Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Navipromo nicht vollständig entfernt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.06.2008, 16:59   #1
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Liebe Leute,

meine Tochter hat vor einigen Tagen die "Internet Game Box" heruntergeladen und prompt ihren PC mit einem Trojaner infiziert. Es handelt sich vermutlich um Navipromo.

Die Internet Game Box ist zwischenzeitlich deinstalliert, der Trojaner sorgte aber weiterhin dafür, dass im Webbrowser ständig neue Werbefenster aufsprangen.

Bevor ich einige Logfiles hier poste, beschreibe ich zunächst mal zusammenfassend meine bisherigen Aktionen:
Mit AntiVir und Spybot durchgeführte Scans ergaben keinen Fund.
Mit Navilog1 habe ich dann ein Logfile erstellt und darin die für Navipromo typischen Dateien gefunden (z.B. ***_navps.dat). Den Ratschlägen hier im Forum folgend installierte ich anschließend Malwarebytes' Anti-Malware. Die damit gefundenen infizierten Objekte habe ich beseitigt. Das Problem mit den aufspringenden Werbefenstern ist seitdem nicht mehr aufgetreten, aber der Trojaner scheint noch in Resten vorhanden zu sein.
So stehen im Ordner c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten noch drei Dateien, die den vom Trojaner erzeugten Zufallsnamen tragen: scuqycmom.dat, scuqycmom.exe und scuqymom_navps.dat. Die exe-Datei lässt sich nicht löschen und auch mit dem Steganos Shredder nicht vernichten. Die DAT-Dateien lassen sich zwar löschen oder vernichten, erscheinen aber nach ein paar Sekunden wieder.
Ferner liegt im Ordner c:\WINDOWS\Prefetch die Datei SCUQYCMOM.EXE-174EF4CB.pf. Ich habe sie noch nicht zu löschen versucht, habe aber auch keine Ahnung, was Sinn und Zweck dieser Datei ist.

Meine Frage an die Experten ist nun: Besteht weiterer Handlungsbedarf? Oder kann ich das Trojaner-Problem als erledigt betrachten? So ganz wohl ist mir zumindest nicht, wenn da noch Restdateien dieses Trojaners herumliegen.

Ich bedanke mich schon mal für Eure Hilfe! Und jetzt poste ich noch die bisher erstellen Logfiles:

Das gestern (vor dem Einsatz von Malwarebytes' Anti-Malware) mit Navilog1 erstellte Logfile ist:
-------------------------
Search Navipromo version 3.5.8 began on 07.06.2008 at 21:32:49,98

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***"

Updated on 06.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***a\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

Files found :

scuqycmom.exe found !
scuqycmom.dat found !
scuqycmom_nav.dat found !
scuqycmom_navps.dat found !



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

scuqycmom.dat found !
scuqycmom_nav.dat found !
scuqycmom_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 07.06.2008 at 21:38:20,20 ***
--------------------------------

Nach dem Scan mit Anti-Malware ergibt Navilog1 nun folgendes Logfile:

----------------------------

Search Navipromo version 3.5.8 began on 08.06.2008 at 14:15:32,34

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Katja"

Updated on 06.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

Files found :

scuqycmom.exe found !
scuqycmom.dat found !
scuqycmom_navps.dat found !



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

scuqycmom.dat found !
scuqycmom_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 08.06.2008 at 14:21:32,03 ***
----------------------------

Ein Scan mit Malwarebytes' Anti-Malware ergibt keinen Treffer mehr. Hier der Bericht:

------------------

Malwarebytes' Anti-Malware 1.15
Datenbank Version: 839

17:49:29 08.06.2008
mbam-log-6-8-2008 (17-49-29).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 112073
Scan Dauer: 40 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
------------------------------

Trotzdem sind die oben genannten vier Dateien in den Ordnern "Anwendungsdaten" und WINDOWS\Prefetch noch vorhanden.

Was empfehlt ihr mir zu tun?
Besten Dank! Ich weiß eure Hilfe sehr zu schätzen!

Und sollte ich zu viel Unverständliches geschrieben haben, bitte ich um Nachsicht - es ist mein erster Beitrag hier im Forum...

Uwe

Alt 08.06.2008, 18:29   #2
Chris4You
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hi,

bitte ein HJ-Log (s. Link in Signatur) im abgesicherten Modus (F8 beim Booten) erstellen und posten, mal sehen ob HJ ihn anzeigen kann...

Blind löschen möchte ich nicht, gute vorarbeit!

chris
__________________

__________________

Alt 08.06.2008, 20:27   #3
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hallo Chris,

danke, dass Du Dich meines Problems annimmst!

Habe einen Scan mit HijackThis erstellt. Aus irgendeinem Grund hat aber der Start im abgesicherten Modus nicht geklappt. Das Drücken von F8 hatte keinerlei Auswirkungen (dumme Frage: kann das mit der kabellosen Tastatur zusammenhängen?).

Hier der HJ-Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:27, on 08.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\WDC\SetIcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
D:\Programme\iTunes\iTunes7\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\PROGRA~1\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\FinePixViewer\QuickDCF.exe
D:\Programme\iFinger\iFinger.exe
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Programme\iFinger\iFingerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SAFEHOME HotKeys] "D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunes7\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\wcescomm.exe"
O4 - HKCU\..\Run: [Vidalia] "S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Privoxy.lnk = S:\Programme\Tor\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.LionElectronics.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094588922794
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132517923218
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

--
End of file - 10796 bytes
         
Liefert das irgendwelche Hinweise?

Uwe
__________________

Alt 09.06.2008, 06:40   #4
Chris4You
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hi,

hast Du eine kabelgebundene Tastatur zur Verfügung?
HJ-kann das Teil nur im abgesicherten Modus erkennen...

Trotzdem habe ich was gefunden:
c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe

Bitte ersetzte die XXX durch den richtigen Pfad und lass die Exe online prüfen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste die Ergebnisse markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Code:
ATTFilter
c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe
         
Dann ist noch Bearshare auf dem Rechner, der bringt auch immer irgendwelche Adware mit, bitte deinstallieren/löschen...

