Hi Leute,

ich bin ziemlich hilflos, habe mir online auf irgendeiner Seite an die ich mich leider nicht mehr erinnern kann Trojaner, Viren, Würmer eingefangen.

Mein Computer ist ziemlich verseucht.
Cyber Security zeigt mir 42 threats an.
Für die Beseitigung wird aber eingefordert registriert zu sein, was wiederum nicht möglich ist ohne zu bezahlen.

Avira AntiVir wird vom Virus blockiert und ist nicht mehr zu öffnen, ebenso Ad-Aware.

Malwarebytes Anti-Maleware kann ich aufrufen, bricht allerdings ab wenn ich den System Scan durchführen will.

Habe zu diesem Thema online selber nichts gefunden.

Wenn mir irgendeiner helfen kann wäre ich sehr sehr dankbar. im Voraus.

Hi,

schauen wir mal, ob wir ein Log erstellen können...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Hast Du einen sauberen Rechner, auf dem eine Boot-CD erstellt werden kann?

chris

hallöchen zusammen....

erstmal zu meiner person:

ich bin seit weiss nicht wie lange informationen darüber am sammeln
was denn mit meinem pc nicht stimmt.....
aufgefallen ich mir alles erst
als ich meinen task manager mal öffnen wollte....
(ich auf die leiste - rechtsklick . taskmgr. schwach angezeigt.)
bei anklicken oder über -AUSFÜHREN-
wird mir gesagt
das der mgr. durch admin deaktiviert wurde???

ich admin,- nix deativiert???

ich wusste nicht mehr weiter
hab gegogglt woran es denn liegen könnte.
da kahm der stein ins rollen.....

nachdem ich dann gelesen habe
das sowas auch ganz gerne viren/trojaner vornehmen
"denke um laufende prozesse zu vertuschen"
hab ich dann versucht
"mehrfach" antivir ans laufen zu bekommen
ging aber nit.
nach anklicken kahm kurz mal diese lade uhr
aber weiter tat sich nichts.
ich also antivir runter und das nachste drauf.
"varianten mehrfach ausgeführt und wiederholt"
tat sich aber nicht.....über haupt nix!
dann hatte online scanner ausprobiert welcher auch funzzte
dieser sagte mir "das sich 4 infizierte dateinen in c befinden"
nachdem ich also wusste wie die heissen
und wo sich diese befinden
wollte ich die dann manuel löschen.
nachdem ich von 4 lediglich 1 löschen konnte
wurde mir nach einem weiteren scann
dann nicht wie man denk 3angezeigt,
nein da hatte ich dann aufeinmal 5da stehen -.-

---also ich weiß wenn alle stricke reissen "format und install" ---

mir wird auch ständig gesagt das andere personen
oder programme dieses benutzen
und dadurch nicht gelösch werden kann.

hab dann auch was anderes ausprobiert.
----deaktiviren der wlan verbindung----
"denk wenn sich von aussen was einschalten kann,
dann kann ich quasie auch tür zu machen"
pc runtergefahren"bis aus" und neu gestartet"power on"
ich dann in den verseuchten ordner...
"vorher musste ich aber versteckte dateien anzeigen lassen...
----und das echt überall.!!!
kann es sein?? dass,(sich diese dinger damit versuchen zu schützen indem sie div. sachen deaktiviren oder ständig verstellen???)
ich hab auch das gefühl das,
je öffters ich informationen über solche viren
oder scanner versuche zu finden,
meine interne/wlan verbindung probleme macht.
(erst seit endeckung der viren)

jut ich will mir jetzt auch oder bzw. euch keinen wolf auflaber sollte nur als kleines vorwort dienen....

ich danke dir weil ich inetwa den selben stress wie S4P hab

ich habs so gemacht wie ich verstanden hab. wobei ich aber nur intaliert hab und der rest ist so gekommen....

