Hier nun das Log

ComboFix 08-04-29.5 - Maaike 2008-05-03 19:56:41.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1371 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Users\xx\AppData\Local\pomqbue_navtmp.dat
c:\Users\xx\AppData\Local\terzclwcui.dat
c:\users\xx\appdata\local\terzclwcui.exe
C:\Users\xx\AppData\Local\terzclwcui_nav.dat
C:\Users\xx\AppData\Local\terzclwcui_navps.dat
C:\Windows\system32\beqlecwk.ini
C:\Windows\system32\buvuamtb.dll
C:\Windows\system32\eiotuoub.dll
C:\Windows\system32\fuxatiaj.ini
C:\Windows\system32\hadwvgnf.ini
C:\Windows\system32\hcqgpogf.dll
C:\Windows\system32\hpfdxdkx.ini
C:\Windows\system32\jgsltcbi.ini
C:\Windows\system32\jifqkjey.dll
C:\Windows\system32\jrujwayp.dll
C:\Windows\system32\mcrh.tmp
C:\Windows\system32\mertiacq.dll
C:\Windows\system32\ngcveefv.dll
C:\Windows\system32\nvs2.inf
C:\Windows\system32\pfuywqob.ini
C:\Windows\system32\pfykcwvp.dll
C:\Windows\system32\pmfykvbq.dll
C:\Windows\system32\pwatghno.dll
C:\Windows\System32\qyysxsgw.ini
C:\Windows\system32\rsdsecxm.dll
C:\Windows\system32\sqyscsuq.dll
C:\Windows\system32\tbentxhc.ini
C:\Windows\system32\uihfjoxn.dll
C:\Windows\system32\ulylfuqs.dll
C:\Windows\system32\wgsxsyyq.dll
C:\Windows\system32\yilvkjvb.dll
C:\Windows\system32\ynuotixe.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\xx\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\xx\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\xx\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\xx\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\xx\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\xx\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\xx\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\xx\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\xx\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\xx\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\xx\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-03-22 06:11 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2008-03-22 06:11 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2008-03-22 06:11 2,048 ----a-w C:\Windows\System32\msxml6r.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot@2008-05-01_16.32.44.10 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-01 14:28:28 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 13:32:56 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-01 14:28:29 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 13:32:57 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-01 14:28:29 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 13:32:57 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-01 14:29:57 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 17:48:05 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-01 14:29:11 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 13:34:27 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 13:34:27 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-05-01 14:23:41 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 17:56:44 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-01 14:30:27 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 17:58:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 17:58:10 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2008-05-01 14:28:56 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-05-01 14:43:22 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-05-01 14:28:56 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-01 14:43:22 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-01 14:28:56 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-05-01 14:43:22 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-05-01 13:40:10 391,252 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 13:37:24 410,900 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-01 13:40:10 353,832 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 13:37:24 371,784 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-01 13:40:10 1,505,424 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 13:37:24 1,566,784 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-01 13:40:10 875,440 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 13:37:24 894,160 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-01 13:36:36 6,624 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 13:34:51 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-01 13:36:36 55,882 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 13:34:51 57,306 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-05-01 13:36:34 37,810 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 13:34:50 37,842 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 17:29:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 19:58:18
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 19:59:12
ComboFix-quarantined-files.txt 2008-05-03 17:59:09

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

293 --- E O F --- 2008-05-01 13:40:13


LG Miffi

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32\ir32_32.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll
C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll
         

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Hi Sunny
antwort von Move it
File/Folder C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll not found.
File/Folder C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05032008_204203

Log von Virus Total
Datei ir32_32.dll empfangen 2008.05.03 20:45:13 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 -
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.03 -
AVG 7.5.0.516 2008.05.03 -
BitDefender 7.2 2008.05.03 -
CAT-QuickHeal 9.50 2008.05.03 -
ClamAV 0.92.1 2008.05.03 -
DrWeb 4.44.0.09170 2008.05.03 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5755 2008.05.03 -
Ewido 4.0 2008.05.03 -
F-Prot 4.4.2.54 2008.05.02 -
F-Secure 6.70.13260.0 2008.05.03 -
FileAdvisor 1 2008.05.03 -
Fortinet 3.14.0.0 2008.05.03 -
Ikarus T3.1.1.26.0 2008.05.03 -
Kaspersky 7.0.0.125 2008.05.03 -
McAfee 5287 2008.05.02 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3072 2008.05.03 -
Norman 5.80.02 2008.05.02 -
Panda 9.0.0.4 2008.05.03 -
Prevx1 V2 2008.05.03 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.03 -
Sunbelt 3.0.1097.0 2008.05.03 -
Symantec 10 2008.05.03 -
TheHacker 6.2.92.300 2008.05.03 -
VBA32 3.12.6.5 2008.05.03 -
VirusBuster 4.3.26:9 2008.05.03 -
Webwasher-Gateway 6.6.2 2008.05.03 -
weitere Informationen
File size: 197632 bytes
MD5...: 6ed0e5f422b58f30e32f90d3f57ab1fd
SHA1..: 553e3b10a1c30c07789cc031666956dfbc121a43
SHA256: dcd19322b915bf340149558baff43109fbb178fdf95d80f0dad76b25d2b6f986
SHA512: a84865956e3eeba3ad0bc60af157cf53dab2e9ac6e93b7d7b709b30577a11834
03be29eb12fe52b25873587ed0c74c1ed1e8029f41bdedbf254966249d0f7201
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6eef23c3
timedatestamp.....: 0x4549bd54 (Thu Nov 02 09:41:40 2006)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15866 0x15a00 6.56 81ec4a0eeb531392f899bb87cddd68b6
.bss 0x17000 0x243e0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x3c000 0x23c 0x400 2.77 2fd9634e91d30c4b8cf6f5277a55e2db
.data 0x3d000 0x177b8 0x17800 3.01 40b5fe024a55ac08dc8f61f4042153c8
.idata 0x55000 0x58e 0x600 5.51 508c94bc127490b1638325068f0b5a6a
.edata 0x56000 0x90 0x200 1.68 f75928ecab740a1a47d43c778fdb229c
.rsrc 0x57000 0xe70 0x1000 3.29 9cd038d837224fc3353bfc34e13dba44
.reloc 0x58000 0x1140 0x1200 5.61 6ef3de6a1eff93f477aad3b630906f25