DSS
Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe)
Doppelklick dss.exe Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (09.06.2008 um 07:15 Uhr)

Alt 09.06.2008, 22:54   #5
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hallo Chris,

mit kabelgebundener Tastatur konnte ich den PC im abgesicherten Modus starten. Merkwürdigerweise scheint HJ aber nichts gefunden zu haben:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:59, on 09.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SAFEHOME HotKeys] "D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunes7\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\wcescomm.exe"
O4 - HKCU\..\Run: [Vidalia] "S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Privoxy.lnk = S:\Programme\Tor\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.LionElectronics.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094588922794
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132517923218
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

--
End of file - 8962 bytes
         

Bearshare war übrigens schon deinstalliert. Ein paar Reste waren noch im ursprünglichen Ordner vorhanden; habe ich alle entfernt. Warum HJ hier trotzdem noch einen Eintrag findet, ist mir schleierhaft.

Die Datei c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe
habe ich von Virustotal analysieren lassen. Hier das Ergebnis:

Code:
ATTFilter
MD5: bc9d70b94b83bb39c2fe1c3fa679fc68 
First received: 2008.06.09 18:33:38 (CET) 
Datum 2008.06.09 18:33:38 (CET) [<1D] 
Ergebnisse 1/33 
Permalink: analisis/e6776a3c99b471eaf53d2f9c71719ebd
         
Die anderen verdächtigen Dateien in demselben Ordner ( scuqycmom.dat, scuqycmom_navps.dat) habe ich ebenfalls analysieren lassen - ohne Befund.

DSS läuft gerade. Das Ergebnis poste ich anschließend...

Viele Grüße
Uwe


Alt 09.06.2008, 23:16   #6
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hallo Chris,

nun das Ergebnis des DSS:

Unter main.txt steht:

Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by XBenutzerX on 2008-06-09 23:50:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
18: 2008-06-09 21:50:49 UTC - RP684 - Deckard's System Scanner Restore Point
17: 2008-06-08 10:11:24 UTC - RP683 - Entfernt Die Sims - Megastar
16: 2008-06-08 09:16:12 UTC - RP682 - Software Distribution Service 3.0
15: 2008-06-07 16:29:06 UTC - RP681 - PhysProf wird entfernt
14: 2008-06-06 22:09:21 UTC - RP680 - Spybot-S&D Spyware removal


-- First Restore Point -- 
1: 2008-05-26 21:35:46 UTC - RP667 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

Percentage of Memory in Use: 79% (more than 75%).
Total Physical Memory: 256 MiB (512 MiB recommended).


-- HijackThis (run as XBenutzerX.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:31, on 09.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\WDC\SetIcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
D:\Programme\iTunes\iTunes7\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\wcescomm.exe
D:\PROGRA~1\rapimgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\FinePixViewer\QuickDCF.exe
D:\Programme\iFinger\iFinger.exe
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\XBenutzerX\Desktop\dss.exe
D:\PROGRA~1\HIJACK~1\XBenutzerX.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Programme\iFinger\iFingerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SAFEHOME HotKeys] "D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunes7\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Programme\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\wcescomm.exe"
O4 - HKCU\..\Run: [Vidalia] "S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: iFinger.lnk = D:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Privoxy.lnk = S:\Programme\Tor\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\INetRepl.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.LionElectronics.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094588922794
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132517923218
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

--
End of file - 10854 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 BsStor (InCD Storage Helper Driver) - c:\windows\system32\drivers\bsstor.sys <Not Verified; B.H.A Co.,Ltd.; >
R1 cdrbsdrv - c:\windows\system32\drivers\cdrbsdrv.sys <Not Verified; B.H.A Corporation; B's Recorder GOLD7>
R1 SSHDRV5C - c:\windows\system32\drivers\sshdrv5c.sys
R2 BsUDF (InCD UDF Driver) - c:\windows\system32\drivers\bsudf.sys <Not Verified; ahead software; UDF File System Driver (WindowsXP)>
R3 HCWBT8XX (Hauppauge WinTV 848/9 WDM Video Driver) - c:\windows\system32\drivers\hcwbt8xx.sys <Not Verified; Hauppauge Computer Works; WinTV WDM Driver>
R3 USB28xxBGA (Cinergy EM28xx Capture) - c:\windows\system32\drivers\embda.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device>
R3 USB28xxOEM (Cinergy EM28xx OEM Filter) - c:\windows\system32\drivers\emoem.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device>

S3 catchme - c:\dokume~1\XBenutzerX\lokale~1\temp\catchme.sys (file missing)
S3 jatmlano - c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys (file missing)
S3 rtl8180 (Belkin 11Mbps Wireless Desktop Network Card Driver) - c:\windows\system32\drivers\bel6001.sys <Not Verified; Belkin Corporation; Belkin 11Mbps Wireless Desktop Network Card>
S3 SjyPkt - c:\windows\system32\drivers\sjypkt.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
S3 ssm_bus (Samsung Mobile USB Device II 1.0 driver (WDM)) - c:\windows\system32\drivers\ssm_bus.sys <Not Verified; MCCI; Samsung Mobile USB Device II 1.0>
S3 ssm_mdm (Samsung Mobile USB Port II 1.0 Drivers) - c:\windows\system32\drivers\ssm_mdm.sys <Not Verified; MCCI; Samsung Mobile USB Modem II 1.0>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir Scheduler) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 RetroLauncher (Retrospect Launcher) - c:\progra~1\dantz\retros~1\retrorun.exe <Not Verified; Dantz Development Corporation; Retrospect>
R2 RetroWDSvc (Retrospect WD Service) - c:\progra~1\dantz\retros~1\wdsvc.exe <Not Verified; Dantz Development Corporation; Retrospect>

S2 Retrospect Helper - "c:\progra~1\dantz\retros~1\rthlpsvc.exe" <Not Verified; Dantz Development Corporation; Retrospect>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-05-24 12:06:41       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2005-01-16 22:36:27       348 --a------ C:\WINDOWS\Tasks\Symantec NetDetect.job