-----------------------------------------------------------------------
-----------------------------------------------------------------------
log - Editor
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administration at 2009-11-16 01:31:41
Microsoft Windows XP Professional Service Pack 2
System drive C: has 33 GB (60%) free of 55 GB
Total RAM: 511 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:31:56, on 16.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Bluetooth\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Firefox\firefox.exe
C:\Programme\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\ADMINI~2\LOKALE~1\Temp\wfmb.exe
C:\Dokumente und Einstellungen\Administration\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\Administration.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [mouseElf] C:\NAVIGA~1\MouseElf.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows Updater] paste.exe
O4 - HKLM\..\RunServices: [WUSB54GC] %ProgramFiles%\
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\btsendto_ie.htm
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8441386F-6CEA-4177-AE43-C8C2C9E43A52}: NameServer = 194.25.2.129
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\mzvkbd3.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 6808 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 54248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - C:\Programme\Kaspersky Anti-Virus 2010\ievkbd.dll [2009-05-25 68112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-11-13 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class - C:\Programme\Kaspersky Anti-Virus 2010\klwtbbho.dll [2009-05-25 264720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-11-13 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mouseElf"=C:\NAVIGA~1\MouseElf.EXE []
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2003-12-13 33792]
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-08-30 417792]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2008-11-20 290088]
"H2O"=C:\Programme\SyncroSoft\Pos\H2O\cledx.exe []
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-09-22 167936]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-11-04 413696]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2005-11-11 7311360]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\System32\NvMcTray.dll [2005-11-11 86016]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-11-13 149280]
"AVP"=C:\Programme\Kaspersky Anti-Virus 2010\avp.exe [2009-05-25 303376]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2007-08-31 249896]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [2002-11-02 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE [2004-12-09 1141760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\MSMSGS.EXE [2004-08-04 1745408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe [2004-11-25 217088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe [2004-11-24 958464]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Updater]
C:\WINDOWS\system32\paste.exe [2005-01-18 188416]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winupdates]
C:\Programme\winupdates\winupdates.exe [2005-06-13 2449408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3
"CPUCooLServer"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\mzvkbd3.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-08-31 46080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2009-05-25 219664]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=1
"DisableRegistryTools"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableLUA"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\paste.exe"="C:\WINDOWS\system32\paste.exe:*isabledaste"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"M:\jesyts.exe"="M:\jesyts.exe:*:Enabled:ipsec"
"C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe:*:Enabled:ipsec"
"C:\WINDOWS\system32\netsh.exe"="C:\WINDOWS\system32\netsh.exe:*:Enabled:ipsec"
"C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe:*:Enabled:ipsec"
"C:\Programme\Navigator\MouseElf.exe"="C:\Programme\Navigator\MouseElf.exe:*:Enabled:ipsec"
"C:\Programme\AVPersonal\AVGNT.EXE"="C:\Programme\AVPersonal\AVGNT.EXE:*:Enabled:ipsec"
"C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:ipsec"
"C:\WINDOWS\system32\userinit.exe"="C:\WINDOWS\system32\userinit.exe:*:Enabled:ipsec"
"C:\Programme\Winamp\winampa.exe"="C:\Programme\Winamp\winampa.exe:*:Enabled:ipsec"
"C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe"="C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe:*:Enabled:ipsec"
"C:\Spiele\Rise of Nations\nations.exe"="C:\Spiele\Rise of Nations\nations.exe:*:Enabled:Rise of Nations"
"C:\Spiele\Rise of Nations\thrones.exe"="C:\Spiele\Rise of Nations\thrones.exe:*isabled:Rise of Nations"
"C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\0004\AegisI5.exe"="C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\0004\AegisI5.exe:*:Enabled:ipsec"
"C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\RMV.exe"="C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\RMV.exe:*:Enabled:ipsec"
"C:\WINDOWS\system32\nwiz.exe"="C:\WINDOWS\system32\nwiz.exe:*:Enabled:ipsec"
"C:\WINDOWS\SOUNDMAN.EXE"="C:\WINDOWS\SOUNDMAN.EXE:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winbyagw.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winbyagw.exe:*:Enabled:ipsec"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winhclkli.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winhclkli.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\uucdi.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\uucdi.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winqielb.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winqielb.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\wingvlrv.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\wingvlrv.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\w4d742.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\w4d742.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winvlnlqm.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winvlnlqm.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winjduc.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winjduc.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winlwvghl.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winlwvghl.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winirsyy.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winirsyy.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\hldbj.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\hldbj.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\w51fc4.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\w51fc4.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\jldmk.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\jldmk.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\wintrxiuu.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\wintrxiuu.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\wkktpo.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\wkktpo.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\dfwguv.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\dfwguv.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winwyvrv.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winwyvrv.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\fecfil.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\fecfil.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winokcq.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winokcq.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\gtfw.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\gtfw.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winolnb.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winolnb.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winmwaj.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winmwaj.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winervtv.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winervtv.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\qvuwu.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\qvuwu.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winuosq.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winuosq.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\w4d676.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\w4d676.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winsapu.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winsapu.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\sswjh.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\sswjh.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\yfim.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\yfim.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\jmkyt.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\jmkyt.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winuekf.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winuekf.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\jhnp.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\jhnp.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\adtjnq.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\adtjnq.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\seufse.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\seufse.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\lkqur.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\lkqur.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\uvsfu.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\uvsfu.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winfiisao.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winfiisao.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\vcytcg.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\vcytcg.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winmeff.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winmeff.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winmmixnt.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winmmixnt.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\rblxt.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\rblxt.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\vmbuom.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\vmbuom.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\wintfgan.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\wintfgan.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\w4c9b5.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\w4c9b5.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\qbaxij.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\qbaxij.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winxnaudy.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winxnaudy.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\keoe.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\keoe.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winafkpb.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winafkpb.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winmjiq.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winmjiq.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\wineihujm.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\wineihujm.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\kxpj.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\kxpj.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winbrhvlr.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winbrhvlr.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winkhle.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winkhle.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winthun.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winthun.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\aeid.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\aeid.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\clkg.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\clkg.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\tjux.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\tjux.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\kiml.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\kiml.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winsxwovl.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winsxwovl.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\dyggdc.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\dyggdc.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winsnqu.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winsnqu.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\dxfax.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\dxfax.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\idriek.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\idriek.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winrvbmjq.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winrvbmjq.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winpuoe.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winpuoe.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\racnd.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\racnd.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\bhqivf.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\bhqivf.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winjvlp.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winjvlp.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\hrkdi.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\hrkdi.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winjiyd.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winjiyd.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\eniwv.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\eniwv.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\bvshu.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\bvshu.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winfehem.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winfehem.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winnubn.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winnubn.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\waersd.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\waersd.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\winaerhy.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\winaerhy.exe:*:Enabled:ipsec"
"C:\DOKUME~1\User\LOKALE~1\Temp\w51063.exe"="C:\DOKUME~1\User\LOKALE~1\Temp\w51063.exe:*:Enabled:ipsec"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Sync\WindowsLiveSync.exe"="C:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

