPos 76FD21FE 5 Bytes JMP 039975C2 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!CreateWindowExW 76FD3D67 5 Bytes JMP 03997704 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!GetDC 76FD9562 5 Bytes JMP 03996D1C C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!BeginPaint 76FDA0C9 5 Bytes JMP 03996C88 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!RedrawWindow 76FDA113 5 Bytes JMP 0399729A C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!ReleaseDC 76FE079D 5 Bytes JMP 03996DB0 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!IsWindowVisible 76FE0CDC 7 Bytes JMP 039977BD C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!InvalidateRect 76FE0E61 5 Bytes JMP 03996F93 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!GetCursorPos 76FE0F5E 5 Bytes JMP 03997167 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!TrackPopupMenu 76FE1417 5 Bytes JMP 03997985 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!DialogBoxParamW 76FE1FD5 5 Bytes JMP 0399747A C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!CreateDialogParamW 76FF1C58 5 Bytes JMP 0399751E C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Xfire\Xfire.exe[2880] USER32.dll!WindowFromPoint 76FF3ADE 5 Bytes JMP 039971FF C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Mozilla Firefox\firefox.exe[3140] kernel32.dll!LoadLibraryW 75C8361F 5 Bytes JMP 023701A3 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Program Files\Mozilla Firefox\firefox.exe[3140] kernel32.dll!LoadLibraryA 75C89491 5 Bytes JMP 023700A3 C:\Program Files\Xfire\xfire_toucan_38312.dll (Xfire Toucan DLL/Xfire Inc.) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74157BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [741998C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7415D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7414F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74157599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7414E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [7418B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [7415D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [7415012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74150095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [741471F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [741DD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [741775E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7414DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7414668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [741466BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74151E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [100027E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [10001D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10002B30] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) IAT C:\Windows\Explorer.EXE[2520] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [100011D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
|
15.08.2009, 07:43
| #13 |
| | PC ist zu langsam. Hi, sieht okay aus... Probieren wir das hier mal aus: System Reparieren: Ggf. vorher Backup machen Lade Dir "Advanced Windowscare Professional" von folgender Adresse: http://www.iobit.com/advancedwindowscareper.html?Str=download Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen. Erstelle einen Systemwiederherstellungspunkt (Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen. Führe dann einen Update der Signatur/Reperaturdateien aus. Lasse dann das gesamte System scannen und Bereinigen sowie Immunisieren. Damit werden einige Einträge wieder gerade gebogen, die von Trojaneren/Viren verbogen worden sind... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu PC ist zu langsam. |
| 100%, adobe, agere systems, antivir, antivir guard, avg, avira, bho, defender, desktop, explorer, firefox, hijack, hijackthis, internet, internet explorer, langsam, launch, local\temp, mozilla, pc läuft, pdf, popup, rundll, software, sweetim, system, temp, vista, windows, zu langsam |
Linear-Darstellung