-- Files created between 2008-05-09 and 2008-06-09 -----------------------------

2008-06-08 12:01:50         0 d-------- C:\WINDOWS\Prefetch
2008-06-08 11:50:24         0 d-------- C:\WINDOWS\l2schemas
2008-06-08 11:50:23         0 d-------- C:\WINDOWS\system32\de
2008-06-07 21:30:50         0 d-------- C:\Programme\Navilog1
2008-06-02 19:00:54         0 d-------- C:\WINDOWS\system32\NtmsData
2008-06-01 19:58:57    691545 --a------ C:\WINDOWS\unins000.exe
2008-06-01 19:58:57      2548 --a------ C:\WINDOWS\unins000.dat
2008-05-25 15:03:59         0 d-------- C:\Programme\OpenOffice.org 2.4
2008-05-24 12:25:45         0 d-------- C:\Programme\iPod
2008-05-24 12:21:59         0 d-------- C:\Programme\QuickTime
2008-05-16 20:52:09     43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll


-- Find3M Report ---------------------------------------------------------------

2008-06-09 22:47:10         0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\OpenOffice.org2
2008-06-08 22:46:17         0 d-------- C:\Programme\Mozilla Thunderbird
2008-06-08 12:38:26         0 d-------- C:\Programme\Maxis
2008-06-08 12:05:05    391348 --a----c- C:\WINDOWS\system32\perfh007.dat
2008-06-08 12:05:04     63700 --a----c- C:\WINDOWS\system32\perfc007.dat
2008-06-08 12:01:26         0 d-------- C:\Programme\Messenger
2008-06-08 11:50:22         0 d-------- C:\Programme\Movie Maker
2008-06-08 11:44:32         0 d-------- C:\Programme\Windows NT
2008-06-07 22:01:08         0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\Malwarebytes
2008-06-07 18:29:21         0 d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2008-06-01 20:59:02         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-25 17:20:19         0 d-------- C:\Programme\OpenOffice.org 2.3
2008-05-25 17:17:34         0 d-------- C:\Programme\Java
2008-05-24 12:06:39         0 d-------- C:\Programme\Apple Software Update
2008-05-17 21:25:24         0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\U3
2008-05-12 23:27:54         0 d-------- C:\Programme\FinePixViewer
2008-05-09 15:34:43         0 d-------- C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\Opera
2008-05-09 15:34:07         0 d-------- C:\Programme\PhysProf
2008-05-09 15:34:02         0 d-------- C:\Programme\Real
2008-05-09 15:31:44        20 --a------ C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\anzds
2008-05-09 15:31:41        89 --a------ C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten\p6demopfad


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [14.05.2003 07:20 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [25.11.2003 22:10]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [12.09.2002 19:13]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [18.03.2004 10:33]
"Logitech Utility"="Logi_MwX.Exe" [07.11.2003 11:50 C:\WINDOWS\LOGI_MWX.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [20.10.2004 07:41]
"WD Button Manager"="WDBtnMgr.exe" [08.11.2005 22:28 C:\WINDOWS\system32\WDBtnMgr.exe]
"Seticons"="\Programme\WDC\SetIcon.exe" [28.04.2004 15:02]
"BearShare"="D:\Programme\BearShare\BearShare.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [04.05.2008 17:50]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [04.02.2002 23:32]
"SAFEHOME HotKeys"="D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" [21.03.2007 18:59]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [25.08.2006 07:53]
"iconcache"="" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37]
"iTunesHelper"="D:\Programme\iTunes\iTunes7\iTunesHelper.exe" [30.03.2008 10:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]
"Start WingMan Profiler"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [14.04.2008 04:22]
"Spyware Cleaner"="C:\Programme\Spyware Cleaner\SpywareCleaner.exe" []
"H/PC Connection Agent"="D:\Programme\wcescomm.exe" [15.11.2005 21:14]
"Vidalia"="S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" []
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"scuqycmom"="c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe" [06.06.2008 16:35]

C:\Dokumente und Einstellungen\XBenutzerX\Startmen\Programme\Autostart\
Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [14.12.1996]
Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [14.12.1996]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] 
C:\WINDOWS\System32\dimsntfy.dll 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs	eaphost
dot3svc	dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{812c6cb2-2444-11dd-8f5d-000d61b00bf8}]
AutoRun\command- G:\LaunchU3.exe -a




-- End of Deckard's System Scanner: finished at 2008-06-09 23:56:04 ------------
         

Alt 09.06.2008, 23:18   #7
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Und unter extra.txt steht:

Code:
ATTFilter
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 2400+
Percentage of Memory in Use: 80%
Physical Memory (total/avail): 255.48 MiB / 48.61 MiB
Pagefile Memory (total/avail): 618.32 MiB / 234.78 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1922.61 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 14.65 GiB total, 3.7 GiB free. 
D: is Fixed (NTFS) - 59.87 GiB total, 20.42 GiB free. 
E: is CDROM (No Media)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - WDC WD800BB-00DKA0 - 74.53 GiB - 2 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 14.65 GiB - C:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 59.87 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\XBenutzerX\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=PC-XBenutzerX
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\XBenutzerX
INCLUDE=D:\Programme\watcom-1.3\h;D:\Programme\watcom-1.3\h\nt;D:\Programme\watcom-1.3\maple\include
KMP_DUPLICATE_LIB_OK=TRUE
lib=C:\Programme\SQLXML 3.0\bin\
LOGONSERVER=\\PC-XBenutzerX
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=D:\Programme\watcom-1.3\binnt;D:\Programme\watcom-1.3\binw;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;D:\PROGRA~1\Borland\Delphi6\Bin;D:\PROGRA~1\Borland\Delphi6\Projects\Bpl;C:\Programme\QuickTime\QTSystem\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\XBenutzerX\LOKALE~1\Temp
TMP=C:\DOKUME~1\XBenutzerX\LOKALE~1\Temp
USERDOMAIN=PC-XBenutzerX
USERNAME=XBenutzerX
USERPROFILE=C:\Dokumente und Einstellungen\XBenutzerX
WATCOM=D:\Programme\watcom-1.3
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