======File associations======

.reg - open - "regedit.exe" "%1"

======List of files/folders created in the last 1 months======

2099-05-06 15:07:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2099-05-06 15:07:56 ----D---- C:\Programme\Spybot - Search & Destroy
2099-05-06 11:48:33 ----AC---- C:\WINDOWS\ntbtlog.txt
2099-05-06 11:41:28 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2099-04-29 14:25:27 ----AC---- C:\WINDOWS\system32\atidrab.dll
2099-04-29 14:25:27 ----A---- C:\WINDOWS\system32\atievxx.exe
2099-04-29 10:14:12 ----AC---- C:\WINDOWS\system32\NVUNINST.EXE
2099-04-24 16:07:49 ----AC---- C:\WINDOWS\system32\iuengine.dll
2099-04-24 16:07:32 ----D---- C:\WINDOWS\nview
2099-04-24 16:07:32 ----AC---- C:\WINDOWS\system32\nvudisp.exe
2099-04-24 16:07:07 ----D---- C:\NVIDIA
2009-11-16 01:31:43 ----D---- C:\Programme\trend micro
2009-11-16 01:31:41 ----D---- C:\rsit
2009-11-16 01:14:26 ----D---- C:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Macromedia
2009-11-16 01:14:26 ----D---- C:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Adobe
2009-11-16 00:46:33 ----D---- C:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Mozilla
2009-11-16 00:41:53 ----A---- C:\WINDOWS\system32\wmpns.dll
2009-11-16 00:41:52 ----D---- C:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities
2009-11-16 00:41:04 ----ASH---- C:\Dokumente und Einstellungen\Administration\Anwendungsdaten\desktop.ini
2009-11-16 00:41:03 ----SD---- C:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Microsoft
2009-11-14 05:14:59 ----A---- C:\WINDOWS\wininit.ini
2009-11-14 04:54:19 ----D---- C:\Programme\Avira
2009-11-14 04:54:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-11-13 12:33:53 ----D---- C:\Programme\Kaspersky Anti-Virus 2010
2009-11-13 12:33:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-13 12:26:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-11-13 10:52:06 ----A---- C:\DelUS2.BAT
2009-11-13 04:43:42 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-11-13 02:53:36 ----A---- C:\WINDOWS\system32\javaws.exe
2009-11-13 02:53:36 ----A---- C:\WINDOWS\system32\javaw.exe
2009-11-13 02:53:36 ----A---- C:\WINDOWS\system32\java.exe
2009-11-13 02:53:36 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-11-13 02:53:08 ----D---- C:\Programme\Java
2009-11-11 04:31:40 ----A---- C:\WINDOWS\system32\VB6DE.DLL
2009-11-11 04:31:39 ----D---- C:\Programme\Diamonds
2009-11-11 04:31:39 ----A---- C:\WINDOWS\system32\CMDLGDE.DLL
2009-11-09 14:23:14 ----D---- C:\Programme\Bluetooth
2009-11-09 14:20:08 ----RA---- C:\WINDOWS\system32\btw_ci.dll
2009-11-05 15:44:09 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-11-05 15:43:18 ----D---- C:\Programme\Microsoft SQL Server Compact Edition
2009-11-05 15:41:45 ----HDC---- C:\WINDOWS\$NtUninstallWIC$
2009-11-04 15:49:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-11-02 16:17:46 ----D---- C:\Programme\Everest Poker
2009-11-02 16:09:47 ----D---- C:\Programme\Microsoft
2009-11-02 16:09:24 ----D---- C:\Programme\Windows Live SkyDrive
2009-11-02 16:08:56 ----D---- C:\Programme\Windows Live
2009-11-02 16:02:50 ----D---- C:\Programme\Gemeinsame Dateien\Windows Live
2009-11-02 15:49:37 ----D---- C:\Programme\McAfee Security Scan
2009-11-02 15:49:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee Security Scan