( 4 imports )
> GDI32.dll: CreateCompatibleDC, DeleteDC, SelectObject, BitBlt, GetSystemPaletteEntries, GetObjectA, GetNearestColor, GetDeviceCaps
> KERNEL32.dll: GetSystemInfo, GlobalLock, GlobalAlloc, GlobalFree, GlobalUnlock, LocalFree, LocalAlloc, MultiByteToWideChar, WideCharToMultiByte, RtlUnwind, WriteFile, GetProcAddress, GetFileType, GetStdHandle, GetStartupInfoA, GetOEMCP, GetACP, GetCPInfo, LoadLibraryA, GetModuleHandleA, GetLastError, VirtualAlloc, VirtualFree, GetModuleFileNameA, GetVersion, GetCommandLineA, GetEnvironmentStrings, ExitProcess
> USER32.dll: MessageBoxA, GetWindowRect, EndPaint, DialogBoxParamA, GetDlgItemInt, EndDialog, PostMessageA, SetDlgItemTextA, wsprintfA, GetDC, ReleaseDC, MessageBeep, LoadStringA, LoadBitmapA, GetWindowLongA, BeginPaint
> WINMM.dll: DefDriverProc

( 4 exports )
AboutDialogProc, DllMain, DriverDialogProc, DriverProc

Das sind erstmal die Logs. Den Malwarebytes mache ich jetzt gleich
Miffi

Versuche es bitte nochmal mit folgendem Text bei OtmoveIt:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll
C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll
         

Hab auch das Problem



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

Hi Sunny,
Log von Malwarebytes,

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 712

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 145945
Scan Dauer: 49 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\Windows\System32\eiotuoub.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\jifqkjey.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\pmfykvbq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\pwatghno.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\rsdsecxm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\uihfjoxn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\ulylfuqs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\yilvkjvb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

Log von Moveot

File/Folder C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll not found.
File/Folder C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05032008_215234

LG Miffi

Irgendwas habe ich übersehen, bitte nochmal das Combofix starten und den Report posten!

Log von Combofix

ComboFix 08-04-29.5 - Maaike 2008-05-03 22:02:20.3 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1259 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_19.58.51.94 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 17:48:05 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 19:48:07 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 17:56:44 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 20:02:27 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 17:58:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 20:03:47 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 20:03:47 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 19:59:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 22:04:05
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 22:05:03
ComboFix-quarantined-files.txt 2008-05-03 20:04:59
ComboFix2.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

225 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Hi Sunny,

könntest du mir bitte diese zwei Einträge vom Logfile erklären. Ich hab nämlich Probleme mit meinem D-Link Router und genau das Template das hier angegeben wird fehlt wohl damit ich ihn neu installieren kann.

"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
Danke Miffi

Zitat:

Zitat von Miffi

könntest du mir bitte diese zwei Einträge vom Logfile erklären. Ich hab nämlich Probleme mit meinem D-Link Router und genau das Template das hier angegeben wird fehlt wohl damit ich ihn neu installieren kann.

"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
Danke Miffi

Könntest du mir das bitte nochmal etwas genauer erklären, ich verstehe den Satz leider nicht.


desweiteren:



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll
C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hi Sunny,
diese zwei Einträge sind mir im Logfile von combofix aufgefallen, weil ein Smiley dahinterwar.
Ich hatte nun vor ein paar Tagen ein Problem mit meinem D-Link Router, der ging nicht mehr richtig. Ich wollte ihn dann neu installieren, er zeigte mir aber, das das nicht ginge weil das D-Link Wizard Template fehlt. Und nun steht das im Logfile. Ich wollte einfach nur wissen was der Eintrag dazu bedeutet.
LG Miffi

Hi Sunny,
Leider klappt das so nicht. Die antwort ist

Error: Invalid script. A valid script must begin with a command directive.
Aborting execution.

LG Miffi

Versuche es nochmal, wenn nötig auch mehrmals, denn auf diesem Wege versuche ich die Dateien von deinem System zu löschen.

Wie gesagt, alles abkopieren: (auch der Text "Files to delete"!)

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll
C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll
         

Hi Sunny,
hier das Log.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll"
Deletion of file "C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll"
Deletion of file "C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

Lieber Sunny
ich hab vorher den Avanger schon mit C:\Users\Maaike durchlaufen lassen,
auch da findet er kein Rootkit. Leider wurde das Log überschrieben. Ich lasse ihn aber gerne noch mal durchlaufen.
LG Miffi

Hi Sunny,
hab es nochmal mit Maaike durchlaufen lassen.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll" not found!
Deletion of file "C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll" not found!
Deletion of file "C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
LG Miffi