XBenutzerX (admin)
Administrator (new local, admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware SE Personal --> C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUN0407.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
aerosoft's - MyTraffic 2004 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{671A18C5-3182-4359-B1DA-986DB9C22A8C}\setup.exe"  -uninst 
aerosoft's - Scenery Germany 1 - FS2004 --> "C:\Programme\Microsoft Games\Flight Simulator 9\uninstall_scenery_germany_1.exe"
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI HydraVision --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe" 
Avira AntiVir Personal – Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Belkin Wireless Network Monitor Utility and Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B41F5ED6-4D67-4FAA-B787-D5DF1DD0EC80}\setup.exe" -l0x7 REMOVE
Borland Delphi 6 --> MsiExec.exe /I{B7886D87-ADA4-46A0-8A8D-02AB16B9F95A}
Celestia 1.4.1 --> "D:\Programme\Celestia\unins000.exe"
Condor: The Competition Soaring Simulator 1.1.2 --> D:\Programme\Condor\uninst.exe
Die Sims 2 --> D:\Programme\EA Games\Die Sims 2\EAUninstall.exe
DivX --> D:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Player --> D:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DynaGeo 2.6e --> D:\Programme\DynaGeo\unins000.exe
Eagle Lander 3D V2 --> MsiExec.exe /I{0D2FB198-D23B-4E7E-9A4C-B7486F5A8C06}
eReader --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ED8BB1CA-535A-408D-85C9-ED1986D2B85E}\setup.exe" 
EXAM --> C:\WINDOWS\IsUn0407.exe -fD:\Programme\B_Peters\EXAM\Uninst.isu
Favorit --> "c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe" -uninstall
FinePixViewer Resource --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B44529FF-501E-47CD-A06D-223C161BE058}\SETUP.EXE" -l0x7 
FinePixViewer Ver.5.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{24ED4D80-8294-11D5-96CD-0040266301AD}\SETUP.EXE" -l0x7 
Fritz und Fertig --> MsiExec.exe /X{917C79E9-9E4E-11D6-B27C-0003FFFFFFFC}
FUJIFILM USB Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5490882C-6961-11D5-BAE5-00E0188E010B}\SETUP.EXE" 
Genius Physik (remove only) --> D:\Programme\Cornelsen\Genius Physik\Uninstall.exe
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
Grand Theft Auto San Andreas --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{086BADF8-9B1F-4E89-B207-2EDA520972D6}\setup.exe" -l0x7  -removeonly
Grand Theft Auto Vice City --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4B35F00C-E63D-40DC-9839-DF15A33EAC46}\Setup.exe" -l0x7 
Hörverstehen Découvertes 4 Série verte --> C:\WINDOWS\IsUn0407.exe -fd:\heureka\HVTNDV4\Uninst.isu
Hauppauge WinTV Infrared Remote --> C:\PROGRA~1\WinTV\UNir32.EXE C:\PROGRA~1\WinTV\ir32.LOG
Hauppauge WinTV Radio --> C:\PROGRA~1\WinTV\UNrad32.EXE C:\PROGRA~1\WinTV\RADIO32.LOG
Hauppauge WinTV2000 --> C:\PROGRA~1\WinTV\UNTV32.EXE C:\PROGRA~1\WinTV\WINTV2K.LOG
HijackThis 2.0.2 --> "d:\Programme\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ Toolbar --> regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll" 
ICQ6 --> "C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
iFinger --> D:\PROGRA~1\iFinger\UNWISE.EXE D:\PROGRA~1\iFinger\INSTALL.LOG
ImageMixer VCD2 LE for FinePix --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B093990A-AAF2-44AC-9216-14BB7A2189B6}\SETUP.EXE" -l0x7 
InCD (Ahead Software) --> C:\WINDOWS\NuNInst.exe /UNINSTALL
Indiana Jack --> D:\Programme\Blimb Entertainment\Indiana Jack\setup.exe -uninstall
InterActual Player --> C:\Program Files\InterActual\InterActual Player\inuninst.exe
InterVideo WinDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C1939820-A945-11D4-86F6-0001031E5712}\setup.exe"  REMOVEALL
iTunes --> MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
J2SE Runtime Environment 5.0 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150020}
J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java 2 Runtime Environment, SE v1.4.2_01 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142010}
Java 2 Runtime Environment, SE v1.4.2_06 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142060}
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 4 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
LiveReg (Symantec Corporation) --> C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\VcSetup.exe /REMOVE
LiveUpdate 2.5 (Symantec Corporation) --> C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
Logitech Desktop Messenger --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\setup.exe" -l0x7 UNINSTALL
Logitech iTouch Software --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{036AA4D4-6D32-11D4-9875-00105ACE7734}\Setup.exe" -l0x7  UNINSTALL
Logitech MouseWare 9.79 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\setup.exe" -l0x7 -l0007 UNINSTALL
Logitech Resource Center --> C:\PROGRA~1\Logitech\RESOUR~1\rem\UNWISE.EXE C:\PROGRA~1\Logitech\RESOUR~1\rem\INSTALL.LOG
LONDON TAXI --> D:\XP-Spiele\LondonTaxi\uninstall.exe
Macromedia Flash Player 8 --> C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe
Macromedia Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware --> "d:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Maple 10 --> "D:\Programme\Maple 10\Uninstall_Maple 10\Uninstall Maple 10.exe"
MathType 5 --> "D:\Programme\MathType\Setup.exe" -R
Microsoft ActiveSync 4.0 --> MsiExec.exe /I{B208806F-A231-4FA0-AB3F-5C1B8979223E}
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Flight Simulator 2000 --> "D:\Programme\Microsoft Games\FS2000\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt --> "D:\Programme\Microsoft Games\FS2004\UNINSTAL.EXE" /runtemp /addremove
Microsoft Office 97, Professional Edition --> C:\Programme\Microsoft Office\Office\Setup\Acme.exe /w Off97Pro.STF
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.14) --> C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
Navilog1 3.5.8 --> "C:\Programme\Navilog1\unins000.exe"
Nero - Burning Rom --> MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
NoCoZwo --> C:\WINDOWS\iun506.exe D:\Programme\NoCoZwo\irunin.ini
OpenOffice.org 2.4 --> MsiExec.exe /I{46008F4B-A8C3-4282-ACE3-73821F860911}
PhotoFiltre --> "D:\Programme\PhotoFiltre\Uninst.exe"
Privoxy 3.0.6 --> "S:\Programme\Tor\Vidalia Bundle\Uninstall.exe"
QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
RAW FILE CONVERTER LE --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D680C913-5955-469D-9D88-C1940F7506D6}\SETUP.EXE" -l0x7 
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Remove Vista Customization Pack v3 --> c:\windows\vcp_save\runme.bat
Retrospect 6.5 --> MsiExec.exe /I{73B69C5C-87D6-471E-B695-0BD736C4B644}
RollerCoaster Tycoon 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x7 
Samsung Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung\SSM_Uninstall.exe
Samsung PC Studio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7  -removeonly
Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7  -removeonly
SDI Managaer --> D:\Programme\SDI Manager\uninstall.exe
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Software Tycoon - Der Spielemanager --> C:\WINDOWS\unin0407.exe -fd:\XP-Spiele\SoftwareTycoon\DeIsL1.isu  -cd:\XP-Spiele\SoftwareTycoon\_ISREG32.DLL
Space Station Manager 1.2.1 TRIAL --> "D:\Programme\Space Station Manager\unins000.exe"
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins001.exe"
Spybot - Search & Destroy 1.5.2.20 --> "C:\WINDOWS\unins000.exe"
SQLXML 3.0 SP3 --> MsiExec.exe /I{19ABFD8F-CB86-4965-9282-047FC27084F1}
Steganos Safe Home 2007 --> D:\Programme\Steganos Safe Home\uninstall.exe
Stellarium 0.7.1 --> "D:\Programme\Stellarium\unins000.exe"
SWAT 4 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{8E1CCF20-9E12-4824-BD59-7AD9E0486DD8}  uninstall
TerraTec Home Cinema --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63B9BAB5-F36A-4A3B-9E5C-68A7F212BFB9}\setup.exe" -l0x7 
Tor 0.1.2.16 --> "S:\Programme\Tor\Vidalia Bundle\Uninstall.exe"
TVgenial 4.04 --> D:\Programme\TVgenial\Uninstall.exe
Vidalia 0.0.13 --> "S:\Programme\Tor\Vidalia Bundle\Uninstall.exe"
Viewpoint Media Player --> C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
VTPlus32 für WinTV (German) --> C:\PROGRA~1\vtplus\UNVTplus.exe C:\PROGRA~1\vtplus\VTPlus.LOG
WD Media Center Driver --> MsiExec.exe /X{3F70FB44-FD00-4ED2-9154-661AA9DB0B28}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WingMan Software --> MsiExec.exe /X{435673AB-6821-416D-806A-E477DFA60A42}
WinRAR --> C:\Programme\WinRAR\uninstall.exe
WinZip --> "C:\Programme\WinZip\WINZIP32.EXE" /uninstall
XP-Spiele Pacman Space --> D:\XP-Spiele\PacmanSpace\SXUNINST.EXE
Zune Desktop Theme --> MsiExec.exe /X{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4}