======List of files/folders modified in the last 1 months======

2009-11-16 01:31:43 ----RD---- C:\Programme
2009-11-16 01:29:26 ----D---- C:\WINDOWS\Temp
2009-11-16 01:04:36 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-16 01:04:21 ----D---- C:\Programme\Firefox
2009-11-16 01:02:36 ----D---- C:\WINDOWS\system32\drivers
2009-11-16 01:01:07 ----SHD---- C:\WINDOWS\system32
2009-11-16 00:59:31 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-11-16 00:47:23 ----D---- C:\WINDOWS
2009-11-16 00:42:01 ----SHD---- C:\WINDOWS\Installer
2009-11-16 00:41:55 ----AC---- C:\WINDOWS\OEWABLog.txt
2009-11-16 00:41:17 ----D---- C:\WINDOWS\Prefetch
2009-11-16 00:41:01 ----D---- C:\Dokumente und Einstellungen
2009-11-16 00:14:46 ----A---- C:\WINDOWS\system.ini
2009-11-15 22:03:40 ----D---- C:\Spiele
2009-11-13 14:06:48 ----AC---- C:\WINDOWS\winamp.ini
2009-11-13 13:13:57 ----D---- C:\Programme\Winamp
2009-11-13 12:47:47 ----D---- C:\WINDOWS\system32\CatRoot
2009-11-13 12:47:21 ----HD---- C:\WINDOWS\inf
2009-11-13 10:59:40 ----D---- C:\WINDOWS\WinSxS
2009-11-09 14:26:39 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-11-05 15:44:28 ----D---- C:\WINDOWS\system32\DirectX
2009-11-05 15:43:23 ----RSD---- C:\WINDOWS\assembly
2009-11-04 16:13:39 ----D---- C:\WINDOWS\Minidump
2009-11-02 19:08:18 ----AC---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-11-02 17:30:06 ----D---- C:\WINDOWS\Help
2009-11-02 16:18:16 ----A---- C:\WINDOWS\win.ini
2009-11-02 16:09:31 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-11-02 16:09:31 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-11-02 16:02:50 ----D---- C:\Programme\Gemeinsame Dateien

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2007-09-07 62016]
R1 DcCam;Kodak Camera Proxy; C:\WINDOWS\System32\DRIVERS\DcCam.sys [2003-06-18 36826]
R1 PQNTDrv;PQNTDrv; C:\WINDOWS\system32\drivers\PQNTDrv.sys [2004-05-05 4228]
R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOWS\System32\drivers\prodrv06.sys [2003-10-10 52128]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-03-01 28352]
R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2004-08-03 223616]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.4.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-09-17 20747]
R2 BTSERIAL;Bluetooth Serial Driver; \??\C:\WINDOWS\system32\drivers\btserial.sys []
R2 BTSLBCSP;Bluetooth Port Client Driver; \??\C:\WINDOWS\system32\drivers\btslbcsp.sys []
R2 DCFS2K;Kodak DCFS2K Driver; C:\WINDOWS\system32\drivers\dcfs2k.sys [2003-06-18 38997]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2002-11-29 16320]
R3 abp470n5;abp470n5; \??\C:\WINDOWS\system32\drivers\hgtpkf.sys []
R3 ac97intc;Intel(r) 82801 Audiotreiber-Installationsdienst (WDM); C:\WINDOWS\system32\drivers\ac97intc.sys [2001-08-17 96256]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\System32\DRIVERS\btkrnl.sys [2005-09-20 1342122]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2002-11-28 15360]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 genmcmn;Scroll Mouse Driver; C:\WINDOWS\System32\DRIVERS\gmfiltr.sys [2004-09-15 8576]
R3 GTNDIS5;GTNDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\GTNDIS5.SYS []
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2009-05-13 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:\WINDOWS\system32\DRIVERS\klmouflt.sys [2009-05-16 19472]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2005-11-11 3532928]
R3 RT61;Linksys Wireless-G PCI Adapter Driver(RT61); C:\WINDOWS\system32\DRIVERS\RT61.sys [2005-10-27 356096]
R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2004-08-03 12416]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S1 Exportit;Exportit; C:\WINDOWS\System32\DRIVERS\exportit.sys [2003-06-18 138485]
S1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S2 nvcap;nVidia WDM Video Capture (universal); C:\WINDOWS\System32\DRIVERS\nvcap.sys [2001-10-16 118220]
S2 nvTUNEP;nVidia WDM TVTuner; C:\WINDOWS\System32\DRIVERS\nvtunep.sys [2001-10-16 15968]
S2 nvtvSND;nVidia WDM TVAudio Crossbar; C:\WINDOWS\System32\DRIVERS\nvtvsnd.sys [2001-10-16 45216]
S2 NVXBAR;nVidia WDM A/V Crossbar; C:\WINDOWS\System32\DRIVERS\NVxbar.sys [2001-10-16 10942]
S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-09-22 3727680]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
S3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2005-08-31 1333760]
S3 atimpab;atimpab; C:\WINDOWS\System32\DRIVERS\atimpab.sys [2001-08-18 289920]
S3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
S3 BCM42RLY;BCM42RLY; \??\C:\WINDOWS\System32\BCM42RLY.SYS []
S3 Bridge;MAC-Brücke; C:\WINDOWS\System32\DRIVERS\bridge.sys [2004-08-03 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\System32\DRIVERS\bridge.sys [2004-08-03 71552]
S3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2005-09-20 401664]
S3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\System32\DRIVERS\btport.sys [2005-09-19 30363]
S3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\System32\DRIVERS\btwdndis.sys [2005-09-19 148040]
S3 btwmodem;Bluetooth-Modem; C:\WINDOWS\System32\DRIVERS\btwmodem.sys [2005-09-19 30189]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2005-09-19 56648]
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 DcFpoint;DcFpoint; C:\WINDOWS\System32\DRIVERS\DcFpoint.sys [2003-06-18 61568]
S3 DcLps;Legacy Polling Service; C:\WINDOWS\System32\DRIVERS\DcLps.sys [2003-06-18 8058]
S3 DcPTP;dcptp; C:\WINDOWS\System32\DRIVERS\DcPTP.sys [2003-06-18 63002]
S3 es1969;ESS 1969-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 72192]
S3 genmcmnUSB;USB Scroll Mouse Driver; C:\WINDOWS\System32\DRIVERS\gflmouhid.sys [2004-04-19 6656]
S3 hidgame;Microsoft HID-zu-Joystickanschlussaktivierung; C:\WINDOWS\System32\DRIVERS\hidgame.sys [2001-08-17 8576]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 i81x;i81x; C:\WINDOWS\System32\DRIVERS\i81xnt5.sys [2004-08-03 161020]
S3 iAimFP0;iAimFP0; C:\WINDOWS\System32\DRIVERS\wADV01nt.sys [2004-08-03 12415]
S3 iAimFP1;iAimFP1; C:\WINDOWS\System32\DRIVERS\wADV02NT.sys [2004-08-03 12127]
S3 iAimFP2;iAimFP2; C:\WINDOWS\System32\DRIVERS\wADV05NT.sys [2004-08-03 11775]
S3 iAimFP3;iAimFP3; C:\WINDOWS\System32\DRIVERS\wSiINTxx.sys [2004-08-03 12063]
S3 iAimFP4;iAimFP4; C:\WINDOWS\System32\DRIVERS\wVchNTxx.sys [2004-08-03 19455]
S3 iAimTV0;iAimTV0; C:\WINDOWS\System32\DRIVERS\wATV01nt.sys [2004-08-03 29311]
S3 iAimTV1;iAimTV1; C:\WINDOWS\System32\DRIVERS\wATV02NT.sys [2004-08-03 19551]
S3 iAimTV2;iAimTV2; C:\WINDOWS\System32\DRIVERS\wATV03nt.sys []
S3 iAimTV3;iAimTV3; C:\WINDOWS\System32\DRIVERS\wATV04nt.sys [2004-08-03 33599]
S3 iAimTV4;iAimTV4; C:\WINDOWS\System32\DRIVERS\wCh7xxNT.sys [2004-08-03 23615]
S3 ids00026;ids00026; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []
S3 ids0005c;ids0005c; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []
S3 klstm;klstm; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
S3 ntgrip;Gravis GamePort-Gerätetreiber; C:\WINDOWS\system32\drivers\ntgrip.sys [2001-08-17 51552]
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 sermouse;Serieller Maustreiber; C:\WINDOWS\System32\DRIVERS\sermouse.sys [2001-08-18 18176]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2008-11-07 32000]
S3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2007-08-28 63016]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 btwdins;Bluetooth Service; C:\Programme\Bluetooth\bin\btwdins.exe [2005-09-19 258103]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-11-13 153376]
R2 KodakCCS;Kodak Camera Connection Software; C:\WINDOWS\system32\drivers\KodakCCS.exe [2003-06-18 294972]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2005-11-11 131139]
R2 ScsiAccess;ScsiAccess; C:\WINDOWS\System32\ScsiAccess.EXE [2003-02-04 181312]
R2 UleadBurningHelper;Ulead Burning Helper; C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe [2005-01-31 49152]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]
R3 iPod Service;iPod Service; C:\Programme\iPod\bin\iPodService.exe [2008-11-20 536872]
S2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2007-09-11 214056]
S2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\System32\atievxx.exe [2001-08-18 37376]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2005-08-30 516096]
S2 WMP54Gv4SVC;WMP54Gv4SVC; C:\Programme\Linksys\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe [2006-03-16 57344]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 139264]

-----------------EOF-----------------
-----------------------------------------------------------------------
-----------------------------------------------------------------------

info - Editor
info.txt logfile of random's system information tool 1.06 2009-11-16 01:32:32