-- Application Event Log -------------------------------------------------------

Event Record #/Type21325 / Error
Event Submitted/Written: 06/09/2008 11:52:46 PM
Event ID/Source: 11 / crypt32
Event Description:
Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Event Record #/Type21286 / Warning
Event Submitted/Written: 06/08/2008 11:52:45 AM
Event ID/Source: 63 / WinMgmt
Event Description:
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Event Record #/Type21279 / Warning
Event Submitted/Written: 06/07/2008 11:50:26 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
GEN/PwdZIPC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SpywareCleaner3.zip

Event Record #/Type21277 / Warning
Event Submitted/Written: 06/07/2008 07:01:51 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
GEN/PwdZIPC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SpywareCleaner3.zip

Event Record #/Type21250 / Error
Event Submitted/Written: 06/05/2008 10:13:06 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.3156, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
Das medienspezifische Ereignis für [explorer.exe!ws!] wird verarbeitet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type94540 / Error
Event Submitted/Written: 06/09/2008 10:44:44 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1058

Event Record #/Type94516 / Error
Event Submitted/Written: 06/09/2008 10:24:53 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1058

Event Record #/Type94492 / Error
Event Submitted/Written: 06/09/2008 10:16:06 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1058

Event Record #/Type94487 / Error
Event Submitted/Written: 06/09/2008 10:14:56 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type94486 / Error
Event Submitted/Written: 06/09/2008 10:14:17 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{A1F4E726-8CF1-11D1-BF92-0060081ED811}



-- End of Deckard's System Scanner: finished at 2008-06-09 23:56:04 ------------
         
Ich hoffe, Du kannst damit was anfangen....

Vermutlich kann ich mich frühestens morgen abend wieder einloggen...

Viele Grüße
Uwe

Alt 10.06.2008, 08:29   #8
Chris4You
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hi,

DU hattest/hast einen Backdoor auf dem Rechner!

Achtung!
c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys
Ist ein Backdoor (soll gelöscht sein!)


Bitte folgende Files prüfen:
Zitat:
c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BearShare
 
Files to delete:
c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe
c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.dat
c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqymom_navps.dat
c:\WINDOWS\Prefetch\SCUQYCMOM.EXE-174EF4CB.pf
D:\Programme\BearShare\BearShare.exe
c:\dokume~1\XBenutzerX\lokale~1\temp\jatmlano.sys

Folders to delete:
D:\Programme\BearShare
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O4 - HKCU\..\Run: [scuqycmom] c:\dokumente und einstellungen\XBenutzerX\lokale einstellungen\anwendungsdaten\scuqycmom.exe scuqycmom
         
Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.06.2008, 08:51   #9
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Uff, irgendeine Idee, was der Backdoor so alles anrichten kann?

Heute abend werde ich Deine ausführlichen Anweisungen ausführen, wenn ich wieder am befallenen PC sitze.

Herzlichen Dank für die Unterstützung!!

Uwe

Alt 10.06.2008, 16:12   #10
Chris4You
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hi,

bitte daran denken, den Spybot komplett deaktivieren (Teatimer),
da er sonst die Bereinigung verhindert.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 10.06.2008, 21:25   #11
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hallo Chris,

nach dem Start des PC war von dem Backdoor jatmlano.sys nichts zu sehen - weder im ursprünglichen Pfad noch sonstwo auf dem Rechner. Den Test mit VirusTotal konnte ich also nicht durchführen.