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001}
AIDA32 v3.88-->"C:\Programme\AIDA32 - Enterprise System Information\unins000.exe"
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
aspi-->MsiExec.exe /I{015E4B8A-29B5-4AE3-BD08-38220FADFF4C}
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Avira AntiVir PersonalEdition Classic-->C:\Programme\Avira\AntiVir PersonalEdition Classic\setup.exe /REMOVE
Bluetooth Software-->MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679}
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
CCHelp-->MsiExec.exe /I{9D1CF8B6-17B3-4832-B062-2C2DD0B57B04}
CCScore-->MsiExec.exe /I{B4B44FE7-41FF-4DAD-8C0A-E406DDA72992}
CloneCD-->"C:\Programme\Elaborate Bytes\CloneCD\ccd-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneCD"
Cool Edit Pro 2.0-->D:\Coolpro2\cep2unin.exe
CR2-->MsiExec.exe /I{432C3720-37BF-4BD7-8E49-F38E090246D0}
ESSAdpt-->MsiExec.exe /I{D15E9DB5-6BEB-4534-901E-80C0A29BAB97}
ESSANUP-->MsiExec.exe /I{A6F18A67-B771-4191-8A33-36D2E742D6D9}
ESSBrwr-->MsiExec.exe /I{643EAE81-920C-4931-9F0B-4B343B225CA6}
ESSCAM-->MsiExec.exe /I{469730CC-78DF-4CD3-B286-562D459EA619}
ESSCDBK-->MsiExec.exe /I{AE1FA02D-E6A4-4EA0-8E58-6483CAC016DD}
ESScore-->MsiExec.exe /I{9D8FEE90-0377-49A9-AEFB-525BDE549BA4}
ESSgui-->MsiExec.exe /I{91517631-A9F3-4B7C-B482-43E0068FD55A}
ESShelp-->MsiExec.exe /I{87843A41-7808-4F2E-B13F-25C1E67CF2FD}
ESSini-->MsiExec.exe /I{8E92D746-CD9F-4B90-9668-42B74C14F765}
ESSPCD-->MsiExec.exe /I{14D4ED84-6A9A-45A0-96F6-1753768C3CB5}
ESSTUTOR-->MsiExec.exe /I{CA60320D-6A16-49C8-A34F-84EEF4799567}
ESSvpaht-->MsiExec.exe /I{A5B3EB8A-4071-42F0-8E8E-7A8342AA8E69}
ESSvpot-->MsiExec.exe /I{48C82F7A-F100-4DAB-A310-8E18BF2159E1}
Everest Poker (Remove Only)-->C:\Programme\Everest Poker\cstart.exe /uninstall
FruityLoops v3.56 Full-->C:\FRUITY~2\UNWISE.EXE C:\FRUITY~2\INSTALL.LOG
Graffiti Studio 2.0-->"C:\Spiele\Graffiti Studio\unins000.exe"
Half-Life: Counter-Strike-->C:\COUNTE~1\UNWISE.EXE C:\COUNTE~1\INSTALL.LOG
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Indeo® Software-->C:\WINDOWS\IsUninst.exe -fc:\spiele\Indeo\Uninst.isu -c"c:\spiele\Indeo\Indeo System Files\indounin.dll"
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Kaspersky Anti-Virus 2010-->MsiExec.exe /I{943B6738-4801-4982-90EC-0442EF7AEB16}
Kaspersky Anti-Virus 2010-->MsiExec.exe /I{943B6738-4801-4982-90EC-0442EF7AEB16}
Kodak EasyShare Software-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\$SETUP_3c0002_366f5d\Setup.exe /APR-REMOVE
KSU-->MsiExec.exe /I{B997C2A0-4383-41BF-B76E-9B8B7ECFB267}
Linksys Wireless-G PCI-Adapter-->C:\Programme\InstallShield Installation Information\{4DDC3BED-CC68-44AA-B435-D727B620CA5B}\setup.exe -runfromtemp -l0x0007 -removeonly
MahJongg Master 4-->"C:\MahJongg Master 4\unins000.exe"
McAfee Security Scan-->"C:\Programme\McAfee Security Scan\uninstall.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Rise Of Nations-->"C:\Spiele\Rise of Nations\UNINSTAL.EXE" /runtemp /addremove
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.2)-->C:\Programme\Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
Navigator-->C:\Navigator\Setup.exe /Uninstall
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nokia PC Suite-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{9012E9AD-0183-4FAD-A379-BCC5B6C62098} /l1031
Norton PartitionMagic 8.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{21DBBDD6-93A5-4326-9A04-C9A5C9148502}
Notifier-->MsiExec.exe /I{0008546E-DF6E-4CC1-AFD0-2CB8E16C95A2}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NVIDIA WDM Drivers-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B023185F-F1EF-4F97-B0BD-AE6D802226D1}\setup.exe"
OTtBP-->MsiExec.exe /I{F71760CD-0F8B-4DCC-B7B7-6B223CC3843C}
PCDLNCH-->MsiExec.exe /I{69BD6399-3D8F-45B7-81D9-819361F5101D}
Picture Slide Puzzle-->C:\WINDOWS\iun3403.exe C:\spiele\Slide Puzzle
POD-Bot 2.5-->C:\WINDOWS\unvise32.exe C:\COUNTE~1\cstrike\poduninst.log
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Rise of Nations Thrones and Patriots-->"C:\Spiele\Rise of Nations\UNINSTLX.EXE" /runtemp /uninstall
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SFPack-->D:\PROGRA~1\software\SFPack\SFPACK.EXE /uninstall
SFR-->MsiExec.exe /I{C354C9B6-A4E0-4BB0-A368-6DC6BCA0E314}
SFR2-->MsiExec.exe /I{ABE068DF-8DC4-4947-ABFC-DD2B40850225}
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588)-->"C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
SmartSound Quicktracks Plugin-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}
Ulead VideoStudio 9.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{88F92798-59AB-474F-B40D-1EC5F782F7EE}\setup.exe" -l0x7
Unreal Tournament 2003-->C:\UT2003\System\Setup.exe uninstall "UT2003"
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
VLC media player 1.0.0-->C:\VLC\uninstall.exe
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Fotogalerie-->MsiExec.exe /X{2BA722D1-48D1-406E-9123-8AE5431D63EF}
Windows Live Mail-->MsiExec.exe /I{C4D738F7-996A-4C81-B8FA-C4E26D767E41}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live Sync-->MsiExec.exe /X{76618402-179D-4699-A66B-D351C59436BC}
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Encoder 9-Reihe-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9-Reihe-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format SDK Hotfix - KB891122-->"C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873333-->C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885523-->C:\WINDOWS\$NtUninstallKB885523$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890047-->C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175-->C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe
YAMP v1.3-->C:\WINDOWS\GPInstall.exe "/UNINST=D:\Yamp\UnInst.log" "/APPNAME=YAMP v1.3"
======Hosts File======