Das, was Avenger finden konnte, wurde gelöscht. Hier das Protokoll:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.exe" deleted successfully.
File "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqycmom.dat" deleted successfully.

Error:  file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqymom_navps.dat" not found!
Deletion of file "c:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\scuqymom_navps.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\WINDOWS\Prefetch\SCUQYCMOM.EXE-174EF4CB.pf" deleted successfully.

Error:  could not open file "D:\Programme\BearShare\BearShare.exe"
Deletion of file "D:\Programme\BearShare\BearShare.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  file "c:\dokume~1\XXX\lokale~1\temp\jatmlano.sys" not found!
Deletion of file "c:\dokume~1\XXX\lokale~1\temp\jatmlano.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "D:\Programme\BearShare" not found!
Deletion of folder "D:\Programme\BearShare" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BearShare" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Der Hijack-Fix folgt gleich...

Uwe

Alt 10.06.2008, 22:04   #12
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Nochmal hallo,

den Hijack-Fix der genannten Einträge habe ich durchgeführt.

Außerdem habe ich noch einen zweiten Avenger-Durchlauf gestartet. Wegen eines Schreibfehlers konnte nämlich im ersten Durchgang die Datei scuqycmom_navps.dat nicht entfernt werden. Das habe ich jetzt nachgeholt. Hier das Protokoll:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\scuqycmom_navps.dat" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Ist das Problem nun endgültig erschlagen?

Herzlichen Dank für Deine professionelle Hilfe!
Uwe

Alt 11.06.2008, 06:28   #13
Chris4You
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hi,

xx ist immer noch als Treiber eingetragen, wir lasse den Eintrag von combofix löschen...

Code:
ATTFilter
Driver::
c:\dokume~1\XXX\lokale~1\temp\jatmlano.sys
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe. Damit wird Combofix neu gestartet und führt das
Script aus

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Falls sich dann nichts neues eingeschlichen hat, sollte es das gewesen sein...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 11.06.2008, 08:54   #14
Chris4You
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hi,

beim Script ist mir ein Fehler unterlaufen, wir müssen den Treibereintrag löschen...
(die Datei ist ja schon weg...)

Daher:
Code:
ATTFilter
Driver::
jatmlano
         
chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.06.2008, 19:26   #15
Uwe_R
 
Navipromo nicht vollständig entfernt? - Standard

Navipromo nicht vollständig entfernt?



Hallo Chris,

war ein paar Tage unterwegs, konnte erst jetzt wieder an den Rechner....

Hier die Log-Datei:
Code:
ATTFilter
ComboFix 08-06-15.4 - XXX 2008-06-16 19:50:40.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.78 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\XXX\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\sysdm.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-16 bis 2008-06-16  ))))))))))))))))))))))))))))))
.

2008-06-10 21:51 . 2008-04-14 17:58	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 21:51 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-09 23:50 . 2008-06-09 23:50	<DIR>	d--------	C:\Deckard
2008-06-09 21:40 . 2004-02-19 16:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-06-09 21:40 . 2004-02-19 16:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-09 21:40 . 2004-02-19 15:59	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-06-09 21:40 . 2004-02-19 15:59	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-09 21:40 . 2008-06-16 19:52	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-09 21:40 . 2004-02-19 16:10	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-09 21:40 . 2004-02-19 16:09	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-09 21:40 . 2004-02-19 15:59	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-09 21:40 . 2004-02-19 16:16	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-09 21:40 . 2008-06-09 21:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-06-08 11:50 . 2008-06-08 11:50	<DIR>	d--------	C:\WINDOWS\system32\de
2008-06-08 11:50 . 2008-06-08 11:50	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-06-08 11:13 . 2008-04-14 04:22	276,992	---------	C:\WINDOWS\system32\wmphoto.dll
2008-06-08 11:12 . 2008-04-14 04:22	712,704	---------	C:\WINDOWS\system32\windowscodecs.dll
2008-06-08 11:12 . 2008-04-14 04:22	346,112	---------	C:\WINDOWS\system32\windowscodecsext.dll
2008-06-08 11:12 . 2008-04-14 04:22	69,120	---------	C:\WINDOWS\system32\wlanapi.dll
2008-06-08 11:12 . 2008-04-14 04:22	53,248	---------	C:\WINDOWS\system32\tsgqec.dll
2008-06-08 11:12 . 2008-04-14 04:22	50,688	---------	C:\WINDOWS\system32\tspkg.dll
2008-06-08 11:10 . 2008-04-14 04:22	1,306,624	---------	C:\WINDOWS\system32\msxml6.dll
2008-06-08 11:10 . 2008-04-14 04:22	1,306,624	-----c---	C:\WINDOWS\system32\dllcache\msxml6.dll
2008-06-08 11:10 . 2008-04-14 04:22	397,312	---------	C:\WINDOWS\system32\mmcex.dll
2008-06-08 11:10 . 2008-04-14 04:22	184,320	---------	C:\WINDOWS\system32\microsoft.managementconsole.dll
2008-06-08 11:10 . 2008-04-14 04:22	155,136	---------	C:\WINDOWS\system32\mssha.dll
2008-06-08 11:10 . 2008-04-14 04:22	106,496	---------	C:\WINDOWS\system32\mmcfxcommon.dll
2008-06-08 11:10 . 2008-04-14 03:57	93,184	---------	C:\WINDOWS\system32\msxml6r.dll
2008-06-08 11:10 . 2008-04-14 03:57	93,184	-----c---	C:\WINDOWS\system32\dllcache\msxml6r.dll
2008-06-08 11:10 . 2008-04-14 03:56	81,408	---------	C:\WINDOWS\system32\msshavmsg.dll
2008-06-08 11:10 . 2008-04-14 04:22	33,792	---------	C:\WINDOWS\system32\mmcperf.exe
2008-06-08 11:08 . 2008-04-14 04:22	651,264	---------	C:\WINDOWS\system32\dot3ui.dll
2008-06-08 10:05 . 2008-06-16 19:23	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-06-08 10:05 . 2008-06-08 10:05	1,409	--a------	C:\WINDOWS\QTFont.for
2008-06-07 22:01 . 2008-06-07 22:01	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-06-07 22:01 . 2008-06-07 22:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-07 22:01 . 2008-06-05 16:04	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-07 22:01 . 2008-06-05 16:04	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-06-07 21:30 . 2008-06-08 14:21	<DIR>	d--------	C:\Programme\Navilog1
2008-06-02 19:00 . 2008-06-02 19:01	<DIR>	d--------	C:\WINDOWS\system32\NtmsData
2008-06-01 19:58 . 2008-06-01 19:56	691,545	--a------	C:\WINDOWS\unins000.exe
2008-06-01 19:58 . 2008-06-01 19:58	2,548	--a------	C:\WINDOWS\unins000.dat
2008-05-25 15:03 . 2008-06-01 20:51	<DIR>	d--------	C:\Programme\OpenOffice.org 2.4
2008-05-24 12:25 . 2008-05-24 12:25	<DIR>	d--------	C:\Programme\iPod
2008-05-24 12:21 . 2008-05-24 12:23	<DIR>	d--------	C:\Programme\QuickTime
2008-05-17 21:07 . 2008-05-17 21:25	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\U3
2008-05-16 20:52 . 2008-05-28 19:34	43,520	--a------	C:\WINDOWS\system32\CmdLineExt03.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-16 17:24	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2008-06-12 17:18	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-06-08 10:38	---------	d-----w	C:\Programme\Maxis
2008-06-07 16:29	---------	d-----w	C:\Programme\Gemeinsame Dateien\Borland Shared
2008-06-01 18:59	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-01 18:50	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-06-01 18:49	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-25 15:20	---------	d-----w	C:\Programme\OpenOffice.org 2.3
2008-05-25 15:17	---------	d-----w	C:\Programme\Java
2008-05-24 10:06	---------	d-----w	C:\Programme\Apple Software Update
2008-05-12 21:27	---------	d-----w	C:\Programme\FinePixViewer
2008-05-09 13:34	---------	d-----w	C:\Programme\Real
2008-05-09 13:34	---------	d-----w	C:\Programme\PhysProf
2008-05-08 14:02	203,136	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10	1,293,824	----a-w	C:\WINDOWS\system32\quartz.dll
2008-05-04 19:45	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-23 04:16	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-04-14 05:53	11,264	------w	C:\WINDOWS\system32\spnpinst.exe
2008-04-14 05:52	989,696	----a-w	C:\WINDOWS\system32\setupapi.dll
2008-04-14 05:52	425,472	----a-w	C:\WINDOWS\system32\licdll.dll
2008-04-14 02:36	1,804	----a-w	C:\WINDOWS\system32\dcache.bin
2008-04-14 02:25	333,312	----a-w	C:\WINDOWS\system32\netsetup.exe
2008-04-14 02:22	99,840	----a-w	C:\WINDOWS\system32\scardsvr.exe
2008-04-14 02:21	762,368	----a-w	C:\WINDOWS\system32\winntbbu.dll
2008-04-14 02:21	76,288	----a-w	C:\WINDOWS\system32\uniime.dll
2008-04-14 02:21	731,648	----a-w	C:\WINDOWS\system32\ntdll.dll
2008-04-14 02:21	57,375	----a-w	C:\WINDOWS\system32\odbcji32.dll
2008-04-14 02:21	5,632	----a-w	C:\WINDOWS\system32\wmi.dll
2008-04-14 02:00	2,191,360	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 02:00	2,068,224	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 01:59	4,096	----a-w	C:\WINDOWS\system32\dsprpres.dll
2008-04-14 01:56	51,712	----a-w	C:\WINDOWS\system32\inetres.dll
2008-04-14 01:55	572,928	----a-w	C:\WINDOWS\system32\shdoclc.dll
2008-04-14 01:54	10,752	----a-w	C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 01:53	1,845,760	----a-w	C:\WINDOWS\system32\win32k.sys
2008-04-14 01:52	68,096	----a-w	C:\WINDOWS\system32\browselc.dll
2008-04-14 01:50	103,424	----a-w	C:\WINDOWS\system32\dpcdll.dll
2008-04-13 18:44	17,664	----a-w	C:\WINDOWS\system32\watchdog.sys
2008-04-13 18:40	438,784	----a-w	C:\WINDOWS\system32\xpob2res.dll
2008-04-13 18:36	2,981,888	----a-w	C:\WINDOWS\system32\xpsp2res.dll
2008-04-13 18:35	24,064	----a-w	C:\WINDOWS\system32\pidgen.dll
2008-04-13 18:35	199,680	----a-w	C:\WINDOWS\system32\xpsp1res.dll
2008-04-13 18:31	7,424	----a-w	C:\WINDOWS\system32\kd1394.dll
2008-04-13 18:30	61,440	----a-w	C:\WINDOWS\system32\msvcrt40.dll
2008-04-13 17:37	208,384	----a-w	C:\WINDOWS\system32\rsaenh.dll
2008-04-13 17:37	138,752	----a-w	C:\WINDOWS\system32\dssenh.dll
2008-04-13 17:26	12,288	----a-w	C:\WINDOWS\system32\odbcp32r.dll
2008-04-13 17:26	12,288	----a-w	C:\WINDOWS\system32\mscpx32r.dll
2008-04-13 17:21	733,696	----a-w	C:\WINDOWS\system32\qedwipes.dll
2008-04-13 16:48	1,647,616	----a-w	C:\WINDOWS\system32\winbrand.dll
2008-04-13 16:45	216,064	----a-w	C:\WINDOWS\system32\moricons.dll
2008-04-13 16:23	48,128	----a-w	C:\WINDOWS\system32\msprivs.dll
2008-04-13 15:39	884,736	----a-w	C:\WINDOWS\system32\msimsg.dll
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"Start WingMan Profiler"="" []
"Spyware Cleaner"="C:\Programme\Spyware Cleaner\SpywareCleaner.exe" [ ]
"H/PC Connection Agent"="D:\Programme\wcescomm.exe" [2005-11-15 21:14 1204224]
"Vidalia"="S:\Programme\Tor\Vidalia Bundle\Vidalia\vidalia.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-05-14 07:20 55296 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-25 22:10 335872]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2002-09-12 19:13 1101824]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33 892928]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-10-20 07:41 180269]
"WD Button Manager"="WDBtnMgr.exe" [2005-11-08 22:28 331776 C:\WINDOWS\system32\WDBtnMgr.exe]
"Seticons"="\Programme\WDC\SetIcon.exe" [2004-04-28 15:02 42496]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 17:50 262401]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32 53248]
"SAFEHOME HotKeys"="D:\Programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 18:59 25088]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2006-08-25 07:53 1028096]
"iconcache"="" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="D:\Programme\iTunes\iTunes7\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\XXX\Startmen\Programme\Autostart\
Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-14 111376]
Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1996-12-14 51984]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2007-02-19 14:24:53 106551]
Exif Launcher.lnk - C:\Programme\FinePixViewer\QuickDCF.exe [2006-02-11 22:24:53 282624]
iFinger.lnk - D:\Programme\iFinger\iFinger.exe [2006-02-06 18:47:12 912896]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-04-20 20:36:38 169472]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"D:\\Programme\\Microsoft Games\\FS2004\\fs9.exe"=
"D:\Programme\rapimgr.exe"= D:\Programme\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\Programme\wcescomm.exe"= D:\Programme\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\Programme\WCESMgr.exe"= D:\Programme\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"D:\\Programme\\Maple 10\\jre\\bin\\maple.exe"=
"D:\\Programme\\Maple 10\\jre\\bin\\java.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Programme\\iTunes\\iTunes7\\iTunes.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-05-04 17:50]
R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys [2002-06-06 01:07]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-04 17:50]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];C:\WINDOWS\system32\drivers\Sleen15.sys [2007-02-21 14:33]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2005-09-29 16:15]
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys [2002-09-13 14:35]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2002-11-22 18:57]
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2006-01-25 17:14]
R3 USB28xxBGA;Cinergy EM28xx Capture;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-08-17 16:17]
R3 USB28xxOEM;Cinergy EM28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-17 16:16]
S3 jatmlano;jatmlano;C:\DOKUME~1\XXX\LOKALE~1\Temp\jatmlano.sys []
S3 rtl8180;Belkin 11Mbps Wireless Desktop Network Card Driver;C:\WINDOWS\system32\DRIVERS\Bel6001.sys [2003-07-10 11:06]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 08:57]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{812c6cb2-2444-11dd-8f5d-000d61b00bf8}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-05-24 10:06:41 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2005-01-16 20:36:27 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-16 19:53:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-06-16 19:57:50
ComboFix-quarantined-files.txt  2008-06-16 17:57:33