127.0.0.1 ca.com

======Security center information======

AV: Avira AntiVir PersonalEdition (disabled) (outdated)
AV: Kaspersky Anti-Virus (disabled) (outdated)

======System event log======

Computer Name: USER-53GDBVAHJI
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 522
Source Name: Service Control Manager
Time Written:
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: USER-53GDBVAHJI
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 521
Source Name: Service Control Manager
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 520
Source Name: EventLog
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Multiprocessor Free.

Record Number: 519
Source Name: EventLog
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Terminaldienste" gesendet.

Record Number: 518
Source Name: Service Control Manager
Time Written:
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: USER-53GDBVAHJI
Event Code: 7
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.

Record Number: 60
Source Name: crypt32
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 59
Source Name: LoadPerf
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 58
Source Name: LoadPerf
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 57
Source Name: LoadPerf
Time Written:
Event Type: Informationen
User:

Computer Name: USER-53GDBVAHJI
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten
enthalten die neuen Werte der Registrierungseinträge Last Counter
und Last Help.

Record Number: 56
Source Name: LoadPerf
Time Written:
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 0 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=000a
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Programme\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------


also auch ein riesen dankeschön wenn du damit und vorallem meinen nerven helfen kannst

sorry soll kein spam sein der text war nur zu mega

Hi,

wie folgt vorgehen. MAM starten und updaten, alle Tools (Avenger und Beschreibung hier) runterladen&ausdrucken, offline gehen (vorher die Files noch prüfen lassen und Ergebnis posten):

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\paste.exe
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\system32\drivers\hgtpkf.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Jetzt offline gehen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Updater
 
Files to delete:
C:\DOKUME~1\ADMINI~2\LOKALE~1\Temp\wfmb.exe
C:\DOKUME~1\User\LOKALE~1\Temp\winbyagw.exe

Folders to delete:
C:\DOKUME~1\ADMINI~2\LOKALE~1\Temp
C:\DOKUME~1\User\LOKALE~1\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\RunServices: [Windows Updater] paste.exe
O4 - HKLM\..\RunServices: [WUSB54GC] %ProgramFiles%\
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
         

Logs zwischenspeichern und später posten!
Jetzt versuchen MAM mit Fullscan laufen und bereinigen zu lassen...

Dann Online gehen und Logs posten...

Was macht das Gmer-Log?

chris

moin moin

also gestern wollte so richtig überhaupt nichts mehr funktioniren...
zudem kahms mir noch so vor, das wenn ich dies und das suche, etwas anderes mich blokkt oder so????----(kann das sein?)

so via schlüsselwort aktivirung????

also gestern....
"selbst schuld - fehler macht klug"
ich nach deiner antwort so vorgegangen......
---hatte ohne sys.pkt. rumgebraselt. ---
jaja lach nur

dann kam eins nach dem andern.
...also virustotal.com wird bei mir absolut nicht geöffnet.?
----kann das möglich sein das die site weg ist?
gibt alternativen zu VT.com?

hab gegooglt und naja "schlüsselwort-gefühl"
einiges gefunden aber nichts konnt ich so ausführen wie ich wollte

je öffters ich dann div. gänge gehen wollte wurde es mit meinem pc immer schlimmer.
nachdem ich dann gestern mit höngen und würgen die intrnet verbingung wieder ans laufen bekommen hab. hier mein erster hilfe schrei.

ich hab hier im forum "malwarebytes a-m." gefunden-gezogen-und ausgeführt
jetzt hoff ich das du mir sagst das es sowas ist wie du meintest. ich denk aber eher noch an was anderes.

ich bin gerad am scannen uns schick gleich "wenn.noch.alles.geht" meinen bericht ins forum.

jeder Angler wär woll neidisch ;D

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3185
Windows 5.1.2600 Service Pack 2

17.11.2009 10:04:34
mbam-log-2009-11-17 (10-04-21).txt

Scan-Methode: Vollständiger Scan (C:\|J:\|)
Durchsuchte Objekte: 194361
Laufzeit: 1 hour(s), 18 minute(s), 45 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 16