              13 Verzeichnis(se),  3,710,763,008 Bytes frei
              15 Verzeichnis(se),  3,775,246,336 Bytes frei

220	--- E O F ---	2008-06-10 21:29:08
         
Deine Meinung?

Uwe

Antwort

Themen zu Navipromo nicht vollständig entfernt?
antivir, continue, einstellungen, entfernt?, exe-datei, explorer, frage, generic, handel, helper, infiziert., infizierte, internet, internet explorer, keine ahnung, löschen, malwarebytes, navipromo, nicht zu löschen, ordner, prefetch, problem, programme, prozesse, registrierungsschlüssel, registry, sekunden, software, trojaner, warning, werbefenster, windows, windows xp



Ähnliche Themen: Navipromo nicht vollständig entfernt?


  1. crossbrowse u.ä. vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 29.06.2015 (46)
  2. Adware nicht vollständig entfernt
    Plagegeister aller Art und deren Bekämpfung - 24.08.2014 (13)
  3. PC Optimizer Pro vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2014 (14)
  4. "Nation Zoom" scheint nicht vollständig entfernt zu sein
    Log-Analyse und Auswertung - 26.01.2014 (7)
  5. Reveton Trojaner nicht vollständig entfernt
    Plagegeister aller Art und deren Bekämpfung - 17.12.2013 (63)
  6. Bundestrojaner vor 1 Monat "entfernt", jedoch NICHT vollständig
    Log-Analyse und Auswertung - 07.08.2013 (13)
  7. Win8 64Bit GVU-Trojaner nicht vollständig entfernt
    Plagegeister aller Art und deren Bekämpfung - 06.06.2013 (11)
  8. Searchqu ist hartnäckig, nicht vollständig entfernt
    Log-Analyse und Auswertung - 27.01.2013 (16)
  9. GVU-Trojaner wahrscheinlich nicht vollständig entfernt
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (9)
  10. Rechner langsam weil „searchnu.com/410“ nicht vollständig entfernt
    Log-Analyse und Auswertung - 09.06.2012 (9)
  11. TR/Ransom.EJ.10: [FUND] in \AppData\Local\Temp\ms0cfg32.exe > vollständig entfernt oder nicht?
    Log-Analyse und Auswertung - 16.02.2012 (3)
  12. Gefakte Data Restore Warnung eineholt /Trojaner nicht vollständig entfernt
    Plagegeister aller Art und deren Bekämpfung - 18.10.2011 (3)
  13. Virus vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2010 (1)
  14. Virus entfernt vollständig?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2009 (6)
  15. NaviPromo.AA und NaviPromo.AF lassen sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.07.2009 (0)
  16. Trojaner NaviPromo.AF / NaviPromo.AA in Anwendungsdaten
    Plagegeister aller Art und deren Bekämpfung - 19.06.2009 (27)
  17. Excel Addin Multiprint kann nicht vollständig entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 28.07.2008 (0)

Zum Thema Navipromo nicht vollständig entfernt? - Liebe Leute, meine Tochter hat vor einigen Tagen die "Internet Game Box" heruntergeladen und prompt ihren PC mit einem Trojaner infiziert. Es handelt sich vermutlich um Navipromo. Die Internet Game - Navipromo nicht vollständig entfernt?...
Archiv
Du betrachtest: Navipromo nicht vollständig entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.