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\winvcbcyu.exe (Trojan.Downloader) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\windows updater (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\winupdates (Worm.P2P) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\winvcbcyu.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXQ3OD2B\Everest Casino[1].exe (Rogue.AdorableCasino) -> No action taken.
C:\Programme\Everest Poker\var\Everest Casino.exe (Rogue.AdorableCasino) -> No action taken.
C:\Programme\winupdates\a.tmp (Worm.P2P) -> No action taken.
C:\System Volume Information\_restore{6E9490DF-256C-4B9D-81FE-9C5130F8936A}\RP6\A0005213.exe (Rogue.AdorableCasino) -> No action taken.
C:\WINDOWS\system32\bszip.dll (Worm.P2P) -> No action taken.
C:\Programme\winupdates\a.zip (Worm.P2P) -> No action taken.
C:\Programme\winupdates\winupdates.exe (Worm.P2P) -> No action taken.
C:\WINDOWS\system32\cmd.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\netstat.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\ping.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\regedit.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\taskkill.com (Worm.P2P) -> No action taken.
C:\WINDOWS\system32\tasklist.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\tracert.com (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\paste.exe (Backdoor.Bot) -> No action taken.

Hi,

hast Du Mam alles bereinigen lassen (im Log steht "No Action taken").
Unbedingt nachholen lassen!

Danach Dr. Web:
http://www.trojaner-board.de/59299-anleitung-drweb-cureit.html
(Ggf. im downloaddialog bereits umbenennen auf z.B. test.exe)...

Dann noch mal RSIT.Log posten...

Log von GMER noch posten!

Du hast einen Backdoor auf dem Rechner, generell muß ich Dir daher Neuaufsetzen empfehlen, da jemand Zugriff auf den Rechner hatte!

chris

ich denk mir hat der gestern schon einiges an nerven abverlangt


ich scann jetzt nochmal meine platten - dann gehts ans brennen und löschen meiner platte

ich dab da noch ne andere frage.
ich denk mal nachdem ich format c:
gemacht hab und auf c nix mehr ist kann
ich ja das neue system aufspielen.


ich hab damals extra patetionen angelegt damit das wenn der fall einmal eintreten würde....
ich nicht zwangsweise alle meine sachen verliere????

also im theoretischen ist doch dann so
das ich c formatiere und meine
5anderen bereiche unberührt bleiben....

na.... merkste worauf ich hinaus bin????
will rohlinge sparen bzw.
will ich es vermeiden wenns nicht unbedigt
von nöten ist? alles zu brennen.....

ich schätze das ich erstmal die fremdlinge
bekämpfen muss bevor ich dann neues win installiere, oder?

jut jut dann im baldigen....
greetstefan

Hi,

zuerst die Viecher soweit abtöten wie möglich, dann kannst Du so vorgehen, wenn auf den anderen Partitionen keine Programme liegen. Es kann sich um einen Fileinfector handeln, das wäre dann der Supergau... Das sollte aber uns Dr. Web sagen...
Auch Formatieren ist nicht immer der Weisheit letzter Schluß, ich habe mich vor einiger Zeit mit dem Yoyo-Virus rumgeschlagen, der sich auf der Festplatte in reservierten Bereichen niederlässt, so dass er jede Formatierung überlegt...
Erst das Ändern der Partitionsgröße macht ihm den Garaus, da davon auch der reservierte Bereich betroffen ist...
Auf jeden Fall den MBR neu schreiben lassen und auch die Bootsektoren der anderen Platten/Partitionen prüfen lassen, sowie die Autoun-Dateien....

chris

bin gerad Dr. Web am saugen


Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3185
Windows 5.1.2600 Service Pack 2

17.11.2009 15:46:13
mbam-log-2009-11-17 (15-46-13).txt

Scan-Methode: Vollständiger Scan (C:\|J:\|)
Durchsuchte Objekte: 195480
Laufzeit: 1 hour(s), 1 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\winyhjhx.exe (Trojan.Downloader) -> Failed to unload process. was hei0t das???? ich bin nicht die leuchte in englisch aber failed ist doch fehhler oder abruch???

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\winyhjhx.exe (Trojan.Downloader) -> Delete on reboot.
C:\System Volume Information\_restore{6E9490DF-256C-4B9D-81FE-9C5130F8936A}\RP7\A0005316.dll (Worm.P2P) -> Quarantined and deleted successfully.

*mal kurz einspringe*

Zitat:

Failed to unload process.

Auf konkretem Wortwörtlich Deutsch heißt es: Nicht fähig Prozess zu entladen.

Das bedeutet das Malwarebytes es nicht schafft den Prozess zu stoppen und ihn zu killen.

*raushüpfe*

Hi,

@Angel: Hi Du Hüpfer, johh...
@siquez
Du kannst auch das Avengerscript noch abfahren, da wäre der kleine Störenfried auch "eleminiert" worden. So wir MAM versuchen, die Datei vor der Ausführung beim Booten zu löschen... Danach noch mal MAM laufen lassen um zu kontrollieren, ob die Löschung funktioniert hat...

chris auf dem Weg nachhause (sweet home ala